Neuer Personalausweis: Wo die wirklichen Gefahren lauern

Eine der Funktionen des neuen Personalausweises ist die elektronische Identifizierung (eID). Mit einem entsprechendem Lesegerät kann man sich beispielsweise am eigenen PC gegenüber einem anderen Interteilnehmer, etwa einer Bank oder einer Behörde, identifizieren. Die eID-Funktion ist optional und kann beim Einwohnermeldeamt jederzeit deaktiviert oder aktiviert werden.

Dabei können folgende Daten übermittelt werden

  • Name, Doktortitel sowie gegebenenfalls Ordens- und Künstlername
  • Geburtstag und Geburtsort
  • Anschrift
  • Dokumententyp
  • Land
  • Wohnortbestätigung
  • Altersverifikation
  • pseudonyme Kennung

Vor der Eingabe der PIN muss der Dienstleister im Internet mitteilen, welche Daten er übermittelt haben möchte. Dem muss der Ausweisinhaber zustimmen. Ein Anbieter von Erotikseiten im Internet kann beispielsweise die pseudonyme Kennung und die Altersverifikation anfordern. Er erfährt dann weder den echten Namen noch das Geburtsdatum. Allerdings weiß er, dass tatsächlich der Ausweisinhaber vor dem PC sitzt und dieser mindestens 18 Jahre alt ist.

Das alles hört sich in der Theorie gut an. In der Praxis sieht es jedoch anders aus. Zunächst einmal benötigt der Ausweisinhaber ein kontaktloses RFID-Lesegerät, das etwa 10 bis 20 Euro kostet. Wer etwa von seiner Bank ein Chipkartenlesegerät mit Kontakten hat, kann dieses nicht weiterverwenden.

Viele Businessnotebooks besitzen einen eingebauten Kartenleser für Karten mit Kontakten. Kontaktlose Leser sind optional für einige neue Notebookmodelle erhältlich, siehe Bild 4. Für die Besitzer älterer Notebooks bleibt nur eine Lösung mit USB-Kabel oder als Express Card.

Der Dienstleister im Internet muss sich ein Zertifikat beschaffen, das er gegen Identitätsnachweis bei der Vergabestelle für Berechtigungszertifikate bekommen kann. Das zeitlich befristete Zertifikat selbst gibt es gegen Bezahlung bei akkreditierten Zertifizierungsdiensteanbietern der Bundesnetzagentur wie der DATEV, der Deutschen Telekom, der Deutschen Post oder der Bundesnotarkammer.

Ferner muss der Dienstleister eine speziell zertifizierte Infrastruktur aufbauen, die unter anderem sicherstellt, dass gesperrte Ausweise nicht mehr akzeptiert werden, sprich er muss eine CRL abfragen. Alternativ dazu kann ein Dienstleister im Internet diese Serverinfrastruktur auch von einem externen Anbieter nutzen, was ebenfalls mit Kosten verbunden ist.

Themenseiten: Big Data, Datenschutz, Politik, Privacy, RFID, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

15 Kommentare zu Neuer Personalausweis: Wo die wirklichen Gefahren lauern

Kommentar hinzufügen
  • Am 23. Juni 2010 um 19:24 von Karpfenpeter

    Danke, sehr informativ!
    Vielen Dank für diesen sehr empfehlenswerten (!) Artikel!

    Eine Sache, die mir sehr wichtig erscheint:
    Da wird von „Cyberkriminellen“ gesprochen – das fordert meine Kritik heraus. Es vermittelt das Gefühl, dass Schwachstellen des nPA nur aus dem Internet aus ausnutzbar wären, während sich die Missbrauchsgefahr nicht nur im Netzgebrauch sondern auch im Gebrauch innerhalb der physischen Welt besteht. Durch die Formulierung könnten viele Offliner denken „Ach ja gut, die Cyberkriminellen wieder…. ich bin ja eh nicht im Netz unterwegs, also bin ich von etwaigen Schwachstellen nicht betroffen“. Das wäre ein riesiger Trugschluss, darauf muss hingewiesen werden!

    Ach ja, und auf Seite 2 oder 3 ist die Rede von Computing-Cloud. Gemeint ist „Cluster“. Mit Cloud hat das alles nichts zu tun.

