Manfred Kloiber: Kommen wir also vom elektronischen Identitätsnachweis zum amtlichen Ausweis, zur hoheitlichen Funktion des elektronischen Personalausweises. Auch hier wird die Diskussion über Sicherheitslücken und Risiken seit zwei Jahren heftig geführt. Muss ich denn bei einer Personenüberprüfung und Ausweiskontrolle durch die Polizei eigentlich auch meinen sechsstelligen persönlichen Pin eingeben, Peter Welchering?
Peter Welchering: Naja, zumindest ist das bisher nicht geplant. Und die Sicherheitsbehörden gehen auch nicht davon aus, dass alle auf diese Weise Überprüften oder zu Überprüfenden auch bereit wären, zu kooperieren und hier mitzumachen. Das wäre natürlich technisch möglich, bei Personenkontrollen das selbe Verfahren anzuwenden, dass ja angewandt wird, wenn ich etwa bei einem Behördenbesuch den Zugriff auf die persönlichen Daten meines Ausweises freigebe. Da gebe ich dann ja tatsächlich diese sechsstellige persönliche Identifikationsnummer ein. Bei Personenkontrollen durch die Polizei soll das aber anders laufen. Hier erfolgt der Zugriff auf die persönlichen Daten, die auf dem Funkchip gespeichert sind, über einen speziellen Zugriffscode. Und genau dieser Zugriffscode wird von der Software auf dem amtlichen Lesegerät aus aufgedruckten Daten generiert – nämlich aus den Daten, die in der maschinenlesbaren Zone des Personalausweises öffentlich für jedermann zu lesen sind. Um diesen Zugriffscode, also eine Art Pin zu generieren, muss allerdings dann der Personalausweis mit dem Funkchip am amtlichen Lesegerät ausgelesen werden.
Kloiber: Ist das mit den Lesegeräten, die mit diesem Starterkit ausgeliefert werden, auch möglich?
Welchering: Das wird schwierig. Denn um diesen Zugriffscode generieren zu können, brauche ich die Software, die auf den amtlichen Lesegeräten läuft – und die wird ja eben mit dem Starterkit nicht ausgeliefert. Diese amtliche Software wird wirklich nur, so ist es vorgesehen, von Behörden, von Polizei, von Sicherheitsbehörden eingesetzt. Allerdings habe ich bis heute von der Bundesregierung noch keine befriedigenden Antwort auf die Frage gesehen, wie sie denn sicherstellen will, dass die amtlichen Lesegeräte mit genau dieser Software, die dann diesen Zugriffscode generieren können, auch wirklich nur von Behörden angewendet werden. Im Plan ließt sich das gut, in der Realität muss das nicht so sein. Wenn zum Beispiel das Bundesinnenministerium im Laufe dieser Diskussion dann gefragt wurde, was denn passiert, wenn solch ein Lesegerät gestohlen wird oder wenn die Lesesoftware nachprogrammiert wird, da haben sie dann ausweichend geantwortet. Mir gegenüber zum Beispiel so: Zitat: "Beim Personalausweis sind alle Daten nicht nur mit dem neuen Verfahren PACE gesichert, sondern zusätzlich mit dem Extended Access Control (EAC). Dieser hohe Schutz ist notwendig, damit der Ausweis auch online und auf potenziell unsicheren PCs der Nutzer sicher verwendet werden kann. Selbst Kriminelle, die mit Schadsoftware auf den PC des Nutzers eingedrungen sind, werden daher keine Daten aus dem Ausweis auslesen können." Naja, immerhin hat ein Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik auch im Zuge dieser Diskussion vor zwei Jahren eingeräumt, dass überhaupt nichts dagegen spricht, dass man eine Software entwickeln könne, die dieses amtliche Verfahren implementiert oder nachahmt, also mit dem dann ein Zugriffscode generiert wird. Und hier hat das Bundesministerium wiederum bestritten, dass eine solche Äußerung überhaupt von einem Mitarbeiter des BSI stammen könne, obwohl es eine entsprechende Interviewaufzeichnung gibt. Man könnte also vermuten, dass das Bundesinnenministerium hier ein wenig mit Nebel wirft, um die Sicherheitslücken in der hoheitlichen Funktion des elektronischen Personalausweises, die wirklich gravierenden Lücken, nicht offenbar werden zu lassen.
Kloiber: Was passiert denn, Herr Welchering, wenn ein solches amtliches Lesegerät mitsamt Software gestohlen und missbraucht würde?
Welchering: Je nachdem, wie viele Ausweise dann da eingelesen werden würden, könnte da der Schaden unter Umständen beträchtlich sein. Je nachdem, wie lange die Berechtigungszertifikate für die Lesegeräte gültig sind, können diese Geräte nämlich dann unter Umständen einige Tage bis vielleicht dann einige Wochen eingesetzt werden und mit der amtlichen Software ein Zugriffscode generiert, mit dem dann eben auf persönliche Daten zugegriffen werden kann, die auf diesem Funkchip gespeichert sind. Und damit könnten Kriminelle dann tatsächlich die auf dem Funkchip des elektronischen Personalausweises gespeicherte digitale Identität stehlen und mit diesen Identitätsdaten dann anschließend auf Kosten des Ausweisinhabers zum Beispiel im Internet einkaufen gehen. Da bieten natürlich die Berechtigungszertifikate immer noch einen gewissen Schutz auch bei der nachgebauten Software, aber diese Zertifikate könnten natürlich auch entwendet werden. Und dann wäre es egal, ob ein gestohlenes amtliches Lesegerät den Kriminellen den Zugriff auf persönliche Daten ermöglicht hat oder eine nachgebaute Software, eben mit illegal beschafften Berechtigungszertifikaten. Bedenklich bleibt das in jedem Fall.
