CCC findet gravierende Fehler in elektronischen Personalausweisen

Der ePA soll in Deutschland am 1. November veröffentlicht werden und enthält persönliche, sowie biometrische Daten. Er bietet einen beschreibbaren Chip, sowie eine drahtlose Schnittstelle. Die Schweizer Variante ist bereits im Umlauf und bietet ein sehr ähnliches Prinzip

In einem Praxistest demonstrierte der Chaos Computer Club mit den Sicherheitsexperten Max Moser und Thorsten Schröder, dass es für jeden mit frei im Internet erhältlicher Software möglich ist, die beiden Ausweistypen ferngesteuert zu nutzen. Die angewendeten Techniken sind bekannt und wurden laut Aussage der Experten schon mehrmals im Zusammenhang mit Bankbetrug genutzt.

CCC-Sprecher Dirk Engling dazu: //"Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen [...]Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen."//

Verseuchter Computer
Die angesprochenen Karten bieten ähnliche Funktionen wie die österreichische Bürgerkarte. So kann der User mithilfe eines Kartenlesegerätes den entsprechenden Ausweis an den Computer anschließen und sich so mithilfe eines persönlichen PINs online ausweisen. Hier liegt laut den Experten auch die größte Schwachstelle, denn bei herkömmlichen, billigen Kartenlesern (Sicherheitsklasse 1) wird der PIN Code über den Computer beziehungsweise über die Tastatur eingegeben. Sollte der entsprechende Computer mit einem Virus verseucht sein, kann ein potentieller Angreifer den Code abfangen und einsehen.

So wäre es auch wahrscheinlich, dass ein potentieller Angreifer kompletten Zugriff auf die Kartenfunktionen erhält, so lange jene im Kartenleser verbleibt.

Besonders problematisch an diesem Umstand ist, dass von den deutschen Behörden ein sogenanntes //Starter Kit// verteilt wird, das aus eben jenen billigen Lesegeräten besteht. Trotz dieser Tatsache sieht das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) keinen Handlungsbedarf, der User müsse seinen Computer eben vor Schadsoftware schützen.

Der CCC rät Usern in jedem Fall ein Kartenlesegerät der Klasse 2 mit integriertem Keypad für die Codeingabe zu nutzen, so kann zumindest eine Angriffsfläche weitgehend ausgemerzt werden. Dieses Keypad schütze jedoch nicht vor anderen aufgedeckten Sicherheitslücken.

Österreichische Bürgerkarte
In Österreich ist mit der sogenannten Bürgerkarte bereits ein System am laufen, das ganz ähnliche Funktionen wie der deutsche ePA bietet. Auch hier verbindet der User eine zuvor freigeschaltete Karte (meist die E-Card) mittels eines Kartenlesegerätes mit seinem Computer und kann dann mit einem Pin- und einem Signaturcode Dokumente digital unterzeichnen. Mit diesem System lassen sich Banktransaktionen, oder auch verschiedene Amtswege online durchführen.

Auch hier wurden teilweise (unter anderem im Rahmen der ÖH-Wahl) Kartenleser kostenlos verteilt um die Verbreitung zu stärken. Diese Leser entsprachen, wie die in Deutschland geplanten Gerät, der Sicherheitsklasse 1, also ohne Display.

Sensibilisierung
Der, an dem CCC Test beteiligte, Sicherheitsexperte Thorsten Schröder kritisiert, dass Deutsche und Schweizer Behörden immer wieder betonen, dass es nicht möglich sei ein hundert Prozent sicheres System zu entwickeln, jedoch versuchen jenes dem Bürger zu vermitteln, so meint er wörtlich: //"Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Missbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."//

Es geht also in erster Linie darum die User in Sicherheitsfragen bei Übermittlung sensibler Daten im Internet zu sensibilisieren und ein Gefühl der Eigenverantwortung zu geben. Nur wenn ein User über Kontrolle und Bewusstsein über Sicherheitsfragen am eigenen Rechner verfügt, kann ein erster Schritt in Richtung realer Sicherheit in derart heiklen Systemen gemacht werden.

(Thomas Prenner)