Der Chaos Computer Club (CCC) hat heute mehrere Methoden vorgestellt, mit denen der kommende Personalausweis 2.0 gehackt werden kann. Ein Beispiel basiert darauf, dass es für Adobes PDF-Format keine verbindlichen Darstellungsrichtlinien gibt. Dadurch könnten etwa zwei Vertragspartner gänzlich unterschiedliche Versionen eines Dokuments zu sehen bekommen. Der Käufer glaubt mit der elektronischen Signatur einen Vertrag über 100 Euro zu unterschreiben. Der Vertrag des kriminellen Verkäufers weist aber einen Preis von 10.000 Euro aus. Und genau dieser Betrag ist dann auch rechtsgültig, weil die Vereinbarung die korrekte Signatur des Betrogenen trägt. In der Praxis ist diese Art der Manipulation zwar relativ einfach nachweisbar, die generelle Möglichkeit weist aber schon auf gravierende Mängel im Konzept hin.
Dirk Engling, Sprecher des CCC, nannte uns im Gespräch als weiteres Beispiel den „Man in the Browser“-Angriff. „Wenn Sie einen Trojaner auf dem Rechner haben, kann der so tun, als sei er Ihr Bankprogramm. Sie loggen sich ganz normal über Ihren Browser bei Ihrer Sparkasse ein und identifizieren sich zum Beispiel mit Ihrem elektronischen Personalausweis. In Wirklichkeit senden Sie die Informationen aber an die Schadsoftware auf Ihrem PC. Das Programm wiederum meldet sich mit Ihren Daten bei Ihrem Geldinstitut an und führt dort beliebige Transaktionen von Ihrem Konto aus. Sie merken aber nichts davon, weil der Trojaner Ihnen ja eine Bankseite anzeigt, bei der alles in Ordnung ist“, meint der Experte. Im Extremfall könnte eine ausgefeilte Software sogar die Kontoauszüge simulieren, so dass der Kunde erst dann die wirklichen Geldbewegungen sieht, wenn der Postbote einen Brief mit dem wahren Finanzstatus vorbeibringt.
Engling betont, dass es ihm eigentlich gar nicht um die einzelnen Hacks als solche geht: „In zwei Monaten gibt es wieder völlig andere Methoden.“ Mit den präsentierten Beispielen will der Verein aber aufzeigen, dass das ganze Sicherheitskonzept für das Staatsdokument mangelhaft ist. „Die Bundesregierung tut in ihrer Werbung so, als ob schon der elektronische Ausweis allein für Sicherheit im Internet sorgen würde. Das ist aber völlig irreführend und verantwortungslos“, so der Sprecher. Denn die staatliche Plastikkarte schütze natürlich nicht vor den zahlreichen Angriffsmöglichkeiten, von denen die Hacker nur einige vorgestellt haben. Mit der korrekten Absicherung des Heimrechners vor bösartiger Software sei der normale Bürger aber überfordert. Deshalb fordert der CCC, dass die Regierung deutlich auf die Gefahren hinweist, anstatt unkritisch ihr Projekt zu bejubeln und dem Bürger dadurch eine falsche Sicherheit zu suggerieren.
Jetzt sieht es so aus, als würde das geplante Prestigeprojekt des deutschen Staates doch zum völligen Rohrkrepierer. Nicht allein, dass das Sicherheitskonzept selbst weit hinter den ausgefeilteren Methoden des privaten Bankgewerbes zurückbleibt. Noch schlimmer ist eigentlich, dass die zuständigen Behörden das nicht zugeben wollen und aus Imagegründen jede Kritik kleinreden. Bei den Bürgern, die technisch nicht so versiert sind wie die Technik-Freaks des CCC, entsteht dadurch nämlich der Eindruck, Onlinegeschäfte mit der behördlichen Plastikdokument seien wirklich grundsätzlich sicher. Wenn sie dann aber betrogen werden, zahlen sie die Zeche ganz alleine.
(Nils Baer)
