Sicherheit des nPA mit Basislesegerät nicht gewährleistet

Der neue Personalausweis ist da, aber die sicheren Lesegeräte fehlen!

01.11.2010 | Redakteur: Peter Schmitz

Der neue Personalausweis ist da, aber nur mit den teureren Standardlesern und Komfortlesern lassen sich die Online-Funktionen des nPA sicher nutzen.
Der neue Personalausweis ist da, aber nur mit den teureren Standardlesern und Komfortlesern lassen sich die Online-Funktionen des nPA sicher nutzen.

Seit dem 1. November 2010 ist der neue Personnalausweis (nPA) in Deutschland verfügbar. Die Daten auf dem Ausweis sollen mit starker Verschlüsselung geschützt und die Kommunikation zur eID-Funktion mittels starker Authentifizierung abgesichert sein. Mit dem Basislesegerät ist dieses System aber nur so sicher wie der eigene PC und sicherere Lesegeräte sind noch nicht ausreichend verfügbar.

Der neue Personalausweis soll die Identitätsdaten des Bürgers mit den bestmöglichen Verschlüsselungsverfahren schützen. Bei richtigem Einsatz soll außerdem nun eine starke gegenseitige elektronische Authentisierung (eID) zwischen den Nutzer und dem Dienstanbieter sowie ein effektiver Schutz vor Phishing-Angriffen auf hohem Sicherheitsniveau erfolgen.

Problematisch ist nur, dass mit dem großflächig zu verteilenden Basislesegerät eine Eingabe der PIN-Nummer nur über die Computertastatur oder eine Bildschirmtastatur erfolgt. Damit ist die gesamte Lösung nur so sicher, wie der PC auf dem die Anwendung läuft; denn Trojaner die Mausklicks einer Bildschirmtastatur mittels Screenshots „abfilmen“ gibt es beim Onlinebanking-Betrug schon lange.

Der Vorsitzende des Sicherheitsverbandes TeleTrust, Prof. Norbert Pohlmann meint dazu: „Die eID-Funktion des neuen Personalausweis bietet mehr Sicherheit als eine Authentisierung mittels Benutzername und Passwort. Zwar sind die so genannten Standard- und Komfortleser als Hardware zum Auslesen des neuen Personalausweises teurer als der Basisleser, aber dafür auch sicherer. Ist eine hohe Vertrauenswürdigkeit des genutzten Computers sichergestellt, kann der Anwender aber auch den Basisleser benutzen.“

Ob bei der heute kursierenden Malware eine Firewall und ein aktueller Virenscanner ausreicht, um einen Trojaner zu erkennen, bevor er die PIN des Ausweises abfangen kann ist fraglich. Problematischer ist aber, dass die als sicherer eingestuften Standard- und Komfort-Kartenleser mit Zahlenfeld am Lesegerät nach Aussagen der Hersteller zum Start des nPA noch gar nicht verfügbar sind. Viele der Geräte werden derzeit erst noch vom BSI geprüft und warten auf ihre Zertifizierung. Frühestens im Januar 2011 sollen die Standard- und Komfortkartenleser in nennenswerten Stückzahlen im Handel verfügbar sein.

TeleTrusT-Geschäftsführer Dr. Holger Mühlbauer ist sich dennoch sicher: „Der neue Personalausweis ist nach vernünftigem Ermessen sicher und seine Funktionalitäten wegweisend für den Rechts- und Geschäftsverkehr in der modernen Informationsgesellschaft.“

Security-Insider.de empfiehlt dennoch allen Lesern auf den Einsatz eines Basislesers zu verzichten. Eine Investition von 60-70 Euro für ein Standardlesegerät, das dann über Jahre hinweg die sichere Nutzung der Online-Funktionen des neuen Personalausweis ermöglicht, ist keine große Investition, wenn es um die Sicherheit der eigenen Identität geht. Will man zusätzlich noch die qualifizierte elektronische Signatur im Geschäftsalltag nutzen kommt man dann am Komfortleser ohnehin nicht vorbei.

 

Die verschiedenen Lesegeräte für den neuen Personalausweis:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2048054 / Smartcard und Token)