bedeckt München -2°

Elektronischer Personalausweis:Streit um die Sicherheit

Die einfachen Lesegeräte, die mit den neuen Ausweisen ausgegeben werden sollen, haben keine eigenen Tasten für die Eingabe der Pin, sie muss also über die Tastatur des Computers eingetippt werden. Diese Tastaturanschläge aber lassen sich mit kriminellen Methoden aufzeichnen und übers Internet weiterreichen. Bleibt die Karte aus Nachlässigkeit auf dem Lesegerät liegen, könnte ein Angreifer den Ausweis missbrauchen.

Wie Jens Fromm vom Fraunhofer Institut Fokus in Berlin sagt, werde die zum Start angebotene Software für die Identitätsfunktion Aufforderungen enthalten, wann die Karte auf den Leser zu legen und wann sie heruntergenommen werden soll. Um gegen solche Angriffe gewappnet zu sein, sollten die Nutzer darauf achten, ihr Betriebssystem und alle Anwendungsprogramme stets auf dem neuesten Stand zu halten und einen aktuellen Virenschutz zu verwenden. "Dann wird es für Angreifer schon sehr schwer", räumt auch CCC-Mitglied Kurz ein. Die Versuche mit der elektronischen Gesundheitskarte hätten aber auch gezeigt, dass viele Nutzer sich nicht einmal die Pin merken könnten.

Schlimmer aber ist ihrer Ansicht nach aber eine weitere Zusatzfunktion des nPA, die kostenpflichtig angebotene Signierfunktion. Damit sollen Bürger die Möglichkeit erhalten, online rechtsverbindliche Unterschriften zu leisten. Aber, so Kurz, die komplexen Dateiformate wie etwa PDF, die damit unterschrieben werden dürften, seien viel zu unsicher.

Es sei technisch möglich, dem Unterschreibenden im Moment der Unterschrift einen anderen Inhalt vorzugaukeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält dagegen, dass die Funktion in Deutschland nur mit den (mehr als 100 Euro teuren) Komfort-Lesegeräten möglich sein wird, die über Zifferntasten und ein Display verfügen.

Eine Frage des Geldes

Vor allem die Internetbranche erhofft sich vom nPA ein besseres und sichereres Geschäft - weil dieser die Kunden zweifelsfrei identifiziere. Die Kunden gewinnen zwar auch an Sicherheit, weil die Anbieter beim Bundesverwaltungsamt (BVA) elektronische Zertifikate beantragen müssen, damit sie mit den Ausweisen überhaupt kommunizieren dürfen. Aber das BVA werde die Anbieter auch nicht auf Herz und Nieren prüfen können, fürchtet der CCC.

In Verbindung mit einem hochwertigen Lesegerät bietet der nPA dennoch die derzeit wohl höchstmögliche Sicherheit bei Internetgeschäften. Die Verschlüsselungsverfahren, so Michael Herfert vom Darmstädter Fraunhofer Institut für Sichere Informationstechnik, seien auf absehbare Zeit nicht knackbar. Ob den Kunden das Mehr an Sicherheit, das der nPA mit hochwertigen Lesegeräten bietet, soviel Geld wert ist, muss sich aber erst zeigen.

Lesen Sie hierzu Berichte in der Süddeutschen Zeitung.

© SZ vom 11.10.2010/joku
Zur SZ-Startseite

Lesen Sie mehr zum Thema