Elektronischer Perso

Erstellt 24.08.2010  Kategorien  Politik

 

Neuer Personalausweis

Der elektronische Personalausweis (ePerso), der ab 1. November 2010 ausgegeben wird, ist wieder in aller Munde. Grund ist ein Beitrag im ARD-Magazin "plusminus" vom 24. August 2010 (Beitrag auf Youtube), in dem über ein Sicherheitsrisiko berichtet wird. Um die neuen elektronischen Funktionen des ePerso, wie elektronische Signatur und Identität nutzen zu können, bedarf es eines speziellen RFID-Lesegeräts. Um den Nutzen dieser Funktion zu pushen, sponsort das Bundesministerium des Inneren (BMI) etwa 1 Millionen Lesegeräte. Gemeinsam mit dem CCC hat sich plusminus Lesegeräte samt zugehöriger Software angeschaut. Ergebnis: Das erforderliche Kennwort für den letztlichen Zugriff auf den ePerso muß bei dern vom BMI verschenkten Geräten über die Computer-Tastatur eingegeben werden. Ist der Rechner mit einer Schadsoftware infiziert, die es Hackern erlaubt, die Tastatureingaben mitzulesen, kann sich dieser das Kennwort aneignen. Hat der Hacker außerdem die Möglichkeit, Eingaben auf dem Rechner zu machen, so kann - solange der ePerso im Lesegerät liegt und der eigentliche User es nicht bemerkt - Geschäfte im Namen der so geklauten Identität machen. Der ePerso könnte jetzt auch ganz gezielt geklaut werden.

 

Okay, für mich ist das jetzt keine eklatante Sicherheitslücke, weil die Situation viele Variablen hat (Virus/Trojaner, Mitlesen Tastatureingabe, Fremdzugriff auf Rechner, Perso unbeaufsichtigt im Lesegerät belassen, ...). Außerdem kann man das Problem durch verwendung eines Lesegeräts mit Tastatur und Display reduzieren. Deutlich mehr Bauchschmerzen habe ich angesichts der Tatsache, daß ich nicht kontrollieren kann, wer mir was via RFID aus dem ePass ausliest. Eine Liste der Nachteile und Gefahren des ePerso kann man hier lesen.

Bemerkenswert ist für mich weiterhin der §27 des neuen Personalausweisgesetzes (PAuswG), welches eigens für den ePerso überarbeitet wird. In diesem Paragraphen wird verlangt, daß der Nutzer eines ePass seinen Computer sicherheitstechnisch stets auf den aktuellen Stand zu halten hat:

"(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden."

Den Computer zu sichern ist natürlich sinnvoll - auch unabhängig von der Nutzung des ePerso. Aber nicht jeder Computer-Nutzer bringt den gleichen Sachverstand mit. Wenn jetzt jemand mit meinem ePass Schindluder macht und mir anschließend nachgewiesen wird, daß ich meinen Rechner nicht nach den BSI-Empfehlungen gesichert hatte, dann habe ich möglicherweise ein großes Problem! Eine Bank mußte z.B. in einem solchen Fall fehlgeleitetes Geld nicht erstatten. Zudem liegt die Verantwortung zu beweisen, daß tatsächlich ein Betrug vorliegt und ich dennoch alle notwendigen Sicherungsvorkehrungen getroffen habe, bei mir - oder?

Eine schöne Übersicht über die neuen Regeln und Pflichten im Zusammenhang mit dem ePerso gibt es hier.

 

Tags  rfid,  elektronischer personalausweis,  bmi,  ccc,  epass,  pauswg