Suchen

Sicherheit des nPA mit Basislesegerät nicht gewährleistet Der neue Personalausweis ist da, aber die sicheren Lesegeräte fehlen!

| Redakteur: Peter Schmitz

Seit dem 1. November 2010 ist der neue Personnalausweis (nPA) in Deutschland verfügbar. Die Daten auf dem Ausweis sollen mit starker Verschlüsselung geschützt und die Kommunikation zur eID-Funktion mittels starker Authentifizierung abgesichert sein. Mit dem Basislesegerät ist dieses System aber nur so sicher wie der eigene PC und sicherere Lesegeräte sind noch nicht ausreichend verfügbar.

Firma zum Thema

Der neue Personalausweis ist da, aber nur mit den teureren Standardlesern und Komfortlesern lassen sich die Online-Funktionen des nPA sicher nutzen.
Der neue Personalausweis ist da, aber nur mit den teureren Standardlesern und Komfortlesern lassen sich die Online-Funktionen des nPA sicher nutzen.
( Archiv: Vogel Business Media )

Der neue Personalausweis soll die Identitätsdaten des Bürgers mit den bestmöglichen Verschlüsselungsverfahren schützen. Bei richtigem Einsatz soll außerdem nun eine starke gegenseitige elektronische Authentisierung (eID) zwischen den Nutzer und dem Dienstanbieter sowie ein effektiver Schutz vor Phishing-Angriffen auf hohem Sicherheitsniveau erfolgen.

Problematisch ist nur, dass mit dem großflächig zu verteilenden Basislesegerät eine Eingabe der PIN-Nummer nur über die Computertastatur oder eine Bildschirmtastatur erfolgt. Damit ist die gesamte Lösung nur so sicher, wie der PC auf dem die Anwendung läuft; denn Trojaner die Mausklicks einer Bildschirmtastatur mittels Screenshots „abfilmen“ gibt es beim Onlinebanking-Betrug schon lange.

Der Vorsitzende des Sicherheitsverbandes TeleTrust, Prof. Norbert Pohlmann meint dazu: „Die eID-Funktion des neuen Personalausweis bietet mehr Sicherheit als eine Authentisierung mittels Benutzername und Passwort. Zwar sind die so genannten Standard- und Komfortleser als Hardware zum Auslesen des neuen Personalausweises teurer als der Basisleser, aber dafür auch sicherer. Ist eine hohe Vertrauenswürdigkeit des genutzten Computers sichergestellt, kann der Anwender aber auch den Basisleser benutzen.“

Ob bei der heute kursierenden Malware eine Firewall und ein aktueller Virenscanner ausreicht, um einen Trojaner zu erkennen, bevor er die PIN des Ausweises abfangen kann ist fraglich. Problematischer ist aber, dass die als sicherer eingestuften Standard- und Komfort-Kartenleser mit Zahlenfeld am Lesegerät nach Aussagen der Hersteller zum Start des nPA noch gar nicht verfügbar sind. Viele der Geräte werden derzeit erst noch vom BSI geprüft und warten auf ihre Zertifizierung. Frühestens im Januar 2011 sollen die Standard- und Komfortkartenleser in nennenswerten Stückzahlen im Handel verfügbar sein.

TeleTrusT-Geschäftsführer Dr. Holger Mühlbauer ist sich dennoch sicher: „Der neue Personalausweis ist nach vernünftigem Ermessen sicher und seine Funktionalitäten wegweisend für den Rechts- und Geschäftsverkehr in der modernen Informationsgesellschaft.“

Security-Insider.de empfiehlt dennoch allen Lesern auf den Einsatz eines Basislesers zu verzichten. Eine Investition von 60-70 Euro für ein Standardlesegerät, das dann über Jahre hinweg die sichere Nutzung der Online-Funktionen des neuen Personalausweis ermöglicht, ist keine große Investition, wenn es um die Sicherheit der eigenen Identität geht. Will man zusätzlich noch die qualifizierte elektronische Signatur im Geschäftsalltag nutzen kommt man dann am Komfortleser ohnehin nicht vorbei.

(ID:2048054)