25C3: ePass-Konzept wird an der Umsetzung scheitern
Wenn voraussichtlich am 1. November 2010 die ersten Bundesbürger ihren neuen Personalausweis ausgehändigt bekommen, ändert sich einiges. Das Auffälligste ist das Format, es wird dem einer klassischen Kreditkarte entsprechen. Eine weitere Änderung ist der Chip, der im elektronischen Personalausweis, kurz ePass oder ePA, eingebaut wird. Dieser wird, wie schon beim elektronischen Reisepass, drahtlos arbeiten. Statt eines Magnetstreifens steckt also wieder RFID-Technik unter der ePass-Hülle.
Laut Constanze Kurz und Starbug, die auf dem 25C3 einen Vortrag zu dem Thema hielten, hat das Bundesministerium des Inneren(öffnet im neuen Fenster) (BMI) somit die schlechtere Wahl aus beiden Welten genutzt. Der Ausweis ist so klein, dass es Schwierigkeiten gibt, die vielen aufgedruckten Informationen überhaupt unterzubringen. Der kontaktlosen Datenübertragung stand der Chaos Computer Club (CCC) ohnehin schon immer kritisch gegenüber.
Der CCC glaubt, dass der neue Ausweis trotz der hohen Kosten keinen Gewinn an Sicherheit bringen wird. Das BMI ist da anderer Meinung und stellt unter anderem heraus, dass dieser Ausweis gerade im Internetzeitalter sinnvoll ist. Er soll unter anderem vor Phishing-Attacken schützen und den sicheren Einkauf und damit verbunden die kontrollierte Weitergabe der eigenen Daten erlauben.
Der neue ePass kommt auch mit einem PIN-Konzept. Wie bei einer Karte für den Geldautomaten muss diese PIN gegebenenfalls angegeben werden, um weitere Informationen freizuschalten. Der Clou: Damit der Nutzer gegenüber Ordnungskräften nicht behaupten kann, er habe die PIN vergessen, wird zumindest eine dieser Geheimnummern auf den ePass aufgedruckt. Die PIN für die Internetidentität ist davon aber nicht betroffen - und sechsstellig. Hier rechnen Kurz und Starbug mit einigen Problemen, da schon vierstellige PINs leicht vergessen werden.
Wer sich mit der neuen Internetausweisfunktion des ePass vor Phishing-Attacken schützen möchte, benötigt allerdings noch Hardware. Die entsprechenden Lesegeräte soll es derzeit für mehr als 100 Euro geben. Dabei wird die Hoffnung gehegt, einen Preis von 35 Euro zu erreichen. Die Politik hofft gar auf einen Preis von 15 Euro.
Was laut Starbug den Rahmen wirklich sprengt, ist allerdings der Umstand, dass der Chip im Inneren des neuen Ausweises beschreibbar sein wird. Gleichzeitig existieren tausende Stellen, die diesen Chip beschreiben können. Von Meldeämtern bis hin zu Auslandsvertretungen kann der Chip in vielen Vertretungen der Bundesregierung neu beschrieben werden. Das gesamte Konzept des sicheren Einkaufs im Internet sei damit hinfällig, so die Hacker.
Weiterhin wird kritisiert, dass die Schwächen des elektronischen Reisepasses und der dazugehörenden Lesevorrichtungen, etwa für Fingerabdrücke, auch weiterhin gelten. Mit den modernen Lesegeräten für Finger sind zwar etwa sehr hoch aufgelöste Abdrücke lesbar, gegen einfache Angriffe, wie etwa das Auflegen von Wolfgang Schäubles Fingerabdruck, dessen Sicherheitkopien der CCC verteilt hat , hilft das aber weiterhin nicht.
Der CCC bemängelt zudem, dass starke wirtschaftliche Kräfte bei der ePass-Debatte wirken. Außerdem hat das BMI nur an ungünstigen Stellen aus dem Vorhaben des elektronischen Reisepasses gelernt. Informationen, die der ePass-Debatte schaden könnten, gibt das BMI nicht mehr heraus, kritisieren Kurz und Starbug. Das BMI solle sich indes darüber freuen, dass es bisher kaum kritische Stimmen zum ePass gibt, was angesichts der Informationsknappheit kaum verwundert. Alles in allem glauben die Hacker nicht, dass das Konzept, das hinter dem ePass steckt, erfolgreich sein wird.