taz.de

# taz.de -- Analyse des E-Perso und der AusweisApp: Sicherheitsprobleme mit zwei Ohren

> Nachdem sie gehackt wurde, ist die AusweisApp für den neuen
> Personalausweis nun wieder online - wenn auch nicht für jeden. Eine
> Analyse der Stärken und Schwächen.

(IMG) Bild: Maschinen sind fehleranfällig, Menschen noch viel mehr: Der neue Perso und ein Lesegerät.

Der deutsche Personalausweis und die deutsche Autobahn haben vieles
gemeinsam: Beide wurden von den Nationalsozialisten zwar nicht erfunden,
aber gesellschaftlich hoffähig gemacht, beide gehören zur deutschen
Leitkultur und beide gelten als so selbstverständlich, dass jemand, der sie
abschaffen wollte, so scheel angesehen würde wie jemand, der den Deutschen
das Biertrinken verbieten wollte.

Ab dem 1. November 2010 gibt es einen neuen Personalausweis (nPA). Mit dem
Domument in Größe einer Scheckkarte soll man sicher im Internet einkaufen
können, bei Ämtern und Behörden elektronisch signieren und, so die
offizielle Werbung, ein „sicheres Reisedokument“ besitzen. Auch als
Altersnachweis kann er dienen.

Soweit die Theorie. „Der neue Personalausweis ist sicher“ hätte auch ein
Satz von Muhammad as-Sahhaf sein können, der im Irakkrieg als „Comical Ali“
berühmt wurde: Schon ein paar Tage nach der Einführung zog das Bundesamt
für Sicherheit in der Informationstechnik (BSI) die Software wieder zurück,
die man benötigte, um die Online-Ausweisfunktion nutzen zu können.

Die sogenannte [1][AusweisApp] war nicht ausreichend geprüft worden, ob sie
Sender und Empfänger der Daten beim automatischen Aktualisieren hinreichend
legitimieren konnte. Ein Update wurde zwar zeitnah bereitgestellt; Nutzer
der Betriebsstems Linux oder Mac-Benutzer gehen aber zur Zeit leer aus,
auch darf man nicht den Browser seiner Wahl benutzen. Das wäre so, als
würde man eine neue Autobahn nur für Besitzer spezieller Automarken
erlauben. Der IT-Sicherheitsxperte [2][Jan Schejbal] hatte den schwer
wiegenden Fehler schon nach einer Nacht gefunden.

Die Idee hinter dem neuen Personalausweis ist nicht verkehrt, aber rührend
naiv und daher potenziell gefährlich. Vorteile: Wenn Daten maschinenlesbar
sind, wird es meistens einfacher, sie zu verwalten. E-Government soll im
Internet-Zeitalter die Kommunikation zwischen Behörden und Bürgern
vereinfachen. Dazu muss es Regeln geben und ein System, das beide Seiten
elektronisch authentifiziert. Bürger bekommen eine Art Seriennummer - wie
auch bei der Steuernummer. Der in den Personalausweis eingebaute Chip
sendet die Daten mitteles elektromagnetischer Wellen zum Lesegerät oder
sendet via behördlich genehmigter Software via Internet.

Die Nachteile: Das größte Computerproblem hat immer zwei Ohren und sitzt
vor einem Monitor. Wer glaubt, mit technischen Lösungen, die gleichzeitig
„idiotensicher“ sein sollen, alles online sicher machen zu können, hat
nichts begriffen. Zudem gibt es elektronische Signaturen schon seit 20
Jahren; [3][das Bundesverfassungsgericht] und sogar [4][der Bundestag]
empfehlen auf ihren Websites die geläufigen Systeme zur Zertifizierung.

Man wollte also ein anderes Rad erfinden - und ist, was zu erwarten war,
schon gleich zu Beginn auf hohem Niveau gescheitert. Eine der
Entschuldigungen, warum die Löcher größer waren als der Käse, kam vom BSI
und ist comedy-reif: Da es nicht genügend Ausweise gegeben habe, habe man
„den Umgang mit der AusweisApp“ nicht „realitätsnah“ testen können. Man
stelle sich vor, eine Pharma-Firma würde so argumentieren - die Methode
„Versuch und Irrtum“ beim eletronischen Personalausweis scheint aber die
Regel zu sein.

