Reife Leistung

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Axel Kossel

Reife Leistung

Die meisten Vorurteile ärgern mich, weil sie dumm und falsch sind. So auch jene, als aus der Mücke, dass Keylogger auf verseuchten PCs die Eingabe einer PIN belauschen können, ein Elefant gemacht wurde: Der neue Personalausweis habe gewiss weitere Sicherheitsprobleme und der Staat sei unfähig, ein solches IT-Projekt umzusetzen. Dieser Dickhäuter trampelte dann munter durch den ganzen Porzellanladen der Medien, von Verschwörungs-Blogs bis zu öffentlich-rechtlichen Sendern. Dabei lassen sich Keylogger beim ePerso ganz einfach ausschalten, indem man ein Lesegerät mit Tastenfeld nutzt.

Neue Nahrung erhielt mein Ärger Anfang November, als sich die Verantwortlichen offenbar alle Mühe gaben, den Vorurteilen gerecht zu werden. Zwar klappte das Beantragen des ePerso vom Start weg prima, aber das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte noch kein einziges Lesegerät mit Tastenfeld zertifiziert. Stattdessen erhielten etliche der sogenannten Basisleser den Bundesadler und wurden fleißig verteilt. Das BSI wiegelte alle diesbezüglichen Bedenken ab; der Benutzer solle halt darauf achten, dass sein Rechner frei von Schadsoftware bleibt.

Wie weltfremd diese Sichtweise ist, bewies das BSI selbst. Pünktlich zur Ausgabe der ersten Ausweise am 9. November stellte es die Software online, die man zur Nutzung des ePerso installieren muss. Doch die Update-Funktion der sogenannten AusweisApp enthielt zwei dumme Fehler, durch die Schadsoftware auf den PC des Ausweisbesitzers hätte gelangen können, beispielsweise ein Keylogger. "Diese Software wird von der Bundesrepublik Deutschland kostenfrei bereitgestellt", hieß es in der Versionsinformation - vielen Dank auch.

Die AusweisApp geriet nicht nur wegen dieser Fehler in die Kritik. Sie ist teilweise in Java geschrieben und bringt eine eigene Laufzeitumgebung mit. Die war in Version 1.0 aber veraltet und enthielt bekannte Sicherheitslücken. Sicherheitsexperten bemängelten zudem, dass die AusweisApp nicht die Schutzfunktionen moderner Windows-Versionen nutze, die viele Angriffe abwehren könnten, und stuften sie daher als "nicht vertrauenswürdig" ein.

Im Gesetz zum neuen Personalausweis steht, dass man ihn nur in einer Umgebung einsetzen soll, "die nach dem jeweiligen Stand der Technik als sicher anzusehen ist." Was aber, wenn nach dem aktuellen Stand der Technik die AusweisApp selbst nicht sicher ist? Ohne sie ist der ePerso doch nutzlos - ein Teufelskreis.

Mein Ärger wich Resignation, als ich die Liste der Anbieter sah, die bereits eine Berechtigung zur ePerso-Nutzung erworben haben: Diverse Versicherungen, ein paar öffentliche Stellen, ein Online-Shop, eine Bank und ein Betreiber von Social Networks. Wenn ich den ePerso jemals brauche, werde ich wahrscheinlich die dann ausgereifte und vom BSI endlich zertifizierte Version 10 der Software installieren. Bis dahin gilt: Security through Futility. (ad)