Seit gestern die heißeste Diskussion des Monats: Die neuen Personalausweise mit Computerchip und eingespeicherten persönlichen Daten, die noch in diesem Jahr die bisherigen Ausweise ersetzen sollen, zeigen gravierende Sicherheitslücken.
Die durch den Chaos Computer Club aufgedeckten Lücken werden durch die sogenannten “Sicherheitskits” offensichtlich, die mit den neuen Personalausweisen in Umlauf kommen sollen. Das sind einfachste Kartenleser ohne Tastaturen oder andere Zusatzfunktionen.
Deshalb erfolgt die Eingabe der PIN, die beim elektronischen Personalausweis (ePA) notwendig ist, über den Rechner, an den der Leser angeschlossen ist. Wenn dieser, zum Beispiel durch einen Keylogger, kompromittiert ist, könnte gezielt der Ausweis zu der PIN entwendet und benutzt werden.
Auch Situationen, in denen der Personalausweis hinterlegt werden muss, zum Beispiel in einem Hotel oder auf dem Campingplatz, bergen diese Gefahr. Diese Bedenken sind zwar angeblich nicht haltbar, weil mit dem neuen ePA auch das entsprechende Gesetz geändert wird und das Auffordern zum Hinterlegen des ePAs mit Bußgeld geahndet wird, aber das wäre doch eine schöne neue Welt, in der niemand etwas tut, was das Gesetz verbietet…