Funkenstrahlen Podcasting, Netzpolitik, App-Entwicklung

Der elektronische Personalausweis - der angeblich sicherste Pass der Welt...

Zunächst einmal ist klar: Der neue Personalausweis, den es ab November in Ihrem Rathaus des Vertrauens für einen Sonderpreis von 28€ zu erwerben gibt, soll kleiner, schicker, sicherer und funktionaler werden als der aktuelle Personalausweis. Doch die Kritik gegen den neuen Ausweis richtet sich nicht nur gegen den sehr hohen Preis (zu Erinnerung: Der aktuelle Personalausweis kostet gerade einmal 8€), sondern vor allem gegen die Sicherheit der neuen Funktionalitäten des neuen Passes. Weitere Details über die Funktionalität des neuen Personalausweises findet ihr auf der entsprechenden Seite der Wikipedia.

Die problematischste und zugleich am meisten propagierte Funktionalität des neuen Passes ist die Möglichkeit sich im Internet rechtssicher auszuweisen. Dabei wird der Ausweis auf ein Lesegerät gelegt, das man per USB an den eigenen Rechner anschließt. In einer speziellen Software muss man dann seine PIN eintippen - ähnlich wie bei der EC-Karte am Bankschalter. Nun kann man elektronische Dokumente am Rechner unterschreiben und Verträge abschließen - mit der gleichen rechtlichen Gültigkeit als habe man seine handschriftliche Unterschrift unter einen Vertrag gesetzt.

Das ist nun aber genau der Punkt an dem Kritiker ansetzen: Was wenn die PIN in falsche Hände gerät? Was wenn die Daten des Ausweises kopierbar oder gar manipulierbar sind? Was wenn plötzlich Dritte mit meiner Identität auf Einkaufstour gehen? Es ist dann meine Unterschrift die digital unter einem Vertrag steht. Es wird unmöglich sein vor Gericht nachzuweisen, dass die eigene Identität gestohlen wurde.

Der Chaos Computer Club hat demonstriert dass das möglich ist und einen detaillierten Artikel darüber auf seiner Webseite veröffentlicht. Zudem berichtete die Sendung Plus Minus in der ARD über die Erkenntnisse und Erfahrungen des Chaos Computer Club mit dem neuen Personalausweis:

Darüber berichteten dann auch sehr viele Nachrichtenmagazine. Gute Artikel finden sich bei der Zeit und auf heise Online.

Unser Innenminister De Maiziere sieht in diesen Vorwürfen kein größeres Problem. Wenn das tatsächlich die Herangehensweise unserer Regierung an das Thema Sicherheit beim wichtigsten Dokument in unserem Staat ist, dann ist klar, dass hier sehr viel falsch gemacht wurde.

Wenn man sich jedoch die Quartalszahlen von einem großen Antivirenhersteller Kaspersky anschaut, dann sind es eben gerade nicht "die paar Hacker", die sich mit lustigen Spielchen ihre Zeit vertreiben, sondern es besteht sehr wohl ein großes Problem in Sachen Sicherheit der Anwendercomputer. Dort wird berichtet:

* Auf den Anwendercomputern wurden 33.765.504 nicht gepatchte Sicherheitslücken gefunden.
* Insgesamt wurden 203.997.565 Schadprogramme auf den Computern der User blockiert und unschädlich gemacht

Das sind Zahlen, die man nicht gerade herunterspielen kann. Man bedenke, dass es sich hierbei um ein einziges Quartal handelt! Doch das Ministerium behauptet, die Sicherheit des Ausweises sei nach wie vor hoch, wenn man die Software auf dem eigenen Rechner auf dem neuesten Stand halte. Dass das die Nutzer jedoch nicht tun und zumeist Updatemeldungen ignorieren (sofern die Software so etwas überhaupt bietet) zeigen die Quartalszahlen von Kaspersy.

Das Gesamtsystem, das die Daten des neuen Personalausweises vor unberechtigten Zugriffen schützt, ist auf einem sehr hohen technischen Sicherheitsniveau. Das Sicherheitsniveau des Chips selbst gilt sogar als höchstmöglicher Sicherheitsstandard. Alle verwendeten Protokolle und Mechanismen beim neuen Personalausweis wurden einem Peer-Review der Fachwelt unterzogen. Dabei wurde auch getestet, ob Alternativen ein höheres Maß an Sicherheit bieten können.

Das konkrete Niveau der Sicherheit hängt jedoch immer von der Computerumgebung des Nutzers ab. Dies gilt auch für andere Anwendungen wie das Online-Banking oder Internet-Shopping. Sicherheit kann nicht allein durch technologische Vorkehrungen gewährleistet werden.

Anwender, die das Sicherheitsniveau ihres Rechners kontinuierlich auf dem neuesten Stand halten, indem sie eine aktuelle Firewall und einen leistungsfähigen Virenscanner einsetzen sowie regelmäßige Sicherheitsupdates für das Betriebssystem und alle weitere eingesetzte Software einspielen, brauchen sich um die Sicherheit ihrer persönlichen Daten keine Sorgen zu machen.

http://www.bmi.bund.de/DE/Themen/Sicherheit/PaesseAusweise/ePersonalausweis/ePersonalausweis_node.html

Meiner Meinung nach ist selbst derjenige, der immer mit aktueller Software arbeitet (und dafür jedes Wochenende zwei Stunden opfert) nicht vor Angriffen geschützt. Es gibt Millionen schon entdeckte und noch unentdeckte Sicherheitslücken in Programmen die tag-täglich verwendet werden, für die es noch keinen Patch gibt. Eine wichtige Information für alle, die nun der Meinung sind, dass sie den neuen Pass im Grunde lieber nicht nutzen wollen: Bis Ende Oktober besteht noch die Chance einen alten Personalausweis zu beantragen, der dann für weitere 10 Jahre gültig ist. Einfach aufs Rathaus gehen und beantragen - ihr benötigt auch kein biometrisches Lichtbild. Daher ist das nun vielleicht die letzte Chance noch einen Ausweis zu erwerben, auf dem ihr lächeln dürft. Was haltet ihr vom neuen Personalausweis?