    Aber ansonsten super Artikel :-)

    In dem Zusammenhang noch eine Leseempfehlung meinerseits. Kai Biermann schrieb Anfang dieser Woche auch zum nPA. In seinem Artikel macht er darauf aufmerksam, dass man bis 1. November noch einen neuen „alten Pass“ beantragen kann – beispielsweise im Falle eines Diebstahls oder Verlustes des Persos: http://www.zeit.de/digital/datenschutz/2010-06/personalausweis-widerstand?page=all

    Viele Grüsse, Peter
    http://twitter.com/karpfenpeter

  • Am 23. Juni 2010 um 19:42 von Ulli

    Leider irrt der Autor …
    BAC kommt beim neuen Personalausweis als Zugriffsschutz nicht mehr zum Einsatz – ein Blick in die TR-03127 des BSI „Architektur des elektronischen Personalausweises“ wäre hilfreich gewesen – außerdem fehlt die Erläuterung von EAC (wenn man schon PACE erwähnt – alles in allem nicht das gewohnte zdnet Niveau – Schade

    • Am 23. Juni 2010 um 20:11 von Christoph H. Hochstätter

      AW: Leider irrt der Autor …
      Zitat Wikipedia unter Bezugnahme auf den CCC: „Ein Lesevorgang mittels BAC-Verfahren wird auch beim elektronischen Personalausweis möglich sein, bietet aber nur Zugriff auf zwei Datengruppen (die MRZ-Datei und das Gesichtsbild). Alle weiteren Datengruppen sind stärker gesichert. So wird es für Lesevorgänge erforderlich sein, dass der Benutzer eine sechsstellige PIN eingibt. Für die Verwendung der Signaturanwendung ist eine zweite PIN nötig.“

      Das geht auch gar nicht anders, weil die Lesegräte an den EU-Flughäfen außer BAC nichts unterstützen. Ohne BAC-Support könnte der nPA nicht als Reisedokument, sprich Passersatz, genutzt werden. Deswegen der Kompromiss, dass per BAC nur das Lichtbild und die MRZ-Daten auslesbar sind, nicht aber Anschrift, Fingerabdrücke, etc.

      EAC habe ich nicht erwähnt, da das Protokoll weder im deutschen ePass noch im nPA verwendet wird.

      • Am 24. Juni 2010 um 9:34 von Pragmathiker

        AW: AW: Leider irrt der Autor …
        Leider irrt hier auch der CCC
        Der nPA hat definitiv keine BAC
        Geichtsbild und Finerabdruck lassen sich nur über PACE und nachfolgende Terminal-/Chipauthentication auslesen

        • Am 24. Juni 2010 um 11:49 von Christoph H. Hochstätter

          AW: AW: AW: Leider irrt der Autor …
          Meine Nachforschungen zu diesem Thema haben jetzt ergeben, dass der Wikipedia-Artikel tatsächlich nicht korrekt ist. Es wird für das Auslesen der Daten beim Personalausweis nicht BAC, sondern PACE verwendet. Allerdings erfolgt die Datenfreigabe entweder wie bei BAC über die MRZ oder über die CAN (das ist die sechsstellige Nummer rechts neben dem Ablaufdatum).

          Für den Abruf von Daten wie Lichtbild und MRZ-Datei ist die PIN, die nur der Besitzer kennt, nicht erforderlich. Das Sniffen in der Nähe eines Lesegerätes wird dadurch erschwert, dass mit einem kurzen Schlüssel wie der sechsstelligen CAN ein langer Schlüssel mittels DH-Keyexchange ausgetauscht wird, was die Sicherheit stark erhöht.

          Um alle Daten inklusive Fingerabdrücke per Funk auszulesen, benötigt man ein gestohlenes Zertifikat von einer Behörde wie Polizei, Steuerfahndung oder Einwohnermeldeamt sowie die CAN oder MRZ (beides auf dem Ausweis aufgedruckt).

          BAC kommt weiterhin zum Einsatz beim „elektronischen Aufenthaltstitel“ (eAT), der in Deutschland lebenden Ausländern quasi als Ersatz für den Personalausweis ausgestellt wird.

