Identitätsklau Sicherheitslücken im neuen Personalausweis nicht geschlossen
Die Nutzung des neuen elektronischen Personalausweises (ePerso) birgt nach einem Fernsehbericht von Report München (ARD) weiterhin erhebliche Sicherheitsrisiken. Ein IT-Experte des Chaos Computer Clubs (CCC) demonstrierte in dem Beitrag, wie Hacker die PIN des Ausweises ausspähen und sensible persönliche Daten einsehen und nach Belieben missbrauchen können. Bundesinnenminister Hans-Peter Friedrich (CSU) redet die Risiken jedoch klein.
Der neue Personalausweis soll Bürgern das Leben leichter machen. Dank auf dem Ausweis gespeicherter Daten können Bürger damit viele Behördengänge im Internet erledigen, Konten eröffnen, Verträge abschließen oder Führungszeugnisse beantragen.
Rund 21 Millionen Bundesbürger sind laut Auskunft des Kompetenzzentrums Neuer Personalausweis im Besitz eines solchen Ausweises. Davon haben rund 30 Prozent die Online-Ausweisfunktion aktiviert. Doch Sicherheitsexperten wie Volker Birk vom Chaos Computer Club warnen vor den Sicherheitsrisiken: Die Onlineausweis-Funktion ermögliche es Hackern, sensible Daten abzugreifen und zu missbrauchen.
Schwachstelle sind die Basislesegeräte
Die Schwachstelle sind vor allem die einfachen und billigen Basislesegeräte, mit denen die Daten des Personalausweises ausgelesen werden können. Diese werden per USB an den PC angeschlossen und haben keine eigene Tastatur. Die PIN für den ePerso muss der Ausweisbesitzer deshalb am PC über dessen Tastatur eingeben.
Genau hier setzt ein Hacker mit einem Spionageprogramm an, wie Birk demonstrierte. Er belauscht aus der Ferne über das Internet die Tastatureingabe und kann so die PIN mitlesen. "Der PC ist keine sichere Möglichkeit, eine PIN einzugeben, weil man PCs abhören kann", sagte Birk dem TV-Magazin.
Alle Daten liegen offen
In dem Beitrag von Report München konnte IT-Experte Birk mit der erbeutete PIN weitere Daten ausspähen, so lange der Personalausweis noch in dem Basislesegerät des Computers des Opfers steckte. Er erbeutete nicht nur Name, Geburtsdatum und Anschrift des Opfers. Er konnte sogar den kompletten Datensatz der Rentenversicherung auslesen und so im Detail erfahren, wo das Opfer wie lange beschäftigt war und wie viel es verdient hat.
Online-Kriminelle können Bankkonten eröffnen
Außerdem konnte Birk mit den persönlichen Daten ein Bankkonto im Namen des Opfers eröffnen. Das ist besonders gefährlich, wie sich im Beitrag in einem Gespräch mit André Schulz vom Bund deutscher Kriminalbeamter zeigte. Schulz erklärte, dass Kriminelle so Konten zur Geldwäsche eröffnen könnten. Oft würden solche Konten nur für wenige Minuten bis wenige Stunden benötigt, um große Summen illegalen Geldes zu transferieren.
Bis Bank und Opfer den Missbrauch bemerken, sei es längst zu spät. Schulz rechnet damit, dass genau das in Zukunft häufiger passieren wird und warnte, diese Art von Datenklau sei ein Bereich, "der auch für die organisierte Kriminalität und Geldwäsche interessant wird".
Bundesinnenminister hält Basislesegeräte für sicher
Bundesinnenminister Hans-Peter Friedrich (CSU) hält das Basislesegerät dennoch für sicher und appelliert an die Umsicht der Nutzer. "Man muss eben auch dafür sorgen, dass man versucht, seinen Computer so gut wie möglich zu schützen", sagte Friedrich im Beitrag von Report München.
IT-Experte Birk hielt dem entgegen, dass mindestens jeder vierte Windows-Rechner bereits geknackt sei und abgehört würde. Das Gesetz über Personalausweise und den elektronischen Identitätsnachweis, das die Regelungen für den neuen elektronischen Personalausweis festschreibt, ist zum 1. August 2013 in Kraft getreten. Wer den neuen ePerso bekommt, kann selbst entscheiden, ob er die Online-Ausweisfunktion aktivieren und nutzen möchte.
Sichere Lesegeräte sind teuer
Es werden drei Kategorien von Lesegeräten unterschieden. Neben den Basislesegeräten gibt es Standard- und Komfortlesegeräte, die beide über eine eigene Tastatur verfügen und damit für die PIN-Eingabe vom PC unabhängig sind. Experten empfehlen den Einsatz dieser Geräte, die 50 Euro (Standardlesegeräte) und ab 90 Euro (Komfortlesegeräte) zu haben sind. Die teuren Komfortlesegeräte haben ein eigenes Display, eine eigene PIN-Verschlüsselung und unterstützen außerdem die digitale Unterschriftfunktion.
Es steht jedoch zu befürchten, dass viele Menschen die günstigen Basislesegeräte für unter 30 Euro benutzen werden. Die Stadt Münster als Vorzeigekommune verschenkte jüngst erst 40.000 der unsicheren Geräte an ihre Einwohner. Auch als Beileger von PC-Zeitschriften waren sie durchaus beliebt.