Der erste Beitrag dazu stammt aus dem Fernsehmagazin "plusminus". Den Reportern war es mithilfe des Chaos Computerclub e.V. gelungen, die Eingabe der Ausweis-PIN abzufangen. Machbar ist dies, wenn der Nutzer des Personalausweises einen Kartenleser aus der sogenannten Kategorie B, also ein Basislesegerät benutzt.
Basislesegeräte, also die Geräte, die für 24 Mio. Euro vom Bund an die Bürger verschenkt werden, besitzen im Gegensatz zu höherwertigen Geräten weder ein eigenes Eingabefeld (ab Standardlesegerät), noch eine eigene digitale Anzeige (nur Komfortlesegerät). Die Eingabe der PIN muss also über die Tastatur erfolgen, ein gefundenes Fressen für jeden Trojaner und Keylogger.
Natürlich wurde diese Sicherheitslücke sofort vom Bundesamt für Sicherheit in der Informationstechnik (BSI) relativert. Das Verfahren sei sicherer, als bisherige Zugangsverfahren im Internet und man verweist auf die übliche Mitwirkungspflicht der Bürger, ihre Sicherheitsmaßnahmen am heimischen PC auf dem neuesten Stand zu halten. Das ist eine legitime Stellungnahme, warum aber dann Geräte für eine Millionensumme verschenken, die das BSI im Umgang mit der PIN selbst als unsicher einstuft?
Wie heikel die Nutzung des nPA sein kann, das zeigte ein Beitrag von Bericht aus Brüssel. Auch hier wurde in Zusammenarbeit mit dem CCC gezeigt, welche Folgen Unachtsamkeit bei der Verwendung der Basislesegeräte haben kann.
Demnach wurde die PIN des Ausweises nicht nur abgefangen, sondern auch verändert und zurück auf den Ausweis gespeichert. Dies ist dann möglich, wenn der Nutzer des nPA diesen auf dem Lesegerät liegen lässt. Der RFID-Chip der Karte bleibt in Kontakt mit dem Lesegerät, und so wäre es den Eindringlingen möglich, Online-Geschäfte wie die Eröffnung eines Bankkontos zu erledigen. Umgekehrt sind all diese Möglichkeiten dem rechtmäßigen Inhaber der Karte dann verwehrt. Den Einbruchsversuch merkt er erst, wenn seine ihm bekannte PIN nicht mehr funktioniert. Nicht nur ist es unter Umständen dann schon zu spät, sondern es bleibt ihm dann auch nur noch der Weg ins Bürgerbüro wo er (für 6€) eine neue PIN einspielen lassen kann.
Bekennende Early Adopter sollten also, wenn sie ab 1. November ihre Papierkarte gegen den neuen elektronischen Ausweis eintauschen, einige grundlegende Regeln zur Sicherheit beachten. Zum einen gilt es jetzt umso mehr denn je, seinem PC die nötigen Abwehrkräfte zu verpassen. Ein aktueller Virenscanner (kostenlos zum Beispiel von Avira oder die Microsoft Security Essentials) gehört ebenso zum Pflichtprogramm, wie eine vernünftige Firewall. Beide Sicherheitseinrichtungen sind aber wirkungslos, wenn die genutzt Software selbst Lücken aufweist. Daher Betriebssystem, Browser und sonstige Programme wie Flash oder Adobe Reader regelmäßig updaten.
Außerdem sollten die Cat-B Geräte dankend abgelehnt und stattdessen etwas Geld in einen Kartenleser mindestens der Kategorie S investiert werden.
Nicht zuletzt darf die Karte dort auch nur in dem Moment zum Einsatz kommen, wenn Sie wirklich gebraucht wird.
Wer all diese Regeln auch noch im Kopf aufsagen kann, wenn er die Formulare für den Ausweis unterschreibt, der sollte der frühen Nutzung des nPA entspannt entgegenschauen können.
Quellen
- http://www.cio.bund.de/DE/IT-Investitionsprogramm/Aktivitaeten/Zuwendungsmassnahme_IT-Sicherheitskit/aktivitaeten_zuwendungsmassnahme_it_sicherheitskit_node.html
- https://www.bsi.bund.de/cae/servlet/contentblob/850316/publicationFile/51686/BSI-TR-03119_V1_pdf.pdf
- http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/personalausweis.jsp
- http://www.heise.de/security/meldung/Elektronischer-Personalausweis-Sicherheitsdefizite-bei-Lesegeraeten-Update-1064338.html
- http://www.heise.de/security/meldung/CCC-zeigt-Sicherheitsprobleme-beim-elektronischen-Personalausweis-auf-Update-1083649.html