Erneute Sicherheitslücke beim neuen Personalausweis

Von | 9. August 2011

Der neue Personalausweis (nPA) war bereits weit vor sei­ner Einführung am 01.11.2010 scharf kri­ti­siert wor­den. Bedenken wur­den vor allem aus Datenschutzgründen geäu­ßert, da der nPA durch die Integration eines Chips nun­mehr auf ein­fa­che Weise elek­tro­nisch aus­ge­le­sen wer­den kann. Schnell stell­te sich her­aus, dass der Ausweis auch beim Einsatz im Internet angreif­bar ist und die im Online-Verkehr benö­tig­te sechs-stel­li­ge PIN auf rela­tiv ein­fa­che Weise aus­ge­le­sen wer­den kann. Wir berich­te­ten über die Einführung, die Auswirkungen in unse­ren Gemeinden vor Ort und über die gefun­de­nen Angriffspunkte.

Jan Schejbal, Mitglied der Piratenpartei, der bereits die Lücke zum Auslesen der PIN beschrie­ben hat­te, ver­öf­fent­lich­te nun Informationen zu einer wei­te­ren Lücke, die in einem Heise-Artikel aus­führ­lich beschrie­ben und bestä­tigt wer­den: Hat der Angreifer zunächst ein­mal die PIN aus­ge­le­sen, muss er den Inhaber des Ausweises am Rechner bei einem in den Karten-Leser ein­ge­leg­ten nPA nur noch lang genug beschäf­tig­ten — dann kann der Angreifer den Ausweis miss­bräuch­lich nut­zen.

Schejbal wirft dem Projekt „Elektronischer Personalausweis” in sei­nem Artikel zur neu­er­li­chen Lücke Totalversagen vor. In der Tat scheint der neue  Personalausweis daten­schutz­recht­lich ein Desaster zu sein.

Innenstaatssekretär Volker Dornquast sag­te am Dienstag (9. August)
anläss­lich des vom Kabinett ver­ab­schie­de­ten Gesetzentwurf für ein
neu­es Landesdatenschutzgesetz
, die Landesregierung reagie­re mit ihrem
Gesetzentwurf „auf moder­ne tech­ni­sche Entwicklungen wie die zuneh­men­de
Nutzung des Internets und auf neue recht­li­che Standards zum
Datenschutz”. Sollte das neue Gesetz Wirkung zei­gen kön­nen und soll­te
die Idee der Landesregierung, dass „der Schutz per­sön­li­cher Daten
stän­dig neu­en Herausforderungen ange­passt wer­den muss” ernst gemeint
sein, dann kann eigent­lich nur eins pas­sie­ren: Ein Stopp des nPA.

Bildquelle: pixelio /​andrmorl

Von:

Gebürtiger Nordfriese, Kind der Insel Nordstrand, inzwischen wohnhaft am Osteefjord Schlei, verheiratet und Vater. Er arbeitet als Produktmanger und Projektmanager im Bereich Messaging-Dienste, Mobile Payment, Value Added Services und mobile Internet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert