Aktion Freiheit statt Angst e.V.
Pressemitteilung zum Hack des elektronischen Personalausweis
- Details
- Erstellt am Donnerstag, 26. August 2010 07:46
- Zuletzt aktualisiert am Mittwoch, 06. Oktober 2010 08:07
- Veröffentlichungsdatum
Der elektronische Personalausweis – Identitätsdiebstahl wird einfacher (26.08.2010)
Alles sollte einfacher und sicherer werden, das war die Absicht als das Gesetz über „Personalausweise und den elektronischen Identitätsnachweis“ im Dezember 2008 durch den Bundestag und im Februar 2009 auch vom Bundesrat beschlossen wurde.Was ist nun neu am elektronischen Personalausweis (ePA oder auch ePerso genannt)?
Zuerst einmal der Name: Die Bundesregierung nennt ihn ganz unauffällig "neuer Personalausweis" und der neue Ausweis ist, zugegeben praktisch auch nur noch so groß wie eine Scheckkarte.Alle Daten sind verschlüsselt auf einem RFID-Chip gespeichert und werden beim Auslesen verschlüsselt übertragen. Alle Daten, das sind neben den auch im Schriftbild sichtbaren Angaben zu Person und Wohnort das digitale biometrische Foto und optional die Fingerabdrücke des Ausweisinhabers.
Diese Daten können von "Berechtigten" zukünftig aus dem Ausweis-Chip ausgelesen werden.
Darüber hinaus wird das biometrische Foto des Inhabers zusätzlich digital in dem RFID Chip gespeichert. Dadurch gilt der Ausweis wie der elektronische Reisepass als Reisedokument innerhalb der EU und einigen weiteren Ländern und die biometrischen Daten vom Chip können bei Grenzkontrollen ausgelesen werden.
Zusätzlich kann der Inhaber auf freiwilliger Basis zwei Fingerabdrücke von sich speichern lassen. Das Innenministerium wollte dies zur Pflicht machen, scheiterte jedoch am Widerstand der damals mitregierenden SPD.
Der Ausweis kann zusätzlich im Internet als elektronischer Identitätsnachweis genutzt werden und Ausweisinhaber können ein Zertifikat für eine qualifizierte elektronische Signatur auf dem Personalausweis abspeichern. Solch eine persönliche Signatur ist kostenpflichtig bei privaten Trustcentern erhältlich aber nicht über die ganze Gültigkeitsdauer des Ausweises gültig.
Das Bundesinnenministerium beschreibt den ePA [1] als :
1. Ein sicheres Reisedokument2. Medienbruchfrei, sicher und preiswert können auf elektronischen Wege Signaturdienste in Anspruch genommen werden.
3. Der neue Personalausweis hilft, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern.
Das war wohl nichts - Kritik am ePA
In der Sendung "plusminus" der ARD wurde jetzt gezeigt, dass Unbefugte mit wenigen Schritten die Kommunikation zwischen dem RFID-Lesegerät und dem PC des Ausweisinhabers mitlesen können [2]. Die geheime PIN zu den Ausweisdaten konnte genauso mitgelesen werden wie auch, je nach der gerade aktiven Anwendung, verschiedene persönliche Daten auf dem Ausweis. Damit sind die Punkte 1) und 3) des Innenministeriums wohl hinfällig.Datenschützer warnen schon seit Jahren vor den Gefahren bei der Nutzung von RFID Chips. Diese können über kleinere Distanzen ohne Berührung ausgelesen werden. Beim ePerso kommt noch hinzu, dass die vom Innenministerium für 24 Mio. Euro gesponserten Lesegräte keine eigenen Tastatur besitzen, so dass die PIN über die normale unsichere PC-Tastatur eingegeben werden muss.
"Der neue Ausweis suggeriert den Verbrauchern eine trügerische Sicherheit", warnte Cornelia Tausch, Datenschutz-Expertin beim Bundesverband der Verbraucherzentralen in Berlin schon im letzten Winter. "Bevor er eingeführt wird, muss die Bundesregierung unbedingt eine breit angelegte Informationskampagne starten, damit Bürger und Verbraucher über die damit verbundenen Chancen und Risiken umfassend aufgeklärt werden."
