BSI: keine Sicherheitslücken beim elektronischen Ausweis

Benutze der Anwender aber eine Firewall, einen aktuellen leistungsfähigen Virenscanner und bringe Browser und Betriebssystem durch Sicherheitsupdates auf den neuesten Stand, sei das in dem TV-Bericht angesprochene Szenario "auszuschließen".

Chaos Computer Club entlarvt Mängel

Das WDR-Magazin "Bericht aus Brüssel" hatte am Mittwochabend berichtet, Experten des Chaos Computer Clubs (CCC) sei es gelungen, die auf dem neuen Personalausweis in einem Chip gespeicherte PIN-Nummer für die Benutzung im Internet auszulesen und zu verändern. Der neue scheckkartengroße Ausweis, der ab 1. November ausgegeben werden soll, enthält einen Chip, auf dem die Daten des Besitzers digital gespeichert sind. Auf diese Weise kann das Dokument mit Hilfe eines speziellen Lesegeräts und zusätzlicher PIN-Abfragen auch zur Identifikation im elektronischen Daten- und Geschäftsverkehr per Computer dienen.

Bereits vor vier Wochen hatte das ARD-Magazin "Plusminus" ebenfalls unter Berufung auf den CCC berichtet, dass Hacker sich während des Einlesevorgangs etwa am heimischen Rechner eines Benutzers Zugang zu den Daten verschaffen und die PIN auslesen könnten. Bereits damals hatte das BSI erwidert, es handle sich nicht um eine Sicherheitslücke des neuen Ausweises, sondern um die eventuelle Folge einer mangelhaften Ausstattung des Computers mit Programmen zum Schutz von Schadprogrammen, wie sie auch in anderen Zusammenhängen von Kriminellen im Internet zu Ausspähung eingesetzt würden.

De Maizière: "dramatischer Sicherheitsgewinn"

Auch Bundesinnenminister Thomas de Maizière (CDU) hatte den neuen Ausweis kürzlich vehement in Schutz genommen. Falls der Benutzer dies wünsche, könne er mit dem neuen Ausweis seine Bankgeschäfte über das Internet von zu Hause aus in einer weitaus sichereren Form als nach dem bislang üblichen Passwörter-Prinzip abwickeln. Verglichen mit dem Ist-Zustand bedeute dies selbst in der technisch einfachsten Variante einen "dramatischen Sicherheitsgewinn" für die Bürger.

Als Reaktion auf den WDR-Bericht vom Mittwoch verwies das BSI zudem darauf, dass Betrügern das Ausspähen oder Verändern der Ausweis-PIN allein kaum nütze. Die PIN ohne den dazugehörigen Ausweis sei wertlos. Als Vorsichtsmaßnahmen sollten Benutzer deshalb darauf achten, den Ausweis nicht länger als nötig auf den PC-Lesegerät liegen zu lassen. Sollte tatsächlich der Verdacht bestehen, dass eine PIN gestohlen oder verändert worden sein könnte, so könnten die Benutzer den Ausweis selbstverständlich auch sperren lassen oder ihrerseits die PIN wieder verändern.