Der neue Personalausweis im Scheckkartenformat, den die Bundesregierung am 1. November dieses Jahres einführen will, ist seit längerem umstritten. Grund: die Daten werden auf einem RFID-Chip gespeichert, der über Funk trotz Verschlüsselung theoretisch auch von Kriminellen ausgelesen werden könnte. Der Chaos Computer Club (CCC) und das Verbrauchermagazin „Plusminus“ konnten nun eine weitere gravierende Sicherheitslücke in der maschinenlesbaren Karte nachweisen. Sie hat zusätzlich eine Funktion eingebaut, mit der eine eindeutige Identifizierung über das Internet möglich sein soll. Dieses Feature im offiziellen Dokument soll etwa beim Internet-Banking oder Online-Shoppen zum Einsatz kommen.
Ähnlich wie bei der Kredit- oder EC-Karte erhält jeder Bürger zu seinem Ausweisdokument eine sechsstellige PIN-Nummer, mit der er sich gegebenenfalls als Inhaber identifizieren kann. Zum angeblich sicheren Online-Einkauf wird weiterhin ein Lesegerät benötigt, das in verschiedenen Ausführungen erhältlich sein soll. Der Bund will zur Einführungen des neuen Standarddokuments solche Lesegeräte im Wert von 24 Millionen Euro über Banken und Computerzeitschriften unter das Staatsvolk bringen. Genau hier aber haben die Hacker vom CCC die gravierende Sicherheitslücke ausgemacht.
Roman Stumpf von der „Plusminus“-Redaktion erläuterte uns das genaue Vorgehen beim Test. Die einfachen Versionen des Lesegerätes haben nach seinen Worten keine eigene Tastatur, sodass der Nutzer die PIN-Nummer zur Identifizierung über seinen Rechner eingeben muss. Dadurch sei es möglich, über einen Trojaner oder ein anderes Überwachungstool die persönliche Nummer des Ausweisinhabers abzufragen. Der Chip selbst versende während des Identifizierungsvorgangs natürlich wie vorgesehen die persönlichen Daten des Besitzers. Zum einen könne nun ein Eindringling mit entsprechender krimineller Energie solange auf Kosten des rechtmäßigen Eigentümers einkaufen, wie die behördliche Karte noch auf dem Lesegerät platziert sei. Zum anderen könne das Dokument jetzt gezielt entwendet werden, da die Informationen über den Wohnort des Opfers ja auftragsgemäß übermittelt wurden. da über das Schadprogramm auch die Adressdaten des Opfers vom Bildschirm abgelesen werden können.
Dadurch wird die suggerierte zusätzliche Sicherheit des Ausweises hinfällig. Wird das behördliche Dokument gestohlen, kann sich jeder Verbrecher mit der ausgelesenen PIN-Nummer „eindeutig“ mit der geraubten Identität ausweisen. Dabei dürfte eine fröhliche Shoppingtour noch eine der harmloseren Optionen sein, die nach dem Diebstahl möglich werden. Bundesinnenminister Thomas de Maizière zeigte sich von den Ergebnissen aber wenig beunruhigt. Laut „Plusminus“ sieht er „keinen unmittelbaren Handlungsbedarf“.
(Nils Baer)
