report München: Sicherheitslücken beim neuen Personalausweis

BDK rät vom Gebrauch tastaturloser Basislesegeräte ab

[datensicherheit.de, 27.08.2013] Nach Recherchen des ARD-Politmagazins report München und des BR-Funkstreifzugs ist die Onlineausweisfunktion des neuen Personalausweises weiterhin angreifbar und ermöglicht, sensible Daten von Nutzern auszuspähen. In einem gemeinsamen Versuch mit dem Chaos-Computer-Club (CCC) gelang es, einen Ausweis fremdzusteuern und persönliche Daten zum Beispiel über die Rentenversicherung einer fremden Person abzurufen. Bundesinnenminister Hans-Peter Friedrich schätzt die Onlineausweisfunktion trotzdem als sicher ein und überträgt die Verantwortung auf die Bürger.

Für report München las der IT-Experte und CCC-Hacker Volker Birk die PIN-Nummer eines Ausweises aus. Angriffsziel ist der Computer, auf dem der Nutzer die Geheimnummer eingibt. Voraussetzung ist, dass der Ausweis über ein Basislesegerät ohne eigene Tastatur an den Computer angeschlossen wird. Bei dem Angriff konnte ein so genannter Keylogger die virtuelle Bildschirmtastatur ausspähen. „Der PC ist keine sichere Möglichkeit eine PIN einzugeben, weil man PCs abhören kann“, sagte Volker Birk gegenüber report München. Bereits zur Einführung des neuen Personalausweises vor drei Jahren hatte der CCC die Basislesegeräte kritisiert.

In dem neuen Versuch gelang es erstmals, die PIN automatisiert von der Bildschirmtastatur auszulesen und danach den Ausweis fremdzusteuern. So konnte der Hacker sensible Daten über die Deutsche Rentenversicherung abrufen und genau sehen, wann die Ausweisbesitzerin gearbeitet und wie viel sie verdient hat. Seiner Meinung nach ist ein solcher Angriff auch massenhaft möglich – und das, ohne den Ausweis zu besitzen.

Außerdem war es möglich, ein Bankkonto mit der gehackten Identität einzurichten. Diese Möglichkeit wertet der Bund Deutscher Kriminalbeamter (BDK) kritisch: Mit solchen Konten könne Geldwäsche betrieben werden. „Ein Bereich, der auch für die organisierte Kriminalität interessant wird“, warnte der Verbands-Vorsitzende André Schulz im Interview mit report München. Der BDK rät davon ab, die tastaturlosen Basislesegeräte zu benutzen.

Die Bundesregierung weist die Kritik am neuen Personalausweis und den Lesegeräten zurück. „Man muss eben auch dafür sorgen, dass man versucht, seinen Computer so gut wie möglich zu schützen. Insofern kann man nicht sagen, dass automatisch dieses Basismodell weniger Sicherheit bietet“, sagte Innenminister Hans-Peter Friedrich im Interview mit report München. Doch der CCC-Aktivist Volker Birk zweifelt an dieser Einschätzung: „Mindestens jeder vierte Windows-Rechner dürfte schon geknackt sein und in diesem Sinne abgehört werden.“

Mehr zu diesem Thema heute, Dienstag, 27. August 2013 in report MÜNCHEN um 21:45 Uhr im Ersten.

Quelle: ARD-Politmagazin report MÜNCHEN.