          • Am 25. Juni 2010 um 22:09 von Pragmathiker

            AW: AW: AW: AW: Leider irrt der Autor …
            gestohlene Zertifikate bringen rein gar nichts. Denn diese dienen nur dazu einen öffentlichen Schlüssel in den nPA einzutragen
            Um auf Gesichtsbild und/oder Fingerabdruck zugreifen zu können benötigt man den zugehörigen geheimen Schlüssel. Dieser befindet sich aber in besonders geschützten hoheitlichen Lesegeräten (sog. Inspektionssystemen)

          • Am 26. Juni 2010 um 16:58 von Christoph H. Hochstätter

            AW: AW: AW: AW: AW: Leider irrt der Autor …
            Das ist natürlich richtig. Man muss das Zertifikat inklusive des privaten Schlüssels stehlen. Allerdings stehen diese „hoheitlichen“ Lesegeräte ja in jedem Einwohnermeldeamt und bei jeder Polizeiwache.

            Das wird nicht allzulange dauern, bis sich da jemand dran zu schaffen macht.

          • Am 28. Juni 2010 um 9:33 von Panama01

            AW: AW: AW: AW: Leider irrt der Autor …
            Kleine Bitte an den Autor: Den Wikipedia Artikel bitte entsprechend korrigieren. Danke!

  • Am 28. Juni 2010 um 23:42 von bloedmann

    sicherheit
    Fingerabruck abgeben, der im ausweis geloescht wird. Ha hoer ich nicht recht?

    • Am 30. Juni 2010 um 0:28 von Jens

      AW: sicherheit
      jupp … falsch gelesen!!

      die fingerabdruck-daten werden nach fertigstellung
      und ausgabe des nPAs aus der datenbank gelöscht,
      welche die daten hostet – bis sie auf den nPA
      übertragen werden! … das gehört sich auch so!!

      mfg Jens

      • Am 26. Oktober 2010 um 12:05 von Romeo

        AW: AW: sicherheit
        ..und das soll jemand tatsächlich glauben?

  • Am 3. Juli 2010 um 13:09 von Industrializer

    Ihr denkt immer nur an Cyberkriminelle,
    dabei sind die anderen Kriminellen genauso gefährlich: GEZ, Bundesregierung und andere staatlichen Organisationen. Ich denke mal, dass wir den Politganoven (Schäuble, Merkel,…) Einhalt gebieten müssen. Es soll hier doch nur das Projekt „Gläsener Bürger“ vorangetrieben werden. Deswegen ist dieser neue Personalausweis rundweg abzulehnen.

  • Am 7. Juli 2011 um 9:58 von Rebeca Seara Del Moral

    RFID Schützhüllen
    Ich verstehe die Angst vieler Menschen, gerade nachdem der CCC gezeigt hat, dass man problemlos die RFID Karten kopieren kann.
    Jedoch hat auch jeder die Möglichkeit sich davor zu Schützen, zumindest mal vor dem möglichen Datenklau. Es gibt eine RFID Schutzhülle, die man sich kaufen kann. Diese schirmt die RFID Frequenz einfach ab und man kann die Karten nicht mehr auslesen, geschweige denn kopieren. Wir haben es getest und es ist eine sehr gute Lösung sich vor Datenklau zu schützen.
    Was im Netz jedoch noch alles passieren kann ist noch fraglich.

    Viele Grüße
    Rebeca

  • Am 9. September 2015 um 17:17 von peter sued

    BTW: die Schutzhüllen oder auch FRID Blocker gibts u.a. bei Ebay.

  • Am 4. Februar 2017 um 13:30 von Stefan Kluge

    Dieser Thread ist etwas älter, doch ich halte dieses Thema für immernoch Aktuell. Denn heutzutage ist es möglich die Kreditkartendaten einfach mit einer Scheckkartenlese App auf kurzer Distanz in wenigen Sekunden auszulesen. Dies ist zum beispiel auf einer Rolltreppe gut denkbar. Schützen kann man sich mit RFID Schutzhüllen. Hier habe ich mich mal informiert: http://rfid-schutzhuelle-24.de/index.php/rfid-schutz/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *