News

CCC knackt neuen Personalausweis

Das WDR-Magazin "Bericht aus Brüssel" zeigt neue Sicherheitslücken beim neuen Personalausweis auf: Dem Chaos Computer Club gelang die Manipulation der elektronischen Signatur.

Datenverkehr© Julien Eichinger / Fotolia.com

Der 1. November, der Stichtag für die Einführung des neuen Personalausweises, rückt näher. Doch die Zweifel an der Sicherheit des Ausweises im Scheckkartenformat wachsen. "Das ist das sicherste Dokument, das Sie auf dem Planeten finden können" betonte noch im August Rüdiger Stroh, Geschäftsführer des Chip-Herstellers NXP. Das Unternehmen hat den Sicherheitschip entwickelt, der in dem Ausweis 2.0 integriert ist. Das WDR-Magazin "Bericht aus Brüssel" weist nun auf neu entdeckte Sicherheitslücken hin, die die Computerexperten des Chaos Computer Clubs (CCC) aufdecken konnten.

CCC: Elektronische Signatur ist manipulierbar

Dem CCC gelang es, den Chip eines Prototyp-Ausweises zu knacken und die geheime PIN-Nummer zu ändern. Die Folge: Die Experten konnten alle Servicefunktionen des Ausweises sperren. Zudem konnten sie nachweisen, dass sich die geplante elektronische Signatur manipulieren lässt. Die CCC-Hacker stahlen zunächst die PIN für den Ausweis und veränderten sie dann. Mit der neuen PIN-Nummer konnten sie im Internet beispielsweise Kaufverträge in fremden Namen abschließen. Der eigentliche Besitzer des Ausweises hatte dagegen keinen Zugriff mehr auf solche Funktionen.

Das elektronische Signatursystem sei laut CCC sehr fehleranfällig. Am Beispiel eines Schweizer Ausweises, der über ein vergleichbares System verfüge, demonstrierten sie, wie sich die elektronische Signatur mit einer Spionagesoftware stehlen lasse. Ein mehr an Sicherheit durch den neuen Ausweis und ein risikoloses Abschließen von Online-Verträgen sei aus Sicht des CCC derzeit nicht gegeben. "Da sind sehr viele Versprechen dabei, dem sollte man kein Vertrauen entgegenbringen", so Constanze Kurz vom CCC. Die Bundesregierung hatte die Kosten für den neuen Ausweis, der zu einem Preis von 28,80 Euro verglichen mit dem nur acht Euro kostenden alten Ausweisdokument erheblich teurer ist, mit dem höheren Sicherheitsniveau begründet.

Mit einfachsten technischen Mitteln: Zugriff auf sensible Daten

Das WDR Fernsehen strahlt den Beitrag zu den neuen Sicherheitslücken des künftigen Personalausweises im "Bericht aus Brüssel" am Mittwochabend um 21.55 Uhr aus. Schon vor drei Wochen hatte das ARD-Magazin "plusminus" erste Sicherheitsmängel beim neuen Personalausweis aufgezeigt. Auch damals waren es CCC-Mitglieder, die mit dem Personalausweis durchgeführte Internetgeschäfte mit einfachen Mitteln nachvollziehen konnten. Das eröffnete den Zugriff auf sensible Informationen wie Geheimnummern oder Bankdaten.

Inzwischen reagierte am Mittwoch auch das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) und bleibt bei seiner Position: Der neue Personalausweis ist sicher.

(Jörg Schamberg)

Kommentieren Forum
Zum Seitenanfang