Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) hat auf seiner Webpräsenz ein Whitepaper veröffentlicht, das sich mit den Vor- und Nachteilen, insbesondere auch mit der Sicherheit, der verschiedenen Lesegeräte auseinandersetzt.
Dabei geht das Paper auch auf die Beitrage in den Magazinen Plusminus und Bericht aus Brüssel ein, in denen der Chaos Computer Club kritisiert hat, dass bei der Verwendung eines Basis-Kartenlesers die PIN von einem Keylogger ausgespäht werden kann und dass eine Benutzung des Ausweises durch Hacker möglich ist, so lange er auf dem Lesegerät liegt.
Leider konnte sich das BSI nicht dazu durchringen, die Verteilung von Basis-Lesegeräten zu stoppen und stattdessen auf die sichereren Kartenleser der Sicherheitsklasse 3 zu setzen. In dem Whitepaper heißt es dazu:
Auch wenn Kartenleser mit PINPad einen Sicherheitsvorteil gegenüber Lesern ohne PINPad bieten, so tritt dieser Vorteil doch gegenüber dem massiven Sicherheitsgewinn des Personalausweises auch mit Basisleser gegenüber den heute üblichen PasswortVerfahren zurück. Aufgrund der nicht unerheblichen Kostenunterschiede zwischen Lesern mit und ohne PINPad erscheint das Ausschließen von Basislesern, mit dem Ergebnis, dass viele Bürger bei den Passwortbasierten Verfahren bleiben, nicht gerechtfertigt.
Gefunden unter : http://wiki.piratenpartei.de/Diskussion:Elektronischer_Personalausweis#Fehler_rund_um_ePA_und_Reader
Unter „Irgendwelche Hacker mögen immer irgendwas hacken können“ weißt der German Privacy Foundation e. V. darauf hin:
Textausschnitt:
– Für die Online-Abwicklung von Geschäftsprozessen, die eine rechtsgültige Unterschrift benötigen, ist der ePA nicht geeignet!. Er ist in der getesteten Version nicht kompatibel mit dem deutschen Signaturgesetz. Das steht im Widerspruch zur Werbkampagne für den ePA, die ihn als ideale Möglichkeit für sicheres Einkaufen im Internet bewirbt. Man wird wohl das Signaturgesetz ändern müssen und an den Ausweis anpassen.
– Laut aktuell gültigem Signaturgesetz sind nur Kontakt-SmartCards mit Class-3-Readern für rechtsverbindliche Signaturen zugelassen. Der neue ePA bietet aber auch eine fernauslesbare RFID-Schnittstelle. Das ist (momentan) unzulässig. Die verschenkten Class-1-Reader sind eh ein Missgriff.
Info privacyfoundation.de
Hier kann man nur auf eine Eigenschaft von Webung verweisen: Werbung übertreibt gerne.
Den Bürger informiert man damit aber nicht gerade optimal.
Herzlichen Dank für diesen wertvollen Hinweis. Wir werden das in Kürze noch prominenter auf die Site schreiben.
Basisleser können bei Einhaltung gewisser Grundregeln durchaus sicher sein. Dies findet man z.B. hier relativ gut zusammengestellt: http://www.personalausweis-kartenlesegeraete.de/tipps/10-sicherheits-tipps-fuer-umgang-mit-neuen-elektronischen-personalausweis/