Wegen der oben beschriebenen datenschutzrechtlichen Probleme wollten sogar einige Liberale den ePerso auf Eis legen. Der elektronische Personalausweis solle nicht wie geplant zum November 2010 starten, "sondern seine Einführung bis 2020 ausgesetzt werden", erklärte die FDP Abgeordnete Gisela Piltz im März 2010 [3]. Sie sagte, "der elektronische Personalausweis ist nicht sicher, schon gar nicht für zehn Jahre Gültigkeitsdauer". Die Menschen liefen Gefahr, dass ihre Daten unbefugt ausgelesen und ihre Identität missbraucht würde. "Zudem besteht keine Notwendigkeit, biometrische Merkmale in den Ausweis aufzunehmen."
Auch der Innenexperte der Grünen, Wolfgang Wieland, kritisierte: "Es entsteht eine teure, unsichere Datenhalde mit biometrischem Zusatzrisiko - ohne erkennbare Notwendigkeit."
Aktion Freiheit statt Angst e.V. warnt nach dem bei "plusminus" vorgeführtem Sicherheitsdesaster erneut [4] vor dem Einsatz des elektronischen Personalausweises.
Vorstandsmitglied Rainer Hammerschmidt fügt hinzu: "Es gab und es gibt keine Notwendigkeit für den elektronischen Personalausweis, weder sicherheitspolitisch noch technisch. Alle freiwillig nutzbaren Zusatzfunktionen sind zusätzlich kostenpflichtig und bei einem wirklichen persönlichen Bedarf mit anderen Chipkarten abzudecken."
Der ePerso war nichts als ein Schnellschuss der Bundesregierung, um wenigstens einen Weg für eine mögliche Schlüsselkarte für ein anderes ebenso unnötiges und gefährliches Datenmonster, nämlich ELENA [5], aufzuzeigen. Auch bei den Strategen des überflüssigen und noch dazu kostenpflichtigen DE-Mail-Dienstes würde der ePerso mit seiner Identifikations- oder Zertifizierungsfunktion vielleicht willkommen sein.
Damit wird jedoch der Bürger zu einem unsicherem Medium gedrängt, wird über dessen Gefahren nicht aufgeklärt und steht bei Missbrauch vor ungeklärten Haftungsfragen. Bisher hat noch keine Bank oder ein anderes Internetunternehmen erklärt, dass sie den Schaden im Falle des bei "plusminus" demonstrierten Identitätsdiebstahls übernimmt. Lediglich der Innenminister war schnell dabei privatrechtliche Forderungen in Schadensfällen von sich zu weisen. [2]
Wir fordern von der Bundesregierung
- Keine Verwendung von RFID-Chips bei Anwendungen mit persönlichen Daten
- Verschiebung der Einführung des ePerso mindestens bis die erkannten Sicherheitsmängel behoben sind
- Keine Beschaffung von Lesegeräten ohne eigene Tastatur
- Aufklärung der Bevölkerung über die Gefahren und Mängel des ePerso
Was kann man/frau tun?
- Vor dem 1. November 2010 einen (alten) neuen Personalausweis beantragen. Dieser gilt dann 10 Jahre und kostet nur 8 Euro. Der Neue wird für seine Scheinsicherheit 28,80 kosten.
- Wer danach einen neuen Ausweis benötigt, kann zumindest auf die Abgabe seiner Fingerabdrücke verzichten. Die Speicherung der Fingerabdrücke ist immer noch freiwillig!
- Die Funktionen "elektronischer Identitätsnachweis" im Internet und "elektronische Signatur" sind ebenfalls freiwillig und zusätzlich kostenpflichtig. Wer so etwas nicht braucht, kann Geld sparen und damit noch etwas für seine Privatheit tun.
Links
[1] http://www.bmi.bund.de/cln_192/DE/Themen/Sicherheit/PaesseAusweise/ePersonalausweis/ePersonalausweis_node.html
[2] http://www.netzpolitik.org/2010/plusminus-erklart-den-eperso/
[3] http://www.sueddeutsche.de/politik/708/501948/text/
[4] /themen/polizei-geheimdienste-a-militaer/1202-elektronischer-personalausweis
[5] /themen/verbraucher-a-arbeitnehmerinnen-datenschutz/98-elena-und-die-jobcard
Diese Presserklärung im Internet /presse/pressemitteilungen/1501-pressemitteilung-zum-hack-des-elektronischen-personalausweis
