Der Chaos Computer Club (CCC) hat in einer Stellungnahme die Antwort des Bundesinnenministeriums auf eine Kleine Anfrage des Linken-Abgeordneten Jan Korte kritisiert. Korte wollte in einer Reaktion auf die TV-Sendung Report München über die Unsicherheit des neuen Personalausweises (nPA) wissen, wie die bekannte Schwachstelle – Einsatz eines Basislesers an einem kompromittierten PC – behoben werden kann. Die Antwort des BMI, das Betriebsystem regelmäßig zu aktualisieren sowie einen aktuellen Virenschutz und eine Firewall zu installieren, erbost den CCC. Er bezeichnet diese Ratschläge als „trügerische Sicherheit“. Moderne Schadsoftware würde häufig nicht von Antivirenprogrammen erkannt.
In der vom CCC veröffentlichten Antwort der Bundesregierung werden erstmals die Kosten der Einführung des neuen Ausweises aufgeschlüsselt. Ein kompletter Bericht über die Ausgaben muss nach einer Aufforderung des Rechnungsprüfungsausschusses bis zum 30. Dezember 2013 vorliegen. Nach den jetzt bekannt gewordenen Zahlen betrugen die Einführungskosten des nPA bis Ende 2011 16,6 Millionen Euro. Diese Summe wurde vom BMI, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und vom Bundesverwaltungsamt (BVA) ausgegeben, um die nötige Infrastruktur zu konzipieren und aufzubauen. Im Rahmen des IT-Investitionsprogrammes wurden weitere 41 Millionen gezahlt. In dieser Summe sind die Anwendungstests, die Programmierung der Ausweis-App, der technische Support und die finanzielle Subvention von Lesegeräten enthalten, zu der auch der vom CCC kritisierte Basisleser ohne eigene Tastatur zählt. Nicht enthalten sind die Kosten des Ausweises für die Behörden. Diese werden durch die Bürger bezahlt, die einen solchen Ausweis bestellen (müssen).
Nach Angaben der Bundesregierung treffe es nicht zu, dass der nPA „gehackt“ werden konnte. Daher sehe man keine Veranlassung, Konsequenzen aus der TV-Sendung zu ziehen: „In den drei Jahren seit seiner Einführung gab es keinerlei Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen“. Diese Aussage bestreitet der CCC durch den Verweis auf einen auf dem 27C3 vorgetragenen Relay-Angriff über ein Netzwerk auf den nPA. Hier sollte das Bundesinnenministerium besser die Bevölkerung über die mögliche Gefahr aufklären. „Anstatt sich der Problematik zu stellen und die Risiken durch Aufklärung zu minimieren, setzt das BMI offenbar auf staatlich behauptete IT-Sicherheit und erklärt dem Trend der Zeit folgend das ePA-Sicherheitsproblem für beendet“, meint der Chaos Computer Club.
Unabhängig davon empfehlen nPA-Experten grundsätzlich den Einsatz von Standard- und Komfort-Lesegeräten. Diese besitzen eine eigene Tastatur und können einen sicheren Kommunikations-Kanal unabhängig vom eventuell kompromittierten PC aufbauen. Die BSI-Richtlinie TR-03119 lässt drei Kategorien von Lesegeräten für die Funktionen zur Internet-Authentifizierung mittels des elektronischen Personalausweises zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host-PC.
Gegenüber der Basisversion bieten Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates und verfügen über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen. (Detlef Borchers) / (axk)