Analyse des E-Perso und der AusweisApp: Sicherheitsprobleme mit zwei Ohren

Nachdem sie gehackt wurde, ist die AusweisApp für den neuen Personalausweis nun wieder online - wenn auch nicht für jeden. Eine Analyse der Stärken und Schwächen.

Maschinen sind fehleranfällig, Menschen noch viel mehr: Der neue Perso und ein Lesegerät. Bild: dpa

Der deutsche Personalausweis und die deutsche Autobahn haben vieles gemeinsam: Beide wurden von den Nationalsozialisten zwar nicht erfunden, aber gesellschaftlich hoffähig gemacht, beide gehören zur deutschen Leitkultur und beide gelten als so selbstverständlich, dass jemand, der sie abschaffen wollte, so scheel angesehen würde wie jemand, der den Deutschen das Biertrinken verbieten wollte.

Ab dem 1. November 2010 gibt es einen neuen Personalausweis (nPA). Mit dem Domument in Größe einer Scheckkarte soll man sicher im Internet einkaufen können, bei Ämtern und Behörden elektronisch signieren und, so die offizielle Werbung, ein „sicheres Reisedokument“ besitzen. Auch als Altersnachweis kann er dienen.

Soweit die Theorie. „Der neue Personalausweis ist sicher“ hätte auch ein Satz von Muhammad as-Sahhaf sein können, der im Irakkrieg als „Comical Ali“ berühmt wurde: Schon ein paar Tage nach der Einführung zog das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Software wieder zurück, die man benötigte, um die Online-Ausweisfunktion nutzen zu können.

Die sogenannte AusweisApp war nicht ausreichend geprüft worden, ob sie Sender und Empfänger der Daten beim automatischen Aktualisieren hinreichend legitimieren konnte. Ein Update wurde zwar zeitnah bereitgestellt; Nutzer der Betriebsstems Linux oder Mac-Benutzer gehen aber zur Zeit leer aus, auch darf man nicht den Browser seiner Wahl benutzen. Das wäre so, als würde man eine neue Autobahn nur für Besitzer spezieller Automarken erlauben. Der IT-Sicherheitsxperte Jan Schejbal hatte den schwer wiegenden Fehler schon nach einer Nacht gefunden.

Die Idee hinter dem neuen Personalausweis ist nicht verkehrt, aber rührend naiv und daher potenziell gefährlich. Vorteile: Wenn Daten maschinenlesbar sind, wird es meistens einfacher, sie zu verwalten. E-Government soll im Internet-Zeitalter die Kommunikation zwischen Behörden und Bürgern vereinfachen. Dazu muss es Regeln geben und ein System, das beide Seiten elektronisch authentifiziert. Bürger bekommen eine Art Seriennummer - wie auch bei der Steuernummer. Der in den Personalausweis eingebaute Chip sendet die Daten mitteles elektromagnetischer Wellen zum Lesegerät oder sendet via behördlich genehmigter Software via Internet.

Die Nachteile: Das größte Computerproblem hat immer zwei Ohren und sitzt vor einem Monitor. Wer glaubt, mit technischen Lösungen, die gleichzeitig „idiotensicher“ sein sollen, alles online sicher machen zu können, hat nichts begriffen. Zudem gibt es elektronische Signaturen schon seit 20 Jahren; das Bundesverfassungsgericht und sogar der Bundestag empfehlen auf ihren Websites die geläufigen Systeme zur Zertifizierung.

Man wollte also ein anderes Rad erfinden - und ist, was zu erwarten war, schon gleich zu Beginn auf hohem Niveau gescheitert. Eine der Entschuldigungen, warum die Löcher größer waren als der Käse, kam vom BSI und ist comedy-reif: Da es nicht genügend Ausweise gegeben habe, habe man „den Umgang mit der AusweisApp“ nicht „realitätsnah“ testen können. Man stelle sich vor, eine Pharma-Firma würde so argumentieren - die Methode „Versuch und Irrtum“ beim eletronischen Personalausweis scheint aber die Regel zu sein.

Die größte Schwachstelle ist nicht die Technik des Ausweises, sondern die Methode, mit der die Daten gesendet werden oder die PIN, die in ein Kartenlesegerät eingeben wird. Das Szenario, dass ein privater Rechner von einem bösen „Hacker“ gezielt übernommen werden kann - etwa mit Hilfe eines installierten Keyloggers, der die Tastaturanschläge belauscht -, ist extrem unwahrscheinlich. Es gibt andere, einfachere Möglichkeiten.

Wie schon bei der Kriminalität rund um Geldautomaten, dem so genanten Skimming, könnten zum Beispiel Lesegeräte auf hohem technischen Niveau manipuliert werden. Wo eine Nachfrage ist, gibt es auch bald ein Angebot. Das Sicherheitskonzept des ePA beschränkt sich zudem nur auf die Kommunikation, nicht jedoch auf den Inhalt. Das System fällt also hinter das Niveau zurück, das beim Online-Banking die Regel sein sollte.

Das elektronscihe Zertifikat der Nutzer ist zwar nur sehr schwer zu fälschen. Wer aber Zugriff auf bestimmte Rechner im Internet bekommt und eine „Adresse“ fälschen oder dem Nutzer eine andere vorgaukeln kann als die Gewünschte etwa mittels der Manipulation eines so genanten Domain-Name-Servers -, der kann Nutzerdaten nicht nur abgreifen, sondern sich als jemand anderes ausgeben. Diese Art von Datenspionage hat sogar einen Namen - das Dolev-Yao-Modell.

Wie „sicher“ und ausgereift der ePA ist, zeigen die treuherzigen Ratschläge des Bundesinnenministeriums, „regelmäßig das Betriebssystem zu aktualisieren und eine aktuelle Firewall sowie ein aktuelles Antivirenprogramm zu verwenden.“ Wer einen Regenzauber empfiehlt, solte sich nicht wundern, dass in mindestens der Häfte aller Fälle der erwünschte Regen ausbleibt. „Es ist davon auszugehen, dass Nutzer oft über nur sehr geringes Wissen in Bezug auf die Gefahren des Internet und die Möglichkeiten zur Abwehr von Schäden verfügen“, heißt es in einer aktuellen Studie des BSI und des BMI.

Der ePA ist zehn Jahre gültig. Ein Jahrzehnt bedeutet aber für Software mindestens drei Generationen. Das BSI lädt auf seiner Website dazu ein, „die AusweisApp zu nutzen und die Software zudem mit uns gemeinsam weiterzuentwickeln.“ Gewiefte Kriminalle werden diesen Rat dankbar aufgreifen. Wer den nPA aber gar nicht haben will, der kann nach Österreich oder England auswandern. So etws wie einen Personalausweis kennt man dort nicht, obwohl es auch dort Autobahnen gibt.