Bestehen Sicherheitslücken für Internet-basierte Transaktionen?

Der gestern ausgestrahlte Beitrag des ARD-Magazins ‚Plusminus' berichtete über Sicherheitslücken beim neuen Personalausweis mit RFID-Chip. Die Redaktion hatte den Chaos Computer Club beauftragt, die Lesegeräte - die ab November mit dem neuen Personalausweise für den Bürger erhältlich sind - und deren Verwendung für Internetgeschäfte zu prüfen. Durch eine gängige Spionagesoftware aus dem Internet sei es gelungen, Zugriff auf einen PC zu erlangen und somit die PIN auszuspähen. „RFID im Blick" sprach mit Carsten Sommer (Geschäftsführer, Reiner Kartengeräte), Dietmar Wendling ( Vice President eGovernment, SCM Microsystems) und Stefan Schmidt-Egermann (Leiter Vertrieb Multicard).

Einigkeit herrschte bei allen Gesprächspartnern darüber, dass die Berichterstattung einem durch unqualifizierte Schlagzeilen gesteuerten Medienrummel gleiche. Sich dazu zu äußern, sei eine notwendige Aufklärungsarbeit. Ein Vertrauensverlust in das neue Ausweisdokument sei trotz fehlender fundierter Grundlage für die Berichterstattung denkbar.

„Tendenziös"
Carsten Sommer quittierte den Fernsehbeitrag mit Enttäuschung. „Wir waren alle sehr irritiert von der Berichterstattung. Die Redaktion ‚Plus-minus' hatte unsere Geräte in allen drei Qualifikationsstufen (Basis, Standard und Kompfort) angefordert. Tatsächlich berichtet wurde aber nur über Basisgeräte, sodass die Berichterstattung tendenziös erschien. Der Beitrag suggerierte, dass es nur Basisgeräte gebe. Genau dieser Punkt entspricht nicht der qualifizierten und nachhaltigen Vorbereitung des nationalen ID-Projektes. Sowohl der Prozess als auch die Chipkarten entsprechen allen realistisch denkbaren Sicherheitsrisiken".

„Low-Level-Praxis"
Auch Dietmar Wendling unterstreicht diese Darstellung energisch: „Was die Plus-minus-Sendung zeigt, ist „Low-Level-Praxis". In dem Testszenario wurde ein Keylogger per E-Mail verschickt. Jedes gängige Antivirenprogramm hätte dies sofort verhindert. Der zweite Punkt ist, dass ein Trojaner zwar die Bildschirmoberfläche lesen kann, aber die Personendaten dennoch nicht entschlüsselbar sind. Da läuft ein Algorithmus mit hoher Kryptographie ab, da kommt man nicht rein. Ein krimineller Vorgang setzt voraus, dass der Ausweis gestohlen wird und die PIN bereits geknackt wurde." Dennoch gewinnt Wendling dem Medienrummel auch Positives ab: „Die Menschen erfahren, dass es in acht Wochen einen neuen Personalausweis geben wird und können sich darüber informieren, welche Möglichkeiten dieser Ausweis ihnen bietet. In jedem Fall kann der Medienrummel auch die Sensibilität für den Einsatz von Virenscannern erhöhen."

„Haustür sperrangelweit offen"
Auch für Stefan Schmidt-Egermann kann die Diskussion vor allem Sensibilität für Prozesse im Internet erzeugen. „Es geht um Sicherheitsrisiken ausgelöst durch Prozesse, die Internet-gestützt ablaufen. Die Kritikpunkte betreffen nicht die Sicherheit zwischen Leser und Ausweis! Das Risiko ist vergleichbar mit folgendem Bild: „Wenn ich mein Haus mit Gittern absichern lasse, nützen alle Vorkehrungen nichts, wenn ich die Tür sperrangelweit offen lasse. Genauso verhält es sich mit dem PC am heimischen Ofen. Wenn ich den PC nicht durch Virenprogramme oder Firewalls geschützt habe, erzeuge ich die gleichen Risiken, als würde ich die Haustür sperrangelweit offen stehen lassen."

Bild: Bundesministerium des Innern