Elektronischer Personalausweis - Identitätsdiebstahl wird einfacher

Bei diesem Beitrag handelt es sich um ein Blog aus der Freitag-Community

In einer Pressemitteilung berichtet Aktion Freiheit statt Angst e.V. über den Hack des neuen "Elektronischen Personalausweis" in der Sendung "plusminus".

Während das Bundesinnenministerium den ePerso so beschreibt:

1. Ein sicheres Reisedokument
2. Medienbruchfrei, sicher und preiswert können auf elektronischen Wege Signaturdienste in Anspruch genommen werden.
3. Der neue Personalausweis hilft, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern.

kommt Aktion Freiheit statt Angst zu dem Fazit: "Das war wohl nichts"

In der Sendung "plusminus" der ARD wurde jetzt gezeigt, dass Unbefugte mit wenigen Schritten die Kommunikation zwischen dem RFID-Lesegerät und dem PC des Ausweisinhabers mitlesen können. Die geheime PIN zu den Ausweisdaten konnte genauso mitgelesen werden wie auch, je nach der gerade aktiven Anwendung, verschiedene persönliche Daten auf dem Ausweis. Damit sind die Punkte 1) und 3) des Innenministeriums wohl hinfällig. Punkt 2) ist bei 28,80 Euro pro Ausweis wohl ein Witz.

Datenschützer warnen schon seit Jahren vor den Gefahren bei der Nutzung von RFID Chips. Diese können über kleinere Distanzen ohne Berührung ausgelesen werden. Beim ePerso kommt noch hinzu, dass die vom Innenministerium für 24 Mio. Euro gesponserten Lesegräte keine eigenen Tastatur besitzen, so dass die PIN über die normale unsichere PC-Tastatur eingegeben werden muss.

"Der neue Ausweis suggeriert den Verbrauchern eine trügerische Sicherheit", warnte Cornelia Tausch, Datenschutz-Expertin beim Bundesverband der Verbraucherzentralen in Berlin schon im letzten Winter. "Bevor er eingeführt wird, muss die Bundesregierung unbedingt eine breit angelegte Informationskampagne starten, damit Bürger und Verbraucher über die damit verbundenen Chancen und Risiken umfassend aufgeklärt werden."

Wegen der oben beschriebenen datenschutzrechtlichen Probleme wollten sogar einige Liberale den ePerso auf Eis legen. Der elektronische Personalausweis solle nicht wie geplant zum November 2010 starten, "sondern seine Einführung bis 2020 ausgesetzt werden", erklärte die FDP Abgeordnete Gisela Piltz im März 2010 . Sie sagte, "der elektronische Personalausweis ist nicht sicher, schon gar nicht für zehn Jahre Gültigkeitsdauer". Die Menschen liefen Gefahr, dass ihre Daten unbefugt ausgelesen und ihre Identität missbraucht würde. "Zudem besteht keine Notwendigkeit, biometrische Merkmale in den Ausweis aufzunehmen."

Auch der Innenexperte der Grünen, Wolfgang Wieland, kritisierte: "Es entsteht eine teure, unsichere Datenhalde mit biometrischem Zusatzrisiko - ohne erkennbare Notwendigkeit."

Aktion Freiheit statt Angst e.V. warnt nach dem bei "plusminus" vorgeführtem Sicherheitsdesaster erneut vor dem Einsatz des elektronischen Personalausweises.
Vorstandsmitglied Rainer Hammerschmidt fügt hinzu: "Es gab und es gibt keine Notwendigkeit für den elektronischen Personalausweis, weder sicherheitspolitisch noch technisch. Alle freiwillig nutzbaren Zusatzfunktionen sind zusätzlich kostenpflichtig und bei einem wirklichen persönlichen Bedarf mit anderen Chipkarten abzudecken."

Der ePerso war nichts als ein Schnellschuss der Bundesregierung, um wenigstens einen Weg für eine mögliche Schlüsselkarte für ein anderes ebenso unnötiges und gefährliches Datenmonster, nämlich ELENA, aufzuzeigen. Auch bei den Strategen des überflüssigen und noch dazu kostenpflichtigen DE-Mail-Dienstes würde der ePerso mit seiner Identifikations- oder Zertifizierungsfunktion vielleicht willkommen sein.

Damit wird jedoch der Bürger zu einem unsicherem Medium gedrängt, wird über dessen Gefahren nicht aufgeklärt und steht bei Missbrauch vor ungeklärten Haftungsfragen. Bisher hat noch keine Bank oder ein anderes Internetunternehmen erklärt, dass sie den Schaden im Falle des bei "plusminus" demonstrierten Identitätsdiebstahls übernimmt. Lediglich der Innenminister war schnell dabei privatrechtliche Forderungen in Schadensfällen von sich zu weisen.

Wir fordern von der Bundesregierung

  • Keine Verwendung von RFID-Chips bei Anwendungen mit persönlichen Daten
  • Verschiebung der Einführung des ePerso mindestens bis die erkannten Sicherheitsmängel behoben sind
  • Keine Beschaffung von Lesegeräten ohne eigene Tastatur
  • Aufklärung der Bevölkerung über die Gefahren und Mängel des ePerso

Was kann man/frau tun?

  • Vor dem 1. November 2010 einen (alten) neuen Personalausweis beantragen. Dieser gilt dann 10 Jahre und kostet nur 8 Euro. Der Neue wird für seine Scheinsicherheit 28,80 kosten.
  • Wer danach einen neuen Ausweis benötigt, kann zumindest auf die Abgabe seiner Fingerabdrücke verzichten. Die Speicherung der Fingerabdrücke ist immer noch freiwillig!
  • Die Funktionen "elektronischer Identitätsnachweis" im Internet und "elektronische Signatur" sind ebenfalls freiwillig und zusätzlich kostenpflichtig. Wer so etwas nicht braucht, kann Geld sparen und damit noch etwas für seine Privatheit tun.

Die Presserklärung im Internet www.aktion-freiheitstattangst.org/de/presse/pressemitteilungen/1501-pressemitteilung-zum-hack-des-elektronischen-personalausweis

11:29 26.08.2010
Dieser Beitrag gibt die Meinung des Autors wieder, nicht notwendigerweise die der Redaktion des Freitag.
Geschrieben von

globi09

Ich war Betriebsrat in einem großen deutschen IT Unternehmen und setze mich für Datenschutz und gegen die zunehmende Datensammelwut in der Wirtschaft und gegen die Überwachungsgesetze des Staates ein.
Schreiber 0 Leser 0
Avatar

Kommentare 1