Elektronischer Personalausweis: Sicherheitsdefizite bei Lesegeräten [Update]

Die Zusammenarbeit des Fernsehmagazins Plusminus und des Chaos Computer Clubs hat wieder einmal Früchte getragen: Nach der Demonstration, wie ein Fingerabdruck gefälscht werden kann, soll in einer Sendung am heutigen Dienstagabend demonstriert werden, dass der elektronische Personalausweis unsicher ist. Diese Demonstration soll mit Basis-Lesegeräten erfolgen. Diese allerdings bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst kritisch.

Wie es in der Vorabmeldung zur Fernsehsendung heißt, habe man Mängel festgestellt, die die Sicherheit des Ausweises untergraben. "In Zusammenarbeit mit dem Chaos Computerclub e.V. hat die Plusminus-Redaktion Testversionen der Basis-Lesegeräte geprüft. Für Betrüger ist es demnach problemlos möglich, sensible Daten abzufangen – inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren."

Die der BSI-Richtlinie TR-03119 lässt drei Kategorien von Lesegeräten für die Funktionen zur Internet-Authentifizierung mittels des elektronischen Personalausweises zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC. Gegenüber der Basisversion werden Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates bieten und über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen.

Basis-Lesegeräte sind im Prinzip also einfache USB-Sticks mit einer RFID-Schnittstelle ohne eigene Tastatur zur Eingabe der PIN und eigene Terminalsoftware. Wer einen PC etwa mit einem Keylogger kompromittiert und dessen Tastatureingaben mitschreiben kann, kann auch die Eingabe der PIN abfangen, die beim Einsatz des elektronischen Personalausweises im Internet benötigt wird.

In der entsprechenden technischen Richtlinie des BSI (PDF-Datei) steht deshalb die Warnung zum elektronischen Personalausweis (ePA): "In diesem Zusammenhang können nur Cat-S und Cat-K Leser die Geheimhaltung der PIN des ePAs garantieren. Weiterführend kann nur der Cat-K Leser die authentische Anzeige von Berechtigtem und Berechtigungen bei der eID-Funktion übernehmen."

Dieser Schwachpunkt dürfte in der Fernsehsendung heute (ARD, 21.50) demonstriert werden. Zur Sendung liegt nach Angaben von Plusminus bereits eine Stellungnahme des Bundesinnenministeriums vor, das für die Ausgabe des elektronischen Personalausweises zuständig ist. "Bundesinnenminister Thomas de Maizière sieht im Plusminus-Interview keinen unmittelbaren Handlungsbedarf", heißt es in der Vorabmeldung. Für 24 Millionen Euro sollen 1,5 Millionen Sicherheitskits vom November 2010 bis Dezember 2011 an Bundesbürger verschenkt werden, um die Akzeptanz des elektronischen Personalausweises zu fördern; die Summe wird im Rahmen des Konjunkturpakets II bereitgestellt. Diese Sicherheitskits sollen aber nur Basis-Lesegeräte enthalten.

[Update]:
Jens Bender vom BSI wies die Kritik an der Sicherheit der neuen Personalausweise zurück. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen "ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort." Ein Basisleser sei für die Online-Authentifizierung in Ordnung. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software, die Einrichtung einer Firewall und einen aktuellen Virenschutz. Denkbar sei ein klassischer Trojaner-Angriff, bei dem die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. Damit habe man als Angreifer aber noch keinen direkten Zugriff auf die persönlichen Daten. Diese würden nur verschlüsselt übertragen. (jk)