# taz.de -- Mängel von neuem Personalausweis: Joboffensive für Cyberkriminelle
> Von den Sicherheitslücken beim neuen Personalausweis könnten viele
> betroffen sein, weil Viren ihre PCs befallen haben. Doch der
> Innenminister hält an der Einführung fest.
(IMG) Bild: "Eines der sichersten Dokumente der Welt"? Der neue Perso (rechts).
BERLIN taz | Für Bundesinnenminister Thomas de Maizière (CDU) ist klar:
"Der neue Personalausweis ist eines der sichersten Dokumente der Welt." Er
könne nur alle ermuntern, den Ausweis am 1. November "fröhlich" zu
beantragen, sagte er am Mittwoch. Er reagierte damit auf einen Bericht des
ARD-Magazins "Plusminus" und Hinweise des Chaos Computer Clubs, die
Sicherheitsprobleme im Umgang mit dem neuen Personalausweis aufgedeckt
hatten. Dieser soll auch als Ausweis im Internet dienen, Behördengänge
ersparen, Onlineeinkäufe oder Altersabfragen vereinfachen.
Das Verfahren dahinter heißt eID; dabei wird ein Lesegerät an den PC
angeschlossen. Man gibt eine sechstellige PIN ein, dann können Daten auf
dem Ausweis ausgelesen und verschlüsselt übertragen werden. Das billigste
der drei Lesegeräte ist nun in die Kritik geraten: Es wird wie ein
USB-Stick in den PC gestöpselt, die PIN wird dann über die Tastatur des PCs
eingegeben. Die beiden anderen Geräte verfügen über eine eigene Tastatur.
Bei der Billigvariante kann Schadsoftware, etwa sogenannte Trojaner, die
PIN mitlesen. Zumindest momentan ist das ein großes Problem: Anfang des
Jahres befand sich Deutschland auf der Rangliste der Länder mit den meisten
infizierten Rechnern auf Platz drei. Der IT-Sicherheitsexperte der Firma
Sophos, Sascha Pfeiffer, schätzt, dass mehrere hunderttausend Rechner in
Deutschland von sogenannten illegalen Botnetzen genutzt werden. Auf den
Rechnern befinden sich ohne Wissen der BenutzerInnen Schadprogramme, mit
deren Hilfe die Ressourcen des PCs von Kriminellen unbemerkt genutzt
werden. Oft werden dabei auch PINs von Bankkonten ausgeforscht. Solche
Informationen würden täglich abgezogen.
"Der Chaos Computer Club hat mit seiner Kritik völlig recht", sagte
Pfeiffer. Allerdings haben das Bundesamt für Sicherheit in der
Informationstechnik (BSI) und der IT-Branchenverband Eco das Problem
erkannt, ab 15. September soll ein Anti-Botnetz-Beratungszentrum seine
Arbeit aufnehmen.
Zudem macht das BSI darauf aufmerksam, dass, sollte jemand die PIN
ausgespäht haben, noch weiter Sicherheitsmechanismen greifen: Wer den
Ausweis auslesen will, braucht dazu ein Berechtigungszertifikat, das von
einer staatlichen Stelle vergeben wird. Jeder Antragssteller wird
überprüft. Das können beispielsweise Firmen sein, die online Produkte
vertreiben. Auch bestimmen die BürgerInnen per Mausklick weitestgehend
selbst, wie viele ihre Daten sie etwa einer Firma preisgeben wollen. Auf
dem Chip sind u. a. Alter und Wohnort gespeichert, Fingerabdrücke können,
müssen aber nicht hinterlegt werden.
Der Bundesdatenschutzbeauftragte Peter Schaar fordert dennoch, das
kritisierte Lesegerät nicht einzusetzen: "Meine Befürchtung ist, dass jetzt
durch die Verwendung dieser einfachen Leser eine Technologie mit dem neuen
Personalausweis verbunden wird, die angreifbar ist", sagte er dem
Radiosender NDR Info. "Gefahr in Verzug" sah er, sollte der Ausweis
hinterlegt werden müssen, etwa in einem Hotel. Denn erst mit Ausweis kann
es theoretisch zum Missbrauch kommen, falls die PIN bekannt ist. Mit dem
neuen Ausweis soll aber auch das Personalausweisgesetz geändert werden und
das Dokument nicht mehr hinterlegt werden dürfen. Man müsse klären, wie
Sicherheitslücken geschlossen werden könnten, fordert auch
FDP-Rechtsexperte Christian Ahrendt. INGO ARZT
25 Aug 2010
## AUTOREN
(DIR) Ingo Arzt
## TAGS
(DIR) Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA