Archivierter Artikel vom 24.08.2010, 12:22 Uhr
Berlin

BSI: Neuer Personalausweis ist sicher

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Kritik an der Sicherheit der neuen Personalausweise zurückgewiesen. «Der Ausweis ist sicher», erklärte der zuständige Experte der Behörde, Jens Bender, am Dienstag (24. August).

Lesezeit: 2 Minuten
Neuer Personalausweis
Sorgt schon vor seiner Einführung für Wirbel: der neue Personalausweis mit integriertem Chip. (Bild: dpa)

Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen «ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort», sagte Bender zu einem Bericht des ARD-Magazins «Plusminus», der am Dienstagabend ausgestrahlt werden soll. Für den Bericht hatte die «Plusminus»-Redaktion zusammen mit dem Chaos Computerclub Testversionen der Basis-Lesegeräte für den Ausweis geprüft. Demnach sei es für Betrüger problemlos möglich, sensible Daten abzufangen – inklusive der geheimen, sechsstelligen PIN-Nummer.

Denkbar sei zwar ein klassischer Trojaner-Angriff, bei dem etwa mit einem «Keylogger» die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne, erläuterte BSI-Experte Bender weiter. «Damit habe ich aber noch keinerlei Zugriff auf die persönlichen Daten.» Diese würden nur verschlüsselt übertragen. «Auch als Angreifer komme ich nicht an die Daten heran».

Die Sicherheitsabfrage der Personalausweis-PIN erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Ein solcher «Basisleser» sei für die Online-Authentifizierung in Ordnung, sagte Bender. Eine zusätzliche Sicherheit biete ein sogenanntes Pinpad mit integrierter Zifferneingabe. Die PIN muss hierbei nicht über die PC-Tastatur eingetippt werden. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der Personalausweisexperte und verwies auf regelmäßige Updates der Software, die Einrichtung einer Firewall und einen aktuellen Virenschutz.

Webpräsenz des BSI

Link zu ARD-Sendung Plusminus

Der «Personalausweis 2.0»

Der «Personalausweis 2.0» mit integriertem Chip soll ab November 2010 ausgegeben werden. Wer den Ausweis fürs Online-Shopping verwenden will, benötigt dafür ein Lesegerät. Dieses wird mit der USB-Schnittstelle des Computers verbunden. Sobald der Ausweis mit dem Chip locker daraufgelegt wird, können verschlüsselte Personalausweis-Daten ausgelesen und online verwendet werden.

Die einfache Ausführung solcher Lesegeräte für Chips mit Nahfunktechnik (Near Field Communication, NFC) enthält aber nur die Technik für den Empfang der Daten – die für den Übertragungsvorgang erforderliche PIN wird über die PC-Tastatur eingegeben.

Zum Start sponsert das Bundesinnenministerium nach einem ARD-Bericht von «Plusminus» mehr als eine Million der benötigten Lesegeräte. Diese sollen unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos als sogenannte Starter Kits verteilt werden.

Wer vor November einen Personalausweis beantragt, bekommt jedoch noch das alte Dokument ausgehändigt. Bei bisherigen Personalausweisen muss man bis zum Ende der Gültigkeitsdauer von zehn Jahren nichts unternehmen. Ein vorzeitiger Umtausch ist aber möglich.