Regeln fürs sichere Einkaufen mit „Perso“

Berlin. Der neue Personalausweis soll Geschäfte im Internet sicherer machen. Doch Fachleute sehen Schwachstellen. Worauf Nutzer achten müssen:

Wer sich mit der Plastikkarte im Internet ausweisen will, braucht einen Computer mit Internetverbindung und ein Kartenlesegerät. Die billigen Leser der Sicherheitsklasse 1 sind aber massiv in die Kritik geraten. Weil sie keine eigene Tastatur haben, müssen Nutzer ihre geheime PIN über den Rechner eingeben. Das birgt Risiken: Was, wenn auf dem PC ein Schnüffel-Programm im Hintergrund läuft? Der Chaos Computer Club (CCC) hat gezeigt, dass Angreifer dann unter bestimmten Umständen die Geheimnummer abgreifen können.

Der CCC und andere Experten empfehlen Bürgern daher, ein höherwertiges Gerät mit eigener Tastatur zu kaufen, das mindestens zur Geräteklasse 2 gehört. Bisher sind aber praktisch nur Basismodelle verfügbar. Immerhin: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert derzeit eine ganze Reihe von Geräten.

Unabhängig von der Kategorie gilt: nur Leser kaufen, die das BSI überprüft und mit seinem Logo versehen hat. Eine weitere Absicherung: Der Ausweis darf nur auf dem Gerät liegen, wenn Nutzer gerade eine Transaktion abschließen, also zum Beispiel einkaufen. Denn Plastikkarte und PIN funktionieren nur in Kombination. Selbst wenn Kriminelle die Nummer abgefangen haben, können sie nichts tun, solange der Ausweis im Portemonnaie steckt.

Auch den Rechner gilt es abzusichern. Verbraucherschützerin Cornelia Tausch sieht das kritisch: „Dem Nutzer wird zugemutet, dass der Rechner virenfrei und mit einer Firewall ausgestattet ist. Nicht jeder Mensch ist in der Lage, dies zu gewährleisten.“