Der Chaos Computer Club will den vor. Bei dem Hack geht es um die zum Ausweis gehörige mehrrstellige PIN, mit der man sich ähnlich wie bei Benutzung der EC-Karte an Lesegeräten als Karteninhaber ausweisen kann.
Mit dieser PIN soll es dann möglich sein, sich auch im Internet gegenüber Behörden und Firmen auszuweisen oder auch einen Altersnachweis durchzuführen. Neben der PIN sollen auf dem Ausweis persönliche und biometrische Daten des Inhabers sowie eine elektronische Signatur gespeichert werden. Das Bundesinnenministerium will demnächst offenbar kostenlos eine Million Lesegeräte an interessierte Bürger verteilen, die aus dem Konjunkturpaket II bezahlt werden.
[adrotate group="5"]
Da in den Ausweis ein RFID-Chip eingebaut ist, erfolgt das Auslesen drahtlos. Mit dem Hack des CCC, zu dem noch keine Details bekannt sind, können offenbar die persönlichen Daten einschließlich Pin “im Vorbeigehen” ausgelesen werden. In einer ersten Stellungnahme sah Bundesinnenminister Thomas de Maizière (CDU) keinen Handlungsbedarf. Das Verfahren sei für den Verbraucher sicher.
Immerhin ist es möglich, die Online-Funktion samt PIN kostenlos sperren zu lassen – womit aber nicht der RFID-Chip gemeint ist. Ein späteres Entsperren ist in den Bürgerämtern möglich und wird 6 Euro kosten. Eine weitere Möglichkeit ist das Blockieren des RFID-Chips mittels Alufolie oder einer anderen abschirmenden Hülle. Vom absichtlichen Zerstören des RFID-Chips in der Mikrowelle rate ich hingegen ab, da es sich um einen Straftatbestand nach §303 StGB handeln kann – auch wenn der äußerlich unbeschädigte Ausweis zunächst gültig bleibt.
Der neue Ausweis wird ab dem 1. November eingeführt und soll 28,80 Euro kosten. Wer jetzt noch schnell einen Ausweis neu beantragt, bekommt den alten, der 10 Jahre gültig ist, für 8 Euro. Eigentlich kann ein neuer Ausweis nicht beantragt werden, solange der alte nicht zeitnah abläuft. Viele Bürgerämter zeigen sich hier aber kulant, da schließlich niemand verhindern kann, dass ein Ausweis verloren geht.
Bis zur bundesweiten Einführung des biometrischen Ausweises sollten sich die Verantwortlichen nochmals Gedanken über die Sicherheit machen. Wenn sogar Schüler der 9. Klasse Sicherheitslücken im Kartensystem finden sehe ich schwarz…
Lücken gibt es überall, aber gerade bei einem Ausweis sollte so etwas nicht passieren – dass der Ausweis seine ersten Schwachstellen noch vor dem erscheinen offenbart hat, war bezeichnet. Dass nun jedoch die Lückenserie nicht abreißt und prinzipiell im 8-Wochen-Takt eine neu Schwachstelle offenbar wird, ist frapierend!