Der neue Personalausweis (nPA) soll noch in diesem Jahr den alten Personalausweis ablösen. Besonders spannend ist die Funktion sich online mit dem neuen "Perso" authentifizieren zu können. Am 24. August wurde die Meldung bekannt, dass es Sicherheitslücken beim Personalausweis gebe. Aber ist dies wirklich eine Lücke des Personalausweises und ist es wirklich kritisch?
Der neue Personalausweis ist mit sehr guten Sicherheitsmechanismen ausgestattet und kann für den Anwender einen riesigen Mehrwert erzeugen, da die Online-Funktion das "Problemkind Passwort" ablösen kann. Statt einer Kombination aus Benutzername und Passwort wird der neue Ausweis zum Anmelden bei verschiedenen Diensten verwendet. Der Anwender benötigt nur den Ausweis, einen Kartenleser, einen Computer und seine persönliche PIN. Die Bundesregierung gibt zu diesem Zweck gratis eine große Anzahl an Kartenlesern an die zukünftigen Anwender heraus.
In der Anwendung wird der kontaktlose nPA auf den ausgegebenen Basisleser (Lesegerät) gelegt und am Computer die zur Karte gehörende PIN eingegeben. An dieser Stelle setzt die Kritik an. So ist es denkbar, dass ein Angreifer mittels eines Trojanerangriffs die Möglichkeit erhält, die PIN des Personalausweises auszuspähen. Dies geschieht mit Hilfe von so genannten „Keyloggern“, die alle an einem Computer getätigten Eingaben aufzeichnen und an den Angreifer übermitteln können – also eben auch eine am Computer eingegebene PIN.
Diese Problematik gilt aber lediglich für die gratis ausgegebenen Basisleser. Beim Einsatz eines Standard- oder Komfortlesegerätes ist dieser Angriffspunkt aufgehoben, da diese Leser über ein Tastenfeld verfügen, an dem die PIN eingegeben wird. Damit findet keine PIN-Eingabe am Computer statt.
Die Kritik geht also nicht gegen den nPA an sich, sondern gegen eine Lesegerät-Variante!
Doch selbst wenn ein Angreifer die PIN eines Ausweises abfangen kann, muss er zusätzlich noch in den Besitz des Ausweises kommen. Ohne diesen ist die PIN für den Angreifer nahezu wertlos, es sei denn, der Anwender lässt den nPA auf dem Lesegerät liegen. Dann könnte ein Angreifer diesen für weitere Dienste verwenden, solange auch der Computer in Betrieb ist. Es gibt hier also die Möglichkeit einen Angriff durchzuführen. Es hängt aber entscheidend vom Anwender ab, ob dieser Angriff gelingen kann.
Entscheidend ist, dass der Anwender seinen Computer richtig schützt und weiß was er tut. Es ist also durchaus auch ein Fehler des Anwenders, wenn er sich einen Trojaner mit einer Keyloggerfunktion einfängt. Die Internet-Gesellschaft muss grundsätzlich ein Sicherheitsbewusstsein und eine Medienkompetenz entwickeln, um sicher mit den neuen Technologien umgehen zu können. Prof. Dr. Norbert Pohlmann sagt dazu:
"Der neue Personalausweis stellt eine generelle Risikominimierung für die
Internet-Gesellschaft dar. Bei der Anwendung des nPA bleibt ein Restrisiko für den Internet-Nutzer, das er mit Hilfe einer Internet-Kompetenz weiter reduzieren kann."
Die Bundesregierung gibt also ein Mittel an die Hand, das – so Pohlmann – "die kriminellen Handlungen im Internet reduziert". Entscheidend ist nur, dass die Anwender das Mittel auch richtig anwenden. Es ist vergleichbar mit dem Sicherheitsgurt im Auto. Er bringt mehr Sicherheit, aber natürlich nur, wenn der Fahrer den Gurt auch ordnungsgemäß anlegt. Mit der Einführung des Sicherheitsgurtes wurde die Sicherheit im Straßenverkehr drastisch erhöht. Trotzdem können Verletzungen und Todesfälle nicht ausgeschlossen werden. Ergo: Der neue "Perso" bringt mehr Sicherheit, besonders, wenn er richtig angewendet wird. Aber er schafft keine hundertprozentige Sicherheit.
Der Anwender ist also aufgefordert, grundsätzlich seinen Rechner mit einem Basisschutz zu versehen. Dazu gehören Anti-Malware-(Anti-Virus-)Programme, ebenso wie eine Personal Firewall. Der Computer sollte außerdem immer aktuell gehalten werden. Das bedeutet, dass regelmäßig alle Updates sowohl des Betriebssystems als auch der Anwendungsprogramme eingespielt werden müssen.
Zusätzlich kann der Anwender selbst entscheiden, ob er einen kostengünstigen (bzw. kostenlosen) Basisleser einsetzen möchte und so umso mehr darauf achten muss, dass sein Computer gut geschützt ist, oder ob er als zusätzliche Sicherheitserhöhung mehr Geld investiert und zu einem Standard- oder Komfortkartenleser greift.
Das Institut für Internet-Sicherheit hat in der Vergangenheit zwei Studien zum neuen Personalausweis durchgeführt und steht für weitere Fragen gerne zur Verfügung.Informationen zum neuen Personalausweis (nPA)
Neuer Personalausweis und Medienkompetenz: Risikominimierung für die Internet-Gesellschaft
