CCC legt nach: Schwere Sicherheitsmängel beim neuen Personalausweis

Der Chaos Computer Club hat gestern Abend nachgelegt und seine Kritik am neuen elektronischen Personalausweis bestärkt. Die Kritik richtet sich erneut gegen die Art der Auslesung des Personalausweises, speziell:

  1. Dass die Bundesregierung die schon vormals kritisierten unsicheren Lesegeräte der Klasse 1, ohne eigenes Eingabefeld, verteilen lässt.
  2. Dass es möglich war, Dokumente mit Javascript-Inhalt (der sich ändern kann und nicht statisch ist!) zu signieren wobei die spätere Signatur weiter als Intakt/Qualifiziert gekennzeichnet ist. Das heisst, zwischen dem ursprünglich signierten und später angezeigtem Inhalt kann ohne Signaturverlust ein Unterschied bestehen.
  3. Es wird nicht berücksichtigt, dass Schadsoftware (so genannter „Man in the Browser“ – nicht das gleiche wie der „Man in the Middle“ – Angriff, aber artgleich) den Inhalt laufender Transaktionen beeinflussen kann, ohne das der Nutzer es merkt.
  4. Der CCC verweist auf die Blackhat 2010, auf der das erfolgreiche Klonen von Identitäten demonstriert wurde, das von mir schon vor langem prognostizierte mit Personalausweisen ist damit schon nachgewiesen, noch bevor die Ausweise überhaupt auf dem Markt sind.

Was heisst das für den Anwender? Vielleicht nicht unbedingt zu den Ersten gehören, die sich so einen Ausweis holen. Dabei denke ich, darf man den Anwendern auch nicht erzählen, eine absolute Sicherheit wäre möglich, ein solcher Zustand wäre Utopisch. Allerdings gibt es immer ein Maximum an Sicherheit, das man erreichen kann und das man bei einem derart sensiblen Dokument auch anstreben muss. Dabei darf man sich auch nichts vormachen: Wer den neuen Personalausweis nutzt, von dem werden grundlegende technische Kenntnisse abverlangt, etwa was den Betrieb einer üblichen Sicherheitsumgebung in dem Umfeld angeht, in dem man den Personalausweis einsetzt. Damit gehen auch erhebliche soziale Probleme einher, da in gewissem Maße Spezialkenntnisse bei einem (verpflichtend zu besitzenden) Alltagswerkzeug vorausgesetzt werden.

Die Maßnahmen der Bundesregierung, sicherlich auch geprägt von einem akuten Erfolgsdruck bei diesem Projekt, lassen letzten Endes den Anspruch des Strebens nach maximaler Sicherheit vermissen. Die Wortwahl des CCC, der von „Augenwischerei“ spricht und zwischen den Zeilen schon andeutet, dass hier eine Realitätsferne Staatspropaganda betrieben wird, finde ich keinesfalls abwegig. Nicht nur als Jurist, sondern gerade als jemand, der lange Zeit seine Brötchen mit der Prüfung von IT-Sicherheitskonzepten verdient hat, kann ich unter den aktuellen Vorzeichen dem CCC nur beipflichten und sagen: Finger weg, jedenfalls bis zur zweiten Generation des elektronischen Personalausweises. Kommen wird die nämlich in jedem Fall.

Hinweis: Wer, vielleicht auch aus technischem Unverständnis heraus, die Kritik nicht versteht, dem sei der Hinweis gegeben, dass erst kürzlich eine 9. Klasse aus Grevenbroich im Physik-Unterricht das geschafft hat, was laut BSI unmöglich sein sollte – sie deaktivierten/zerstörten den Chip des Ausweises mit einfachsten Mitteln. Nachzulesen hier.

Zum Thema:

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.