Steffen Kraft
22.09.2010 | 12:00 13

Unter falschem Namen

E-Perso Chaos Computer Club zeigt: Der neue Personalausweis macht Identitätsklau leichter statt schwerer. Das Innenministerium leugnet das Problem

Der Innenminister sollte seine Worte künftig wohl etwas vorsichtiger wählen. Internet-Geschäfte mit dem neuen Personalausweis seien sicherer als alles, was Bürger bisher aus dem Netz kennen, beharrte Thomas de Maizière noch im August als erste Hinweise auf Sicherheitslücken beim Gebrauch der Identitätskarte aufkamen. Inzwischen ist es Hackern vom Chaos Computer Club (CCC) jedoch im Beisein des Freitag-Redakteurs gelungen, die Geheimzahl (PIN) eines fremden elektronischen Personalausweises über das Internet zu verändern. Kriminellen könnten so die Identitätskarte für den Inhaber im Netz unbenutzbar und zugleich mit der geklauten Identität Geschäfte unter fremdem Namen machen. „Wir haben dafür kein Geheimwissen genutzt. Das kann jeder Informatiker, der sich ein bisschen auskennt“, sagt Thorsten Schröder vom Chaos Computer Club.

Von November an werden die Behörden nur noch Personalausweise im Scheckkartenformat ausgeben. Anders als der alte enthält der neue Ausweis einen elektronischen Chip mit persönlichen Daten. Legt der Inhaber die Karte auf ein Lesegerät an seinem Computer und gibt die Daten mit der PIN frei, soll er sich auch bei Geschäften im Internet sicher identifizieren können, ohne die Karte dem Geschäftspartner persönlich vorzeigen zu müssen.

Beweislast umgekehrt

Soweit die Theorie. Wie die Versuche des CCC nun zeigen, erleichtert der neue Personalausweis jedoch Identitätsklau eher, anstatt ihn zu erschweren. Dies gilt, wenn der Ausweisinhaber einen bestimmten, vom Innenministerium empfohlenen Lesegerät-Typ nutzt. Das Ministerium will tausende so genannte „Basis-Geräte“ kostenlos den November-Ausgaben mehrerer Computerzeitschriften beilegen. Diese Geräte sind allerdings nicht mit einer eigenen Tastatur für die PIN-Eingabe ausgestattet. Nutzer von Basisgeräten können ihre Geheimzahl daher über die Computertastatur eingeben. Ist der Heim-PC nun aber mit einem „Keylogger“-Schadprogramm infiziert, können Kriminelle die Eingabe der PIN über das Internet mitlesen und – wie der CCC jetzt gezeigt hat – das Gerät auch anweisen, die PIN heimlich zu ändern. So lange der Inhaber seinen Ausweis auf dem Gerät liegen lässt, können die Fremden unter falschem Namen Geschäfte im Netz machen. Die Hacker vom CCC starteten mit dem gekaperten Ausweis sogar den offiziellen „Zentralen Anwendungstest Neuer Personalausweis“ des Fraunhofer Instituts für Sichere Informationstechnologie und durchliefen ihn ohne Beanstandung.

Noch mehr als der Diebstahl von Kreditkartendaten, der so bisher schon möglich war, kann der Klau einer elektronischen Identität für den Geschädigten verheerende Folgen haben. Während bei Kreditkartenbetrug im Streitfall der Internet-Händler beweisen muss, dass er seine Leistung an den Richtigen geliefert hat, liegt beim Identitätsklau die Beweislast umgekehrt. Wurde ein gekaperter Ausweis im Internet zur Identifizierung genutzt, brauchen Händler und Banken im Zweifel keinen weiteren Nachweis, dass sie ein Konto für den Richtigen eröffnet haben. Der Geschädigte muss selbst zeigen, dass er seine neuen vermeintlichen Konten gar nicht selbst überzogen hat.

„Das Innenministerium muss reagieren. Statt die Bürgern in falscher Sicherheit zu wiegen, muss es über die Gefahren klar aufklären“, sagt CCC-Sprecherin Constanze Kurz. Die offizielle Infoseite personalausweisportal.de enthält in der Tat bloß allgemeine Sicherheitshinweise und rät beispielsweise zum Einsatz eines aktuellen Virenscanners, einer Firewall und regelmäßiger Windows-Updates. Eingebettet sind diese Hinweise in beruhigende Worte: „Auch wenn Sie ein preisgünstiges Basislesegerät einsetzen, ist das Sicherheitsniveau höher als bei vergleichbaren Anwendungen, bei denen die angesprochenen Keylogger Ihre Zugangsdaten mitlesen könnten“, heißt es. In einer Stellungnahme zu den neuen Sicherheitslücken teilte das Innenministerium dem Freitag mit, ihm lägen zu dem geglückten Angriff des CCC „keinerlei Belege“ vor, gegen einen unsicheren Computer helfe aber grundsätzlich auch der Personalausweis nichts.