Die größte Schwachstelle ist nicht die Technik des Ausweises, sondern die
Methode, mit der die Daten gesendet werden oder die PIN, die in ein
Kartenlesegerät eingeben wird. Das Szenario, dass ein privater Rechner von
einem bösen „Hacker“ gezielt übernommen werden kann - etwa mit Hilfe eines
installierten Keyloggers, der die Tastaturanschläge belauscht -, ist extrem
unwahrscheinlich. Es gibt andere, einfachere Möglichkeiten.

Wie schon bei der Kriminalität rund um Geldautomaten, dem so genanten
[5][Skimming], könnten zum Beispiel Lesegeräte auf hohem technischen Niveau
manipuliert werden. Wo eine Nachfrage ist, gibt es auch bald ein Angebot.
Das Sicherheitskonzept des ePA beschränkt sich zudem nur auf die
Kommunikation, nicht jedoch auf den Inhalt. Das System fällt also hinter
das Niveau zurück, das beim Online-Banking die Regel sein sollte.

Das elektronscihe Zertifikat der Nutzer ist zwar nur sehr schwer zu
fälschen. Wer aber Zugriff auf bestimmte Rechner im Internet bekommt und
eine „Adresse“ fälschen oder dem Nutzer eine andere vorgaukeln kann als die
Gewünschte etwa mittels der Manipulation eines so genanten
Domain-Name-Servers -, der kann Nutzerdaten nicht nur abgreifen, sondern
sich als jemand anderes ausgeben. Diese Art von Datenspionage hat sogar
einen Namen - das [6][Dolev-Yao-Modell.]

Wie „sicher“ und ausgereift der ePA ist, zeigen die treuherzigen Ratschläge
des Bundesinnenministeriums, „regelmäßig das Betriebssystem zu
aktualisieren und eine aktuelle Firewall sowie ein aktuelles
Antivirenprogramm zu verwenden.“ Wer einen Regenzauber empfiehlt, solte
sich nicht wundern, dass in mindestens der Häfte aller Fälle der erwünschte
Regen ausbleibt. „Es ist davon auszugehen, dass Nutzer oft über nur sehr
geringes Wissen in Bezug auf die Gefahren des Internet und die
Möglichkeiten zur Abwehr von Schäden verfügen“, heißt es [7][in einer
aktuellen Studie] des BSI und des BMI.

Der ePA ist zehn Jahre gültig. Ein Jahrzehnt bedeutet aber für Software
mindestens drei Generationen. Das BSI lädt auf seiner Website dazu ein,
„die AusweisApp zu nutzen und die Software zudem mit uns gemeinsam
weiterzuentwickeln.“ Gewiefte Kriminalle werden diesen Rat dankbar
aufgreifen. Wer den nPA aber gar nicht haben will, der kann nach Österreich
oder England auswandern. So etws wie einen Personalausweis kennt man dort
nicht, obwohl es auch dort Autobahnen gibt.

6 Jan 2011

## LINKS

(DIR) [1] http://www.ausweisapp.bund.de/pweb/filedownload/download_pre.do#
(DIR) [2] http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
(DIR) [3] http://www.bundesverfassungsgericht.de/zertifizierung.html
(DIR) [4] http://www.bundestag.de/bundestag/abgeordnete17/emailzertifikat/index.html
(DIR) [5] http://www.bka.de/pressemitteilungen/2010/pm100716.html
(DIR) [6] http://de.wikipedia.org/wiki/Dolev-Yao-Modell
(DIR) [7] http://www.bsi.bund.de/cae/servlet/contentblob/1086544/publicationFile/90903/Studie_Identitaetsdiebstahl_090610.pdf

## AUTOREN

(DIR) Burkhard Schröder

## TAGS

(DIR) Bundestag
(DIR) Schwerpunkt Überwachung

## ARTIKEL ZUM THEMA

(DIR) Angriff aufs Netz des Bundestags: Einfach mal abschalten

Das Computernetz des Bundestags muss wohl komplett neu aufgebaut werden.
Daten fließen ab, die hilflose Verwaltung wiegelt ab und schweigt.

(DIR) Sicherheitsmängel beim E-Perso: AusweisApp ist wieder offline

Die Software für den elektronischen Personalausweis muss nach der
Entdeckung einer Sicherheitslücke erneuert werden. Eine neue Version soll
bald bereitstehen.

(DIR) "AusweisApp" gehackt: Die Perso-Software hat ein Leck

Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte
"AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist sie
nicht ganz dicht.