Als ein „staatlich bereitgestelltes Hochsicherheitsdokument“ lobt die Bundesregierung den neuen, elektronischen Personalausweis. Zur gleichen Zeit warnen Medien und Experten jedoch vor großen Sicherheitslücken. Ein erster Versuch, den ePerso zu knacken, führte allerdings ins Leere.
Der Abschlussbericht „e-government 2.0“ des Bundesministerium des Innern (BMI) zum elektronischen Personalausweis ist voll des Lobes für die neue digitale Identitätskarte. Von „sichere[r] und zuverlässige[r] Identifizierung“ ist die Rede, die der „Schlüssel zu sicheren Transaktionen und Vertragsabschlüssen im Internet“ sein soll.
Das ARD-Magazin Plusminus dagegen wollte es genauer wissen und bat zwei Mitglieder des Chaos Computer Clubs (CCC), die Sicherheit des ePersos zu testen. Ergebnis: In nur zehn Minuten kamen die CCC-Mitglieder an das Passwort und somit auch an die elektronische Identität des Opfers. Allerdings konnten die Computer-Experten weder den Ausweis noch das Lesegerät manipulieren, sondern besorgten sich die Daten über ein einfaches Spionageprogrammm, über das man jegliche Daten eines fremden Rechners auslesen kann. Daraufhin konnte der Hacker alle digitalen Schritte des Opfers verfolgen – auch die Pin-Eingabe.
Dadurch sei es möglich, „dem Nutzer eine andere eID-Transaktion ‘unterzujubeln’“, so Frank Rosengart vom CCC gegenüber politik-digital.de. Dieser Trick wird u.a. von Hackern angewandt, um sensible Daten beim Online-Banking auszuspionieren. Die Schlussfolgerung des Plusminus Beitrages, es gäbe noch „erhebliche Sicherheitslücken“ beim ePerso, ist also eine falsche Interpretation des Hackertests. Richtig wäre: Der ePerso und das Lesegerät sind – zumindest in diesem Punkt – so lange sicher, wie der verwendete Computer sicher ist. Genau auf diese Gefahr sollte auch das BMI in seinem Abschlussbericht hinweisen – was es bisher leider nicht tut.
Unter Mitarbeit von Patrick Brauckmann.
Die Informationen von Plusminus und des CCC sind dilettantisch und, wie korrekt bemerkt, so nicht richtig. Es fehlt auch eine Aussage zum RFID. – Unverständlich ist, dass die Bundesregierung Lesegeräte verschenken wird, die keine Tastatur für die Passwort-Eingabe haben (= Standard). Die Mehrkosten könnten durch eine geringere Stückzahl ausgeglichen werden.