In einem Beitrag des ARD-Magazins Plusminus zeigten Hacker des CCC gravierende Sicherheitsmängel bei der Verwendung sogenannter „Basis-Lesegeräte“ für die Online-Ausweis-Funktion des elektronischen Personalausweises auf.
Mehr als eine Million dieser Basis-Lesegeräte werden demnächst kostenlos an die Leser verschiedener Computerzeitschriften ausgegeben, um die Akzeptanz des elektronischen Personalausweises bei der Bevölkerung zu steigern und die Nutzer zur Verwendung der Online-Ausweis-Funktion zu animieren. Finanziert wird diese Aktion mit 24 Millionen Euro aus dem Konjunkturpaket II.
Das Problem ist, dass Basis-Lesegeräte der Sicherheitsklasse 1 entsprechen, d.h. sie haben weder ein Display noch eine eigene Tastatur. Die für das Ausweisen im Internet notwendige sechsstellige PIN muss daher über die Computertastatur eingegeben werden.
Mithilfe von Spionagesoftware ist es Internetkriminellen möglich, die Tastatureingaben und damit die PIN mitzuschneiden und übertragene Daten zu kopieren.
Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) sieht allerdings keinen Handlungsbedarf. Man begnügt sich damit, zur Installation eines aktuellen Antivirenprogramms und einer Firewall aufzurufen. Darüber hinaus sei eine ausgespähte PIN sowieso wertlos, solange der Betrüger nicht auch den Ausweis in Händen hält.
Dass dem nicht so ist, hat bereits der Sicherheitsexperte Gunnar Porada gegenüber computerwoche.de geschildert (wir berichteten). Es genügt, einen Trojaner auf dem PC des Nutzers einzuschleusen. Dieser kann zunächst die Eingabe der PIN mitlesen und damit später ohne Wissen des Nutzers die Online-Ausweis-Funktion nutzen, so lange der Ausweis noch auf dem Lesegerät liegt.
Der komplette Videobeitrag kann in der ARD Mediathek kostenlos angesehen werden.