CCC legt nach: Schwere Sicherheitsmängel beim neuen Personalausweis

Rechtsanwalt & Fachanwalt für Informationstechnologierecht Jens Ferner: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren im gesamten IT-Recht & Datenschutzrecht. Zu meiner Kerntätigkeit gehören als Fachanwalt für IT-Recht das Softwarerecht, Domainrecht, IT-Vertragsrecht, sowie mit Bezügen zur IT das Urheberrecht und Markenrecht.

Besprechungstermin vereinbaren: 02404-92100 | Anwalt für IT-Recht

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

Der Chaos Computer Club hat gestern Abend nachgelegt und seine Kritik am neuen elektronischen Personalausweis bestärkt. Die Kritik richtet sich erneut gegen die Art der Auslesung des Personalausweises, speziell:

  1. Dass die Bundesregierung die schon vormals kritisierten unsicheren Lesegeräte der Klasse 1, ohne eigenes Eingabefeld, verteilen lässt.
  2. Dass es möglich war, Dokumente mit Javascript-Inhalt (der sich ändern kann und nicht statisch ist!) zu signieren wobei die spätere Signatur weiter als Intakt/Qualifiziert gekennzeichnet ist. Das heisst, zwischen dem ursprünglich signierten und später angezeigtem Inhalt kann ohne Signaturverlust ein Unterschied bestehen.
  3. Es wird nicht berücksichtigt, dass Schadsoftware (so genannter „Man in the Browser“ – nicht das gleiche wie der „Man in the Middle“ – Angriff, aber artgleich) den Inhalt laufender Transaktionen beeinflussen kann, ohne das der Nutzer es merkt.
  4. Der CCC verweist auf die Blackhat 2010, auf der das erfolgreiche Klonen von Identitäten demonstriert wurde, das von mir schon vor langem prognostizierte Skimming mit Personalausweisen ist damit schon nachgewiesen, noch bevor die Ausweise überhaupt auf dem Markt sind.

Was heisst das für den Anwender? Vielleicht nicht unbedingt zu den Ersten gehören, die sich so einen Ausweis holen. Dabei denke ich, darf man den Anwendern auch nicht erzählen, eine absolute Sicherheit wäre möglich, ein solcher Zustand wäre Utopisch. Allerdings gibt es immer ein Maximum an Sicherheit, das man erreichen kann und das man bei einem derart sensiblen Dokument auch anstreben muss. Dabei darf man sich auch nichts vormachen: Wer den neuen Personalausweis nutzt, von dem werden grundlegende technische Kenntnisse abverlangt, etwa was den Betrieb einer üblichen Sicherheitsumgebung in dem Umfeld angeht, in dem man den Personalausweis einsetzt. Damit gehen auch erhebliche soziale Probleme einher, da in gewissem Maße Spezialkenntnisse bei einem (verpflichtend zu besitzenden) Alltagswerkzeug vorausgesetzt werden.

Die Maßnahmen der Bundesregierung, sicherlich auch geprägt von einem akuten Erfolgsdruck bei diesem Projekt, lassen letzten Endes den Anspruch des Strebens nach maximaler Sicherheit vermissen. Die Wortwahl des CCC, der von „Augenwischerei“ spricht und zwischen den Zeilen schon andeutet, dass hier eine Realitätsferne Staatspropaganda betrieben wird, finde ich keinesfalls abwegig. Nicht nur als Jurist, sondern gerade als jemand, der lange Zeit seine Brötchen mit der Prüfung von IT-Sicherheitskonzepten verdient hat, kann ich unter den aktuellen Vorzeichen dem CCC nur beipflichten und sagen: Finger weg, jedenfalls bis zur zweiten Generation des elektronischen Personalausweises. Kommen wird die nämlich in jedem Fall.

Hinweis: Wer, vielleicht auch aus technischem Unverständnis heraus, die Kritik nicht versteht, dem sei der Hinweis gegeben, dass erst kürzlich eine 9. Klasse aus Grevenbroich im Physik-Unterricht das geschafft hat, was laut BSI unmöglich sein sollte – sie deaktivierten/zerstörten den Chip des Ausweises mit einfachsten Mitteln. Nachzulesen hier.

Zum Thema: