Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite? [Update]

Nach einer Ankündigung der Plusminus-Redaktion über die Demonstration von Sicherheitslücken des elektronischen Personalausweises (ePA) haben sich Sicherheitsexperten, Datenschützer und Politiker zu Wort gemeldet. Die in Zusammenarbeit mit dem Chaos Computer Club (CCC) beschriebenen Sicherheitslücken beruhen auf der Erkenntnis, dass mit dem neuen Ausweis "Sicherheitskits" in den Umlauf kommen sollen, die überwiegend einfachste Basis-Kartenleser enthalten. Diese Kartenleser sind USB-Sticks ohne weitere Funktionen, besitzen also keine eigene Tastatur wie der Standard- oder Komfort-Kartenleser. Die PIN-Eingabe, die beim Einsatz des ePA Pflicht ist, erfolgt hier über den Rechner, der (etwa mit einem Keylogger) kompromittiert sein könnte. Sei die PIN bekannt, so das Angriffsszenario, könnte der Ausweis gezielt entwendet und missbraucht werden.

Diese sogenannten Basisleser sind nun aber nicht die einzige Möglichkeit, den elektronischen Personalausweis zu Hause für die Authentifizierung im Internet einzusetzen – allerdings sind die Basisleser die kostengünstigste Variante. Die der BSI-Richtlinie TR-03119 lässt drei Kategorien von Lesegeräten für die Funktionen zur Internet-Authentifizierung mittels des elektronischen Personalausweises zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC.

Gegenüber der Basisversion werden Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates bieten und über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen.

Gegenüber dem Radiosender NDR-Info sprach sich der Bundesdatenschutzbeauftragte Peter Schaar gegen einen Einsatz der Basis-Kartenleser aus: "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser, die vom Bundesinnenministerium verteilt werden, eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", erklärte Schaar. Die PIN allein sei nicht kritisch. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, "ist in der Tat Gefahr in Verzug".

Juristisch sind diese technisch richtigen Bedenken des Datenschützers nicht haltbar. Mit der Einführung des elektronischen Personalausweises wird auch das Personalausweisgesetz geändert. Gerade weil der Ausweis eine wichtige ID-Komponente im Internet-Alltag ist und nicht nur hoheitliche Funktionen hat, soll er nicht länger hinterlegt werden dürfen. Wer dies dennoch verlangt, muss ein Bußgeld zahlen, darauf weist der Jurist Jens Ferner in seinem Blog über die neuen Rechte und Pflichten hin, die der ePA mit sich bringt. Zu den Pflichten gehört auch, den heimischen PC auf den jeweiligen Stand der Sicherheit zu bringen, wie er aktuell vom BSI definiert wird. Inhaber von elektronischen Personalausweisen müssen sich regelmäßig beim BSI über den Stand der Technik informieren.

Gegenüber der Nachrichtenagentur dpa vertrat der stellvertretende innenpolitische Sprecher der SPD- Bundestagsfraktion Michael Hartmann die Ansicht, dass bei den geringsten begründeten Zweifeln der Start des neuen Ausweises verschoben werden müsse. Er erklärte zu dem angekündigten "Plusminus"-Bericht, es dränge sich der Eindruck auf, "dass die zuständigen Experten die Sicherheitsschranken zu niedrig angesetzt haben". Er würde seiner Fraktion empfehlen, eine Debatte über die Sicherheit solcher Ausweissysteme anzustoßen.

In seiner Stellungnahme übersieht Hartmann jedoch, dass alle verwendeten Protokolle und Mechanismen beim ePA einem Peer-Review der Fachwelt unterlagen und dabei auch getestet wurde, ob Alternativen ein höheres Maß an Sicherheit bieten können. Dass Sicherheitsmaßnahmen "zu niedrig" liegen, liegt an dem Basis-Kartenleser, der in der Fläche verteilt werden soll, um schnell Akzeptanz für den Personalausweis zu erzeugen.

Dies greift jetzt der Chaos Computer Club auf. Gegenüber dem Rundfunksender MDR-Info kritisierte CCC-Sprecher Frank Rosengart, dass bei der Sicherheitstechnik Abstriche gemacht worden seien, um möglichst viele Lesegeräte kostenlos oder kostengünstig verteilen zu können. Im Rahmen der Starter-Kits, die mit Mitteln des Konjunkturpakets II finanziert werden, vertreiben der deutsche Genossenschaftsverlag, die Firmen Impuls, T-Systems, StarFinanz und SCT Reiner verschiedene Kartenleser an die interessierte Bevölkerung, wobei nur der Basis-Kartenleser kostenlos abgegeben werden soll und für Standard- und Komfortleser Zuzahlungen notwendig sind.

[Update]:
Der deutsche Genossenschaftsverlag, Impuls Systems und Star Finanz vertreiben ausschließlich Standard- und Komfort-Lesegeräte von Reiner SCT. Dabei werden im Rahmen von Kundenbindungsprogrammen teilweise auch Standardleser kostenlos abgegeben. Die kritisierten Basisleser werden von CHIP Communications, der Cosmos Lebensversicherungs-AG, der KKH-Allianz und der Firma Multicard ausgegeben. (pmz)