path: root/updates/2013/epa-mit-virenschutzprogramm.md

title: Trügerische Sicherheit: Der elektronische Personalausweis
date: 2013-09-15 20:52:00 
updated: 2013-09-16 08:18:31 
author: henning
tags: update, pressemitteilung

Auf die Frage, was uns alle die zwangsweise biometrische Vermessung für den von Sicherheitslücken betroffenen Rohrkrepierer "elektronischer Personalausweis" kostet, hat die Bundesregierung nun einige Angaben gemacht. Zu den technischen Details der Antworten nimmt der Chaos Computer Club (CCC) hiermit Stellung.

<!-- TEASER_END -->

Die Marketing-Abteilungen der üblichen Industrie-Verdächtigen haben dem
Bundesministerium des Innern (BMI) einige Stichworte aufgeschrieben, um
kritische Nachfragen des Abgeordneten Jan Korte (Die Linke) zur
Sicherheit und zu den Kosten des elektronischen Ausweises (ePA) zu
parieren. Heraus kamen einige Aussagen, die wir nicht unkommentiert
lassen wollen:

Das BMI behauptet, es gäbe seit der Einführung des ePA "keinerlei
Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm
gespeicherten Daten hervorrufen". Ob Zweifel nicht doch angebracht
wären, sei dahingestellt. \[6\] Daß bisher keine Fälle bekanntgeworden
sind, ist im Umkehrschluß kein Beweis dafür, daß der im ePA verwendete
Chip nicht bereits geöffnet, reverse engineered und geklont worden wäre.

Das Reverse Engineering von Sicherheitschips ist ein ausgesprochen
angesagtes Forschungs- und Interessensgebiet. Daß der im ePA verwendete
Chip dran glauben wird, ist somit nur eine Frage der Zeit. Wohl nur das
Desinteresse von Ausweisbesitzern und Unternehmen, die neuen Funktionen
des ePA zu nutzen, kann erklären, warum bisher keine entsprechenden
Ergebnisse publiziert wurden.

Das unter Internetvollprofi Hans-Peter Friedrich irrlichternde
Ministerium argumentiert außerdem, die vom Ausweis übertragenen
Informationen seien "mit dauerhaft wirksamen \[...\]
Verschlüsselungsverfahren sicher geschützt". Wie "dauerhaft" ein
Verschlüsselungsverfahren Daten sichert, muß nicht nur angesichts der
Snowden-Enthüllungen und der bekanntgewordenen Angriffe verschiedener
Geheimdienste auf die Sicherheit kryptographischer Anwendungen neu
bewertet werden, sondern auch anhand der kryptographischen Forschung.
\[3\] Die Haltbarkeit von Schlüssellängen verschiedener Verfahren erwies
sich in der gesamten Geschichte der Kryptographie stets als wenig
"dauerhaft".

Den Vogel schießt das BMI allerdings mit der Behauptung ab, der Bürger
könne sich doch "durch regelmäßige Aktualisierung des Betriebssystems,
ein aktuelles Virenschutzprogramm sowie eine Firewall schützen". Diese
Behauptung ist nicht nur vielfach widerlegt, \[4\] sondern schiebt die
Verantwortlichkeit einfach auf den Bürger ab – ganz so wie der
Noch-Ministeriumschef statt Maßnahmen gegen NSA und GCHQ lieber zur
Verschlüsselung der eigenen E-Mails rät.

Moderne Schadsoftware wird oft nicht von Antiviren-Programmen und
anderem Snake-Oil erkannt. Und wie eine Firewall gegen einen Keylogger
helfen soll, möge das BMI bitte erst einmal erklären. Daß es aber
möglich ist, unentdeckbare Spionagesoftware – beispielsweise auf dem
Rechner eines Beschuldigten, der mit einem Staatstrojaner ausspioniert
werden soll – zu verankern, sollte das BMI mittlerweile wissen. Immerhin
nimmt es sich selber vor, das "Risiko einer Entdeckung \[des
Staatstrojaners\] durch geeignete technische Maßnahmen so gering wie
möglich" zu halten. \[5\]

Eine bereits entlarvte Desinformation wiederholt das BMI ebenfalls: "Der
Ausweis kann also bei Kenntnis der PIN nur missbraucht werden, wenn er
selber zur Verfügung stünde (z. B. gestohlen wird) und die eID noch
nicht im Sperrregister gesperrt wurde." Zwar ist derzeit noch kein
Verfahren publiziert, wie ein ePA-Chip (zerstörungsfrei) geklont werden
kann. Allerdings ignoriert das BMI folgendes praktisches Szenario: Ein
Angreifer kann den kompletten Kartenleser inklusive des daraufliegenden
ePA aus der Ferne übernehmen. \[4\], \[7\] Es mag sein, daß die
Voraussetzungen für einen erfolgreichen breiten Angriff nur
eingeschränkt vorhanden sind. Dennoch bestehen diese Risiken und sollten
den ePA-Nutzern nicht weiterhin verschwiegen werden.

