Nachteile

Sicherheitsbedenken

Der elektronische Personalausweis ist mit einem NFC-Chip ausgestattet, welcher alle Ausweisdaten inklusive dem biometrischen Gesichtsfoto und den freiwillig abzugebenden Fingerabdrücken speichert. Da NFC-Chips berührungslos ausgelesen werden, gab es im Vorfeld der Einführung des neuen Personalausweises Bedenken, Kriminelle könnten fremde Ausweise „im Vorbeigehen“ aus einiger Entfernung auslesen. Diese Befürchtungen sind aber unberechtigt, wie u.a. Jan Schejbal erklärt.

Der Zugriff auf die auf dem Ausweis gespeicherten Daten wird nur gewährt, sofern ein Berechtigungszertifikat vorgewiesen werden kann und die PIN eingegeben wird.

Hoheitliche Stellen wie beispielsweise die Polizei erhalten spezielle Lesegeräte mit hoheitlichem Berechtigungszertifikat. Mit diesen ist ein Zugriff auf die Daten nach Eingabe der CAN möglich, welche auf den Ausweis aufgedruckt ist.

Sicherheit der Verschlüsselung

Die Verschlüsselung ist auf dem aktuellen Stand der Technik. Lücken in der Verschlüsselung sind bisher nicht bekannt.

Da der Ausweis jedoch 10 Jahre gültig ist, ist nur sehr schwer abzusehen, ob die Verschlüsselung auch in einigen Jahren noch dem Stand der Technik entspricht. Darüber hinaus besteht immer das Risiko, dass ein findiger Hacker eine Sicherheitslücke in der Verschlüsselung findet und das System so kompromittiert.

Sicherheit in den Meldebehörden

Das ZDF-Magazin WISO berichtete im Februar 2009 von Sicherheitslücken auf Behördencomputern, die Manipulations- und Spionagemöglichkeiten im Zusammenhang mit dem elektronischen Reisepass eröffneten. Es sei beispielsweise möglich gewesen, Spionagesoftware auf Behördencomputern zu installieren und Daten zu manipulieren.

Ähnlich alarmierende Ergebnisse förderte der 15. Tätigkeitsbericht der Landesbeauftragten für Datenschutz Brandenburg zu Tage.

In keiner der geprüften Passbehörden konnte jedoch ein vollständiges IT-Sicherheitskonzept vorgelegt werden. […] Derzeit werden die in den lokalen Netzen übertragenen sowie die in den Datenbanken der Passbehörden gespeicherten personenbezogenen Daten hohen Schutzbedarfs (u. a. Fingerabdrücke) nicht verschlüsselt. Aufgrund ihrer Sensitivität ist eine Verschlüsselung jedoch unabdingbar.

Sicherheit am heimischen Rechner

Die größten Sicherheitsbedenken gibt es derzeit im Zusammenhang mit der Benutzung der Internet-Funktionen des elektronischen Personalausweises. Die vielfach verwendeten Basis-Lesegeräte, die nur der Sicherheitsklasse 1 entsprechen, haben keine eigene Tastatur zur Eingabe der Ausweis-PIN. Die Eingabe der PIN über die Computertastatur stellt ein Sicherheitsrisiko dar, da Hacker einen Trojaner auf dem Computer einschleusen können, welcher zunächst die PIN mitliest und anschließend die Online-Ausweis-Funktion ohne Wissen des Nutzers verwendet, so lange der Ausweis noch auf dem Lesegerät liegt.

Wie dieser Angriff funktioniert, haben Plusminus und computerwoche.de erläutert.

Aber auch die Lesegeräte der Sicherheitsklasse 3 (Komfort-Lesegeräte) sind nicht zwangsläufig sicher. Im Juni 2010 berichtete heise online von einem Kartenlesegerät der Firma Kobil, welches gehackt wurde und so manipuliert werden konnte.

Siehe auch: Einträge zum Thema Sicherheit aus unserem Blog

Eine reine Wirtschaftsförderungsmaßnahme

In einem Interview mit der Süddeutschen Zeitung warnte Frank Rosengart vom Chaos Computer Club (CCC) davor, dass viele Menschen mit ihrer qualifizierten elektronischen Signatur „ohne nachzudenken jeden Quatsch unterschreiben“ werden.

Der elektronische Personalausweis wird sicherlich vielen Menschen bei Online-Einkauf ein Gefühl zusätzlicher Sicherheit geben und Unternehmen den Online-Kontakt mit Kunden erleichtern. Nicht nur aus diesem Grund bezeichnete ihn der Chaos Computer Club als eine „Wirtschaftsförderungsmaßnahme“. Denn der Ausweis wird gerade auch bei der Bundesdruckerei und bei Herstellern von Lesegeräten für ein Umsatzplus sorgen.

Datenschutz

Nach aktuellen Plänen ist die Abgabe eines Fingerabdrucks freiwillig. Allerdings gehen Datenschützer davon aus, dass der Bürger in Zukunft dazu genötigt werden könnte. Ein Beispiel wäre eine verkürzte Grenzkontrolle für Personen, die einen Fingerabdruck gespeichert haben. Frank Rosengart vom CCC sagte dazu: Mit der Freiwilligkeit ist es vorbei, wenn es beispielsweise bei der Einreise nach Deutschland zwei Schalter gibt, und man an dem für Passinhaber ohne Fingerabdrücke eine Stunde anstehen muss, während die anderen nur drei Minuten warten müssen.

Auch eine Änderung des Personalausweisgesetzes, wonach die Abgabe von Fingerabdrücken verpflichtend vorgeschrieben wird, ist denkbar. Beim elektronischen Reisepass ist dies bereits geschehen.