Startschuss für neue Debatte

„Wer mit dem neuen Perso etwas sicherer im Netz unterwegs sein will, muss für ein ordentliches Lesegerät mindestens 150 Euro ausgeben“, sagt dagegen Constanze Kurz, „das muss man sich erst einmal leisten können.“ Die teuren Lesegeräte schützen allerdings nicht vor einem weiteren Problem. Mittels einer nachträglich auf dem E-Perso installierbaren Signatur sollen die Deutschen bald auch Dokumente in dem gängigen Dateiformat „pdf“ rechtsverbindlich elektronisch unterschreiben können wie einen Papiervertrag. In der Schweiz ist ein ähnliches System schon heute unter dem Namen Suisse-ID verbreitet. Das Problem: „Anders als Papierverträge lassen sich pdf-Verträge vor der Unterschrift so manipulieren, dass sie dem Betrachter nicht immer das Gleiche zeigen“, sagt CCC-Mitglied Thorsten Schröder, der dieses Problem schon bei Dokumenten mit gültiger Suisse-ID-Signatur nachgewiesen hat. Zwar ließen sich solche Manipulationen vor Gericht relativ leicht nachweisen, „doch gehen Sie mal gegen Ihren Arbeitgeber vor Gericht, wenn Sie gerade erst ihren Arbeitsvertrag unterschrieben haben“, sagt Schröder.

Vielleicht erweist sich die Debatte um die technische Sicherheit des E-Perso ja als Startschuss für eine Diskussion über dessen Gefahren für die Bürgerrechte. Bedarf gäbe es. Erst vor wenigen Tagen kündigte etwa die gesetzliche Krankenkasse KKH-Allianz an, die Funktionen des E-Perso mit der künftigen elektronischen Gesundheitskarte zu verbinden. Versicherte bekämen spezielle Lesegeräte für den Perso, die sie auch mit ihrer Versichertenkarte nutzen könnten. Dies sei „der Schlüssel für vielerlei Aktionen vom heimischen PC aus“: ein Bankkonto eröffnen etwa, Dokumente elektronisch abzeichnen, „oder auch die elektronische Gesundheitskarte für die Zahlung ärztlicher Leistungen nutzen.“

Um den neuen Perso kommt früher oder später kein Deutscher herum. Hierzulande herrscht Ausweispflicht. Wer von November an einen neuen Personalausweis braucht, bekommt eine ID-Karte mit Chip, ob er will oder nicht. Pflichtgebühr: 28,80 Euro. Um sich vor dem Diebstahl ihrer elektronischen Identitäten zu schützen, müssen die Bürger entweder noch mehr Geld investieren oder auf die neuen Funktionen des Ausweises ganz verzichten.Schon im Amt lässt sich der elektronische Identitätsnachweis deaktivieren. Das ist die günstigste Lösung. Wer sich aber auch im Internet ausweisen will oder muss, kann sich statt des Basis-geräts ein so genanntes Standard- oder Komfort-Lesegerät anschaffen. Beide sind zwar teurer, schützen aber zumindest gegenwärtig noch vor dem Ausspähen der PIN durch Schadprogramme auf dem Heim-PC.

Kommentare (13)

Fritz Teich 23.09.2010 | 23:48

Ist das denn bei den Signaturkarten der Sparkassen etc besser?

Grundsaetzlich bot der elektronische Personalausweis die Moeglichkeit, mit einer Identitaetsueberpruefung im Einwohnermeldeamt auch dem Signaturkartenunwesen ein Ende zu bereiten.

Mehr als eine Ueberpruefung ist nicht noetig und das Signaturkartenunwesen ist unsinnig teuer. Der Gegenstand des Signaturkartenunwesens klebt gleichsam als ein natuerliches Monopol am Einwohnermeldeamt.

Fritz Teich 24.09.2010 | 10:45


ein ordentliches Lesegerät
>>

Mein Rechner hat ein eingebautes Lesegeraet, das will ich benutzen. Soweit ersichtlich hat nur die Identity light versagt, was immer das fuer eine Identity ist. Waer doch mal ein guter Grund, die Signaturfunktion neu zu ueberdenken und das Signaturkartenunwesen bei dieser Gelegenheit zu versenken. Denn, wie gesagt, mehr als eine Identitaetsueberpruefung ist nicht noetig, sie reicht auch fuer jede Signaturfunktion.