Immer mehr Sicherheitslücken beim neuen Personalausweis
Köln, 21.09.2010 (ots)
Sperrfrist für alle Medien: Mittwoch, 22.09.2010, 00:00 Uhr
Immer mehr Sicherheitslücken beim neuen Personalausweis
Brüssel, 22. September 2010
Der neue Personalausweis wird zu einem immer größeren Sicherheitsrisiko für seine Besitzer: Jetzt haben Computerexperten den Chip eines Prototyp-Ausweises geknackt und die geheime PIN-Nummer ändern können. So konnten sie alle neuen Servicefunktionen, die der Personalausweis den Verbrauchern liefert, sperren. Außerdem wiesen sie nach, dass die geplante elektronische Signatur manipulierbar ist - und so Verträge in fremdem Namen unterzeichnet werden können. Darüber berichtet am heutigen Mittwoch- Abend das WDR-Magazin "Bericht aus Brüssel" (21:55 Uhr, WDR Fernsehen).
Auf einem ersten Testmodell des neuen Ausweises überschrieben Hacker des Chaos-Computer-Clubs den Chip, der künftig in jedem neuen deutschen Ausweis steckt. Er speichert nicht nur biometrische Informationen, sondern auch eine PIN-Nummer, die notwendig ist, um damit Online-Geschäfte zu tätigen. In einem ersten Schritt stahlen die Hacker diese Geheimnummer, in einem zweiten veränderten sie diese dann. So konnten sie selbst den Ausweis nutzen, um im Internet zum Beispiel Kaufverträge abzuschließen - während der eigentliche Besitzer des Ausweises keinen Zugriff mehr auf diese Servicefunktionen hat.
Und damit ist die Liste der Sicherheitslücken nicht beendet: Die Hacker führten an einem Schweizer Ausweis vor, wie fehleranfällig das elektronische Signatursystem ist, die in vergleichbarer Weise auch für die neuen Personalausweise vorgesehen ist: Sie zeigten, dass Unbefugte die elektronische Signatur mit Spionagesoftware stehlen und dann in fremdem Namen Verträge unterzeichnen können. Eigentlich sollen Verbraucher mit ihrer elektronischen Unterschrift künftig ohne Risiko online Verträge signieren und sich beispielsweise einen Behörden- oder Postgang ersparen können.
Biometrische Personalausweise, die zugleich Servicekarten sind, gibt es bereits in vielen europäischen Staaten. In Deutschland sollen die neuen elektronischen Personalausweise am 1.11. 2010 eingeführt werden. Ein Ausweis kostet dann 28,80 Euro und ersetzt die nur acht Euro teure alte Variante. Die Mehrkosten begründet die Bundesregierung bislang mit einem höheren Sicherheitsniveau. Constanze Kurz vom Chaos-Computer-Club sieht den neuen Ausweis mit integrierten Servicefunktionen kritisch: "Da sind sehr viele Versprechen dabei, dem sollte man kein Vertrauen entgegenbringen."
Bereits vor drei Wochen hatte das ARD-Wirtschaftsmagazin "plusminus" über eine erste Sicherheitslücke berichtet: Mitglieder des Chaos-Computer-Clubs hatten demonstriert, wie Unbefugte Internetgeschäfte, die durch den elektronischen Personalausweis eigentlich an Sicherheit gewinnen sollen, mittels einfachster Technik nachvollziehen und so an wichtige Informationen wie Geheimnummern oder Bankdaten kommen können.
Pressekontakt:
Barbara.Feiereis@wdr.de, WDR-Pressestelle, Tel. 0221.2204605
Original content of: WDR Westdeutscher Rundfunk, transmitted by news aktuell