Politik : Unter falschem Namen

en genutzt. Das kann jeder Informatiker, der sich ein bisschen auskennt“, sagt Thorsten Schröder vom Chaos Computer Club.Von November an werden die Behörden nur noch Personalausweise im Scheckkartenformat ausgeben. Anders als der alte enthält der neue Ausweis einen elektronischen Chip mit persönlichen Daten. Legt der Inhaber die Karte auf ein Lesegerät an seinem Computer und gibt die Daten mit der PIN frei, soll er sich auch bei Geschäften im Internet sicher identifizieren können, ohne die Karte dem Geschäftspartner persönlich vorzeigen zu müssen.Beweislast umgekehrtSoweit die Theorie. Wie die Versuche des CCC nun zeigen, erleichtert der neue Personalausweis jedoch Identitätsklau eher, anstatt ihn zu erschweren. Dies gilt, wenn der Ausweisinhaber einen bestimmten, vom Innenministerium empfohlenen Lesegerät-Typ nutzt. Das Ministerium will tausende so genannte „Basis-Geräte“ kostenlos den November-Ausgaben mehrerer Computerzeitschriften beilegen. Diese Geräte sind allerdings nicht mit einer eigenen Tastatur für die PIN-Eingabe ausgestattet. Nutzer von Basisgeräten können ihre Geheimzahl daher über die Computertastatur eingeben. Ist der Heim-PC nun aber mit einem „Keylogger“-Schadprogramm infiziert, können Kriminelle die Eingabe der PIN über das Internet mitlesen und – wie der CCC jetzt gezeigt hat – das Gerät auch anweisen, die PIN heimlich zu ändern. So lange der Inhaber seinen Ausweis auf dem Gerät liegen lässt, können die Fremden unter falschem Namen Geschäfte im Netz machen. Die Hacker vom CCC starteten mit dem gekaperten Ausweis sogar den offiziellen „Zentralen Anwendungstest Neuer Personalausweis“ des Fraunhofer Instituts für Sichere Informationstechnologie und durchliefen ihn ohne Beanstandung.Noch mehr als der Diebstahl von Kreditkartendaten, der so bisher schon möglich war, kann der Klau einer elektronischen Identität für den Geschädigten verheerende Folgen haben. Während bei Kreditkartenbetrug im Streitfall der Internet-Händler beweisen muss, dass er seine Leistung an den Richtigen geliefert hat, liegt beim Identitätsklau die Beweislast umgekehrt. Wurde ein gekaperter Ausweis im Internet zur Identifizierung genutzt, brauchen Händler und Banken im Zweifel keinen weiteren Nachweis, dass sie ein Konto für den Richtigen eröffnet haben. Der Geschädigte muss selbst zeigen, dass er seine neuen vermeintlichen Konten gar nicht selbst überzogen hat.„Das Innenministerium muss reagieren. Statt die Bürgern in falscher Sicherheit zu wiegen, muss es über die Gefahren klar aufklären“, sagt CCC-Sprecherin Constanze Kurz. Die offizielle Infoseite personalausweisportal.de enthält in der Tat bloß allgemeine Sicherheitshinweise und rät beispielsweise zum Einsatz eines aktuellen Virenscanners, einer Firewall und regelmäßiger Windows-Updates. Eingebettet sind diese Hinweise in beruhigende Worte: „Auch wenn Sie ein preisgünstiges Basislesegerät einsetzen, ist das Sicherheitsniveau höher als bei vergleichbaren Anwendungen, bei denen die angesprochenen Keylogger Ihre Zugangsdaten mitlesen könnten“, heißt es. In einer Stellungnahme zu den neuen Sicherheitslücken teilte das Innenministerium dem Freitag mit, ihm lägen zu dem geglückten Angriff des CCC „keinerlei Belege“ vor, gegen einen unsicheren Computer helfe aber grundsätzlich auch der Personalausweis nichts.Startschuss für neue Debatte„Wer mit dem neuen Perso etwas sicherer im Netz unterwegs sein will, muss für ein ordentliches Lesegerät mindestens 150 Euro ausgeben“, sagt dagegen Constanze Kurz, „das muss man sich erst einmal leisten können.“ Die teuren Lesegeräte schützen allerdings nicht vor einem weiteren Problem. Mittels einer nachträglich auf dem E-Perso installierbaren Signatur sollen die Deutschen bald auch Dokumente in dem gängigen Dateiformat „pdf“ rechtsverbindlich elektronisch unterschreiben können wie einen Papiervertrag. In der Schweiz ist ein ähnliches System schon heute unter dem Namen Suisse-ID verbreitet. Das Problem: „Anders als Papierverträge lassen sich pdf-Verträge vor der Unterschrift so manipulieren, dass sie dem Betrachter nicht immer das Gleiche zeigen“, sagt CCC-Mitglied Thorsten Schröder, der dieses Problem schon bei Dokumenten mit gültiger Suisse-ID-Signatur nachgewiesen hat. Zwar ließen sich solche Manipulationen vor Gericht relativ leicht nachweisen, „doch gehen Sie mal gegen Ihren Arbeitgeber vor Gericht, wenn Sie gerade erst ihren Arbeitsvertrag unterschrieben haben“, sagt Schröder.Vielleicht erweist sich die Debatte um die technische Sicherheit des E-Perso ja als Startschuss für eine Diskussion über dessen Gefahren für die Bürgerrechte. Bedarf gäbe es. Erst vor wenigen Tagen kündigte etwa die gesetzliche Krankenkasse KKH-Allianz an, die Funktionen des E-Perso mit der künftigen elektronischen Gesundheitskarte zu verbinden. Versicherte bekämen spezielle Lesegeräte für den Perso, die sie auch mit ihrer Versichertenkarte nutzen könnten. Dies sei „der Schlüssel für vielerlei Aktionen vom heimischen PC aus“: ein Bankkonto eröffnen etwa, Dokumente elektronisch abzeichnen, „oder auch die elektronische Gesundheitskarte für die Zahlung ärztlicher Leistungen nutzen.“http://vg07.met.vgwort.de/na/b47305bc729d4508a4eef5cce08c868d