Der neue Personalausweis (nPA) war bereits weit vor seiner Einführung am 01.11.2010 scharf kritisiert worden. Bedenken wurden vor allem aus Datenschutzgründen geäußert, da der nPA durch die Integration eines Chips nunmehr auf einfache Weise elektronisch ausgelesen werden kann. Schnell stellte sich heraus, dass der Ausweis auch beim Einsatz im Internet angreifbar ist und die im Online-Verkehr benötigte sechs-stellige PIN auf relativ einfache Weise ausgelesen werden kann. Wir berichteten über die Einführung, die Auswirkungen in unseren Gemeinden vor Ort und über die gefundenen Angriffspunkte.
Jan Schejbal, Mitglied der Piratenpartei, der bereits die Lücke zum Auslesen der PIN beschrieben hatte, veröffentlichte nun Informationen zu einer weiteren Lücke, die in einem Heise-Artikel ausführlich beschrieben und bestätigt werden: Hat der Angreifer zunächst einmal die PIN ausgelesen, muss er den Inhaber des Ausweises am Rechner bei einem in den Karten-Leser eingelegten nPA nur noch lang genug beschäftigten — dann kann der Angreifer den Ausweis missbräuchlich nutzen.
Schejbal wirft dem Projekt „Elektronischer Personalausweis” in seinem Artikel zur neuerlichen Lücke Totalversagen vor. In der Tat scheint der neue Personalausweis datenschutzrechtlich ein Desaster zu sein.
Innenstaatssekretär Volker Dornquast sagte am Dienstag (9. August)
anlässlich des vom Kabinett verabschiedeten Gesetzentwurf für ein
neues Landesdatenschutzgesetz, die Landesregierung reagiere mit ihrem
Gesetzentwurf „auf moderne technische Entwicklungen wie die zunehmende
Nutzung des Internets und auf neue rechtliche Standards zum
Datenschutz”. Sollte das neue Gesetz Wirkung zeigen können und sollte
die Idee der Landesregierung, dass „der Schutz persönlicher Daten
ständig neuen Herausforderungen angepasst werden muss” ernst gemeint
sein, dann kann eigentlich nur eins passieren: Ein Stopp des nPA.
Bildquelle: pixelio /andrmorl