Sicherheitslücke in E-Ausweisen: Estland will Millionen von Gemalto

Ein Jahr nachdem Estland mit einem Update Hunderttausender elektronischer Personalausweise auf das Bekanntwerden einer Sicherheitslücke reagiert hat, soll der Chipkartenhersteller Gemalto nun 152 Millionen Euro zahlen. Das jedenfalls ist das Ziel einer am Donnerstag eingereichten Klage gegen das Unternehmen, von der Reuters berichtet. Gemalto hatte die Karten hergestellt, die die Lücke aufwiesen und war seit 2002 Produzent der estnischen ID-Karten. Schon vor Bekanntwerden der Lücke war das Land jedoch zu dem Hersteller Idemia gewechselt.

Rückschlag für Vorreiter

Anfang September 2017 hatten die estnischen Behörden ein mögliches Sicherheitsrisiko im elektronischen Personalausweise eingeräumt. Betroffen waren alle seit Oktober 2014 ausgestellten ID-Karten, auch solche, die als "E-Residency" an Ausländer ausgegeben wurden. Im November verteilte das Land dann ein Update mit neuem Sicherheitszertifikat für die rund 750.000 betroffenen Karten. Hinweise darauf, dass die Lücke "in der von den Forschern beschriebenen Art missbraucht worden ist", gab es demnach nicht.

Für Estland waren die Geschehnisse ein Rückschlag, gilt das Land in Europa doch als Vorreiter der digitalen Verwaltung. Nahezu alle 1,3 Millionen Esten besitzen eine computerlesbare ID-Karte mit einem speziellen Datenchip, die als Personalausweis dient und im Internet die Feststellung der Identität ermöglicht. Damit können online Rechtsgeschäfte abgewickelt und auch digitale Unterschriften geleistet werden.

Durch der Lücke konnte die digitale Identität eines Karteninhabers theoretisch missbraucht werden, ohne dass Karte und PIN einem Angreifer vorliegen. Um den dazu benötigten geheimen Schlüssel zu berechnen, waren jedoch eine riesige Rechenkapazität und ein spezielles Programm notwendig. (mho)