Peter Welchering: Naja, zumindest ist das bisher nicht geplant. Und die Sicherheitsbehörden gehen auch nicht davon aus, dass alle auf diese Weise Überprüften oder zu Überprüfenden auch bereit wären, zu kooperieren und hier mitzumachen. Das wäre natürlich technisch möglich, bei Personenkontrollen das selbe Verfahren anzuwenden, dass ja angewandt wird, wenn ich etwa bei einem Behördenbesuch den Zugriff auf die persönlichen Daten meines Ausweises freigebe. Da gebe ich dann ja tatsächlich diese sechsstellige persönliche Identifikationsnummer ein. Bei Personenkontrollen durch die Polizei soll das aber anders laufen. Hier erfolgt der Zugriff auf die persönlichen Daten, die auf dem Funkchip gespeichert sind, über einen speziellen Zugriffscode. Und genau dieser Zugriffscode wird von der Software auf dem amtlichen Lesegerät aus aufgedruckten Daten generiert – nämlich aus den Daten, die in der maschinenlesbaren Zone des Personalausweises öffentlich für jedermann zu lesen sind. Um diesen Zugriffscode, also eine Art Pin zu generieren, muss allerdings dann der Personalausweis mit dem Funkchip am amtlichen Lesegerät ausgelesen werden.
Kloiber: Ist das mit den Lesegeräten, die mit diesem Starterkit ausgeliefert werden, auch möglich?
Welchering: Das wird schwierig. Denn um diesen Zugriffscode generieren zu können, brauche ich die Software, die auf den amtlichen Lesegeräten läuft – und die wird ja eben mit dem Starterkit nicht ausgeliefert. Diese amtliche Software wird wirklich nur, so ist es vorgesehen, von Behörden, von Polizei, von Sicherheitsbehörden eingesetzt. Allerdings habe ich bis heute von der Bundesregierung noch keine befriedigenden Antwort auf die Frage gesehen, wie sie denn sicherstellen will, dass die amtlichen Lesegeräte mit genau dieser Software, die dann diesen Zugriffscode generieren können, auch wirklich nur von Behörden angewendet werden. Im Plan ließt sich das gut, in der Realität muss das nicht so sein. Wenn zum Beispiel das Bundesinnenministerium im Laufe dieser Diskussion dann gefragt wurde, was denn passiert, wenn solch ein Lesegerät gestohlen wird oder wenn die Lesesoftware nachprogrammiert wird, da haben sie dann ausweichend geantwortet. Mir gegenüber zum Beispiel so: Zitat: "Beim Personalausweis sind alle Daten nicht nur mit dem neuen Verfahren PACE gesichert, sondern zusätzlich mit dem Extended Access Control (EAC). Dieser hohe Schutz ist notwendig, damit der Ausweis auch online und auf potenziell unsicheren PCs der Nutzer sicher verwendet werden kann. Selbst Kriminelle, die mit Schadsoftware auf den PC des Nutzers eingedrungen sind, werden daher keine Daten aus dem Ausweis auslesen können." Naja, immerhin hat ein Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik auch im Zuge dieser Diskussion vor zwei Jahren eingeräumt, dass überhaupt nichts dagegen spricht, dass man eine Software entwickeln könne, die dieses amtliche Verfahren implementiert oder nachahmt, also mit dem dann ein Zugriffscode generiert wird. Und hier hat das Bundesministerium wiederum bestritten, dass eine solche Äußerung überhaupt von einem Mitarbeiter des BSI stammen könne, obwohl es eine entsprechende Interviewaufzeichnung gibt. Man könnte also vermuten, dass das Bundesinnenministerium hier ein wenig mit Nebel wirft, um die Sicherheitslücken in der hoheitlichen Funktion des elektronischen Personalausweises, die wirklich gravierenden Lücken, nicht offenbar werden zu lassen.
Kloiber: Was passiert denn, Herr Welchering, wenn ein solches amtliches Lesegerät mitsamt Software gestohlen und missbraucht würde?
Welchering: Je nachdem, wie viele Ausweise dann da eingelesen werden würden, könnte da der Schaden unter Umständen beträchtlich sein. Je nachdem, wie lange die Berechtigungszertifikate für die Lesegeräte gültig sind, können diese Geräte nämlich dann unter Umständen einige Tage bis vielleicht dann einige Wochen eingesetzt werden und mit der amtlichen Software ein Zugriffscode generiert, mit dem dann eben auf persönliche Daten zugegriffen werden kann, die auf diesem Funkchip gespeichert sind. Und damit könnten Kriminelle dann tatsächlich die auf dem Funkchip des elektronischen Personalausweises gespeicherte digitale Identität stehlen und mit diesen Identitätsdaten dann anschließend auf Kosten des Ausweisinhabers zum Beispiel im Internet einkaufen gehen. Da bieten natürlich die Berechtigungszertifikate immer noch einen gewissen Schutz auch bei der nachgebauten Software, aber diese Zertifikate könnten natürlich auch entwendet werden. Und dann wäre es egal, ob ein gestohlenes amtliches Lesegerät den Kriminellen den Zugriff auf persönliche Daten ermöglicht hat oder eine nachgebaute Software, eben mit illegal beschafften Berechtigungszertifikaten. Bedenklich bleibt das in jedem Fall.