Whitepaper des BSI: Kartenleser für den neuen Personalausweis

Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) hat auf seiner Webpräsenz ein Whitepaper veröffentlicht, das sich mit den Vor- und Nachteilen, insbesondere auch mit der Sicherheit, der verschiedenen Lesegeräte auseinandersetzt.

Dabei geht das Paper auch auf die Beitrage in den Magazinen Plusminus und Bericht aus Brüssel ein, in denen der Chaos Computer Club kritisiert hat, dass bei der Verwendung eines Basis-Kartenlesers die PIN von einem Keylogger ausgespäht werden kann und dass eine Benutzung des Ausweises durch Hacker möglich ist, so lange er auf dem Lesegerät liegt.

Leider konnte sich das BSI nicht dazu durchringen, die Verteilung von Basis-Lesegeräten zu stoppen und stattdessen auf die sichereren Kartenleser der Sicherheitsklasse 3 zu setzen. In dem Whitepaper heißt es dazu:

Auch wenn Kartenleser mit PIN­Pad einen Sicherheitsvorteil gegenüber Lesern ohne PIN­Pad bie­ten, so tritt dieser Vorteil doch gegenüber dem massiven Sicherheitsgewinn des Personalausweises auch mit Basisleser gegenüber den heute üblichen Passwort­Verfahren zurück. Aufgrund der nicht unerheblichen Kostenunterschiede zwischen Lesern mit und ohne PIN­Pad erscheint das Ausschlie­ßen von Basislesern, mit dem Ergebnis, dass viele Bürger bei den Passwort­basierten Verfahren bleiben, nicht gerechtfertigt.

Dieser Beitrag wurde unter Weiterlesen abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu Whitepaper des BSI: Kartenleser für den neuen Personalausweis

  1. Michel Deutschmann sagt:

    Gefunden unter : http://wiki.piratenpartei.de/Diskussion:Elektronischer_Personalausweis#Fehler_rund_um_ePA_und_Reader
    Unter „Irgendwelche Hacker mögen immer irgendwas hacken können“ weißt der German Privacy Foundation e. V. darauf hin:
    Textausschnitt:
    – Für die Online-Abwicklung von Geschäftsprozessen, die eine rechtsgültige Unterschrift benötigen, ist der ePA nicht geeignet!. Er ist in der getesteten Version nicht kompatibel mit dem deutschen Signaturgesetz. Das steht im Widerspruch zur Werbkampagne für den ePA, die ihn als ideale Möglichkeit für sicheres Einkaufen im Internet bewirbt. Man wird wohl das Signaturgesetz ändern müssen und an den Ausweis anpassen.
    – Laut aktuell gültigem Signaturgesetz sind nur Kontakt-SmartCards mit Class-3-Readern für rechtsverbindliche Signaturen zugelassen. Der neue ePA bietet aber auch eine fernauslesbare RFID-Schnittstelle. Das ist (momentan) unzulässig. Die verschenkten Class-1-Reader sind eh ein Missgriff.
    Info privacyfoundation.de
    Hier kann man nur auf eine Eigenschaft von Webung verweisen: Werbung übertreibt gerne.
    Den Bürger informiert man damit aber nicht gerade optimal.

  2. Karly sagt:

    Basisleser können bei Einhaltung gewisser Grundregeln durchaus sicher sein. Dies findet man z.B. hier relativ gut zusammengestellt: http://www.personalausweis-kartenlesegeraete.de/tipps/10-sicherheits-tipps-fuer-umgang-mit-neuen-elektronischen-personalausweis/

Kommentare sind geschlossen.