Das BMI erspart uns auch nicht den Blümschen Imperativ: "Die
Online-Ausweisfunktion ist sicher." Das Ministerium attestiert dem
System weiterreichende Sicherheit als das bloße Verwenden veränderbarer
Paßwörter. In Wahrheit wird aber gerade keine Rechtssicherheit
hergestellt, obwohl mit dem ePA autorisierte Transaktionen rechtlich
bindend sein sollen. Immerhin soll die Online-Ausweisfunktion gerade
davor schützen, was Botnetze zehntausendfach ausnutzen: Nach der
Übernahme der Kontrolle eines Rechners ist dieser prinzipiell nicht mehr
vertrauenswürdig. Auch bei den Angriffen gegen das Online-Banking werden
oft nicht die Paßwörter geklaut, sondern die Transaktionen im Browser
manipuliert. Gegen solche in Echtzeit durchgeführten Angriffe während
elektronischer Transaktionen schützt der ePA eben gerade nicht.
Schlimmer noch: Der Benutzer wägt sich in trügerischer Sicherheit.

Daß der Schutz gegen den "zunehmenden Identitätsdiebstahl im Internet",
wie die Antwort des BMI behauptet, "wirksam" sei, ließe sich widerlegen,
wenn die Technologie tatsächlich mal für irgendwas Relevantes genutzt
würde. Im Rahmen einer Anhörung \[2\] der Internet-Enquête des Deutschen
Bundestages attestierte der geladene Sachverständige des CCC, Thorsten
Schröder, dem System, daß es den Identitätsdiebstahl erst begünstige.
Zuvor hatte Kriminalhauptkommissar Mirko Manske (BKA) ausgeführt, daß
insbesondere der Identitätsdiebstahl eine besonders große Rolle in der
Internet-Kriminalität spiele. Manske bestätigte Schröders Ausführungen
und bemerkte zur Manipulation von Transaktionen in Echtzeit, daß sich
nicht mehr die Frage stelle, ob jemand eine Transaktion durchgeführt
habe, sondern ob die getätigte Transaktion wirklich die gewesen sei, die
er auslösen wollte. Durch die einmalige Identifizierung werde
fälschlicherweise eine Sicherheit vorgegaukelt, so Manske.

Die Gefahr durch die Einführung des ePA (im Behördenslang: nPA) besteht
nicht durch die zugrundeliegende Technik selbst, sondern durch die
mangelhafte Aufklärung und Sensibilisierung der Nutzer durch das BMI
hinsichtlich der Risiken, die durch diese Verfahren unausweichlich
vorhanden sind. Anstatt sich der Problematik zu stellen und die Risiken
durch Aufklärung zu minimieren, setzt das BMI offenbar auf staatlich
behauptete IT-Sicherheit und erklärt dem Trend der Zeit folgend das
ePA-Sicherheitsproblem für beendet.

Allein die Einführung des elektronischen Ausweises hat bis Ende 2011
über 16 Millionen Euro gekostet, zusätzlich zu den 41 Millionen Euro für
das irreführende Online-Ausweis-Marketing. Ende des Jahres dürfen wir
vielleicht erfahren, was die Gesamtkosten des ePA-Experiments sind: Am
30. Dezember soll der Rechnungsprüfungsausschuß über die Ausgaben
informiert werden.

Anders als beim biometrischen Gesichtsbild ist die Abgabe der
Finderabdrücke für den ePA freiwillig, genauso wie das Aktivieren der
Online-Ausweisfunktion. Ein einfaches Nein genügt.

Links:

-   \[1\] [Antwort des Bundesministeriums des Innern auf die
    schriftliche Frage des Abgeordneten Jan Korte (Die Linke) vom 9.
    September](http://ccc.de/system/uploads/137/original/ePA-antwort.pdf)
    (pdf)
-   \[2\] Enquête-Kommission Internet und digitale Gesellschaft,
    Projektgruppe Zugang, Struktur und Sicherheit im Netz, [Protokoll
    des öffentlichen
    Expertengesprächs](http://www.bundestag.de/internetenquete/dokumentation/Zugang_Struktur_und_Sicherheit_im_Netz/PGZustrSi_2011-11-28_oeffentliches_Expertengespraech/PGZuStSi_2011-11-28_Expertengespraech_Protokoll.pdf), 28.
    November 2011
-   \[3\] <http://www.keylength.com/>
-   \[4\] Chaos Computer Club (2010): [Praktische Demonstration
    erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem
    elektronischen
    Personalausweis](http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa)
-   \[5\] Siehe auch:
    <http://www.bmi.bund.de/SharedDocs/FAQs/DE/Themen/Sicherheit/Datenschutz/Online_Durchsuchungen.html>
-   \[6\] ["Die gesamte Technik ist sicher" – Besitz und Wissen:
    Relay-Angriffe auf den neuen
    Personalausweis](https://events.ccc.de/congress/2010/Fahrplan/events/4297.en.html)
-   \[7\] [Basisleser weiterhin kritische Schwachstelle des
    elektronischen
    Personalausweises](https://netzpolitik.org/2013/basisleser-weiterhin-kritische-schwachstelle-des-elektronischen-neuen-personalausweises/)

Weitere Informationen: [https://www.ccc.de/de/biometrie](/de/biometrie)