Bundesamt dementiert Bericht über Sicherheitslücke bei neuem Ausweis

Experten der Bundesregierung haben einen Bericht über angebliche Sicherheitslücken bei der Benutzung des neuen elektronischen Personalausweises zurückgewiesen. Die im ARD-Wirtschaftsmagazin „Plusminus“ am Montagabend angesprochenen Möglichkeiten zum Datenklau seien „nicht relevant“, sagte ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) am Dienstag in Bonn. Der Personalausweis sei sicher.

„Plusminus“ hatte gemeinsam mit dem Chaos Computerclub „Basis-Versionen“ der Lesegeräte für den Hausgebrauch der neuen Ausweise getestet. Demnach sei es für Betrüger „problemlos“ möglich, sensible Daten abzufangen, berichtete das Magazin. Der neue scheckkartengroße Personalausweis, der ab 1. November ausgegeben werden soll, enthält einen Chip, auf dem die Daten des Besitzers digital gespeichert sind. Auf diese Weise kann das Dokument mit Hilfe eines speziellen Lesegeräts und zusätzlicher PIN-Nummernabfragen über einen Computer auch zur Identifikation im elektronischen Daten- und Geschäftsverkehr dienen.

Nach Angaben des BSI-Sprechers bezieht sich die von „Plusminus“ formulierte Kritik anscheinend auf die Möglichkeit, ein bereits vorher mit entsprechender Schadsoftware präparierter heimischer Computer könne beim Auslesen der Ausweise die PIN unbemerkt über das Internet an Kriminelle weiterleiten, sofern kein besonderes Lesegerät mit integrierter PIN-Tastatur zum Einsatz komme und der Benutzer die sechsstellige Zahlenkombination direkt über die Tastatur eingebe.

Das sei jedoch mit einer Firewall und einem üblichen Virenschutzprogramm zu verhindern, sagte der Sprecher. Dass sich Betrüger in den Übertragungsvorgang einschalteten, sei unmöglich. Zudem könnten Kriminelle auf diese Weise nicht an die auf dem Chip gespeicherten personenbezogenen Daten gelangen. Das Abfangen der PIN nutze ohne den Diebstahl des dazugehörigen Ausweises wiederum nichts.

Auch der Bundesdatenschutzbeauftragte Peter Schaar betonte, mit der PIN allein könnten Kriminelle nichts anfangen. Zugleich äußerte er Bedenken, diese könnten möglicherweise Wege finden, parallel auch in den Besitz des Ausweises selbst zu gelangen. „Dann ist in der Tat Gefahr im Verzug“, sagte Schaar dem Radiosender NDR Info. Dies gelte etwa, wenn Menschen das Dokument in einem Hotel hinterlegen würden. Er forderte das Bundesinnenministerium auf, von Anfang an nur teurere Lesegeräte mit integrierter PIN-Tastatur einzusetzen.

Spähprogramme wie Trojaner könnten nicht auf die Ziffern zugreifen, die über die speziellen Tasten eingegeben würden, betonte Schaar. Bürger, die den neuen Personalausweis zur Identifikation im elektronischen Bank- und Zahlungsverkehr nutzen wollten, sollten daher aus Sicherheitsgründen von Vorneherein lieber die teureren und sichereren Lesegeräte als die abgespeckte „Basisversion“ kaufen.