Sicherheitslücke bei E-Perso

Ab dem 1. November wird der E-Perso eingeführt. Für den neuen, elektronischen Personalausweis wird es drei Lesegeräte verschiedener Klassen für zuhause geben, die ein vermeintlich sicheres Online-Shopping ermöglichen sollen. Doch ausgerechnet beim günstigsten der Geräte klafft eine prekäre Sicherheitslücke, berichtete das ARD-Magazin »Plusminus« am Dienstag. Nach Recherchen der Plusminus-Redaktion in Zusammenarbeit mit dem Chaos Computer Club (CCC) soll es möglich sein, mittels eines einfachen Keyloggers den sechsstelligen Pin auszuspionieren.

Zur Erklärung: Im E-Perso ist ein Chip integriert, auf dem die typischen Angaben wie Adresse oder Geburtstag gespeichert sind. Auf den Chip kann ein digitales Zertifikat für die qualifizierte elektronische Signatur geladen werden, mit dem Dokumente rechtsverbindlich unterschrieben werden können, beispielsweise beim E-Government, der Gang zum Amt erübrigt sich. Aber auch beim Online-Shopping, -Banking oder beim Ticketkauf im Web soll das Verfahren zum Einsatz kommen. Dies soll nach Vorstellung der Bundesregierung die bisher übliche Sicherheitsmaßnahme Benutzername und Passwort ersetzen, die Angaben sind verbindlich, eine Unterschrift im Netz damit rechtskräftig.

Um sich im Netz zu authentifizieren wird ein Lesegerät benötigt, das mittels USB-Anschluss mit dem Computer verbunden wird. Der Perso wird dann lose aufgelegt, der Chip eingelesen und über die Eingabe eines Pins verifiziert.

Hier liegt nach Angaben von Plusminus die Gefahr. Denn die kleinste der insgesamt drei Varianten, die als »Starter Kit « 1,5 Millionen mal über Computerzeitschriften und Banken kostenlos verteilt wird, verfügt im Vergleich zu den größeren Lesegeräten nicht über ein Pinpad, der sechsstellige Pin muss über die Computertastatur eingegeben werden.