CCC: Trügerische Sicherheit beim elektronischen Personalausweis


Der Chaos Computer Club (CCC) hat auf eine Antwort des BMI zur Anfrage des Abgeordneten Jan Korte (Die Linke) zu Kosten und Sicherheitslücken beim elektronischen Personalausweis (ePA) Stellung genommen und betont, dass die Gefahr durch die Einführung des ePA nicht allein durch die zu Grunde liegende Technik besteht, sondern auch durch die mangelhafte Aufklärung und Sensibilisierung der Nutzer durch das BMI hinsichtlich der Risiken.

Der CCC ist anders als das BMI der Ansicht, dass Zweifel an der Sicherheit des im ePA verwendeten Chip angebracht sind und es durchaus möglich sei, dass der Chip bereits geöffnet, "reverse engineered“ und geklont worden sei. Darüber hinaus ist der CCC der Ansicht, dass es die vom BMI für den ePA vorgegebene „dauerhaft wirksame Verschlüsselungsverfahren“ nicht gebe, und beruft sich dabei auf die kryptographische Forschung. Die Haltbarkeit von Schlüssellängen verschiedener Verfahren erwies sich demnach in der gesamten Geschichte der Kryptographie nicht als „dauerhaft".

 

Kritik übt der CCC insbesondere an der Behauptung des BMI, der Bürger könne sich durch regelmäßige Aktualisierung des Betriebssystems, ein aktuelles Virenschutzprogramm sowie eine Firewall schützen. Moderne Schadsoftware werde oft nicht von Antiviren-Programmen erkannt und eine Firewall würde gegen einen „Keylogger“ nicht helfen. Darüber hinaus ignoriere das BMI das Risiko, dass ein Angreifer den kompletten Kartenleser inklusive des darauf liegenden ePA übernehmen könnte.

 

Nach Ansicht des CCC wird bei Verwendung des ePA gerade keine Rechtssicherheit hergestellt, obwohl mit dem ePA autorisierte Transaktionen rechtlich bindend sein sollen: „Immerhin soll die Online-Ausweisfunktion gerade davor schützen, was Botnetze zehntausendfach ausnutzen: Nach der Übernahme der Kontrolle eines Rechners ist dieser prinzipiell nicht mehr vertrauenswürdig. Auch bei den Angriffen gegen […] Online-Banking werden oft nicht die Paßwörter geklaut, sondern die Transaktionen im Browser manipuliert. Gegen solche in Echtzeit durchgeführten Angriffe während elektronischer Transaktionen schützt der ePA eben gerade nicht.“

 

Im Rahmen einer Anhörung der Enquête-Kommission des Bundestags attestierte der geladene Sachverständige des CCC dem System, dass es den Identitätsdiebstahl erst begünstige. Das BKA hätte die Ausführungen des CCC bestätigt und zur Manipulation von Transaktionen in Echtzeit angefügt, dass sich nicht mehr die Frage stelle, ob jemand eine Transaktion durchgeführt habe, sondern ob die getätigte Transaktion wirklich die gewesen sei, die er auslösen wollte. Durch die einmalige Identifizierung werde fälschlicherweise eine Sicherheit vorgegaukelt.

 

Allein die Einführung des elektronischen Ausweises habe bis Ende 2011 über € 16 Mio. gekostet, zusätzlich € 41 Mio. für das Online-Ausweismarketing. Am 30.12.2013 soll der Rechnungsprüfungsausschuss über die Ausgaben informiert werden.