Elektronischer Personalausweis

CCC demonstriert weitere Sicherheitsprobleme

Tüftler und Kriminelle können den elektronischen Personalausweis und auch die Schweizer SuisseID mit einfachen Mitteln fernsteuern und so auch ohne direkten Zugriff auf die Dokumente die Identität des Ausweisinhabers missbrauchen. Darauf weist der Chaos Computer Club (CCC) hin.

Der CCC hat in Zusammenarbeit mit Schweizer Sicherheitsexperten Schwachstellen im neuen elektronischen Personalausweis (ePA) und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, dass sich mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der ePA ferngesteuert benutzen lassen.

Der neue elektronische biometrische Ausweis soll am 1. November 2010 in Deutschland eingeführt werden. Die Technik weise große Parallelen zur SuisseID auf, die in der Schweiz bereits im Umlauf ist.

Sie verwenden dabei Schadsoftware, um die Tastatureingaben zu belauschen und so an die PIN des Nutzers zu gelangen: "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", kommentiert CCC-Sprecher Dirk Engling. "Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muss bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen."

Es sei leider traurige Realität, dass viele aktuelle Computer nicht zu jedem Zeitpunkt allein unter der Kontrolle ihrer Besitzer stehen. Doch dieser Gefahr werde beim ePA nicht ausreichend Rechnung getragen und die Verwendung einfacher Smartcard-Leser erlaubt und sogar gefördert: "Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er gezwungen, seine geheime PIN über die Tastatur seines Rechners einzugeben", womit einem auf dem PC lauernden Trojaner das Mitlesen möglich sei, so der CCC.

Angreifer können den elektronischen Personalausweis aus der Ferne nutzen