Seit 15:30 Uhr Tonart
 
  • facebook
  •  
  • twitter
  •  
  • instagram
  •  
  • spotify
 
Seit 15:30 Uhr Tonart
 
 

Elektronische Welten / Archiv | Beitrag vom 29.09.2010

Der neue Ausweis im Visier der Hacker

Billige Lesegeräte bringen elektronischen Personalausweis in Misskredit

Von Marko Pauli

ie Chipkarte ersetzt den alten Personalausweis. (Bundesdruckerei)
ie Chipkarte ersetzt den alten Personalausweis. (Bundesdruckerei)

Der alte Ausweis geht, die Chipkarte kommt. Datenschützer sehen jedoch Sicherheitslücken bei den zugehörigen Lesegeräten. Ein Besuch bei der Hamburger Firma NXP, die den Chip für den Ausweis produziert.

"So, das ist der Mundschutz..."

Bevor die Produktionsstätte des Personalausweis-Chips betreten werden darf, müssen Ganzkörperanzüge angelegt werden. Von Kopf bis Fuß, weiß und rein für den Reinraum. Kleinste Partikel in der Luft könnten den winzigen Chips schaden.

Jan Martens, Mitarbeiter des Halbleiterherstellers NXP: "Die Reinraumklasse ist hier 10.000. 10.000 Partikel pro Kubikmeter Luft sind noch erlaubt. Wenn Sie normale Raumluft im Wohnzimmer oder Büro haben, sind Sie bei 1 bis 10 Millionen."

Viele geschlossene und vollautomatisch vor sich hinarbeitende Maschinenkästen sind im Reinraum zu sehen, weit hinten ein paar Menschen in Weiß vor Mikroskopen. In drei Produktionsschritten wird hier der Chip für den Personalausweis produziert.

Jan Martens: "Das ist einmal die Programmierung, das Schleifen der Rückseite und das Vereinzeln, das heißt. das Sägen dieser besonders dünnen Chips."

Jan Martens ist Wafer-Testmanager bei NXP. Wafer, das sind die glitzernden Halbleiterscheiben, etwa langspielplattengroß, auf denen die quadratischen Chips nebeneinander liegen. Gut 2300 Personalausweischips passen auf einen Wafer. Jeder Chip sei ein kleiner Computer, erläutert Sicherheitsmanager Christian Wiebus:

"Sie dürfen sich das so vorstellen, dieser Mikrocomputer hat ein Betriebssystem, und er hat einen Bereich, wo nachher die Daten eingeschrieben werden. Und dieser Bereich ist ein nicht flüchtiger Speicher, d.h. dort wird nachher Ihr Name, das Bild eingeschrieben bei dem Kartenhersteller, zum Beispiel Bundesdruckerei."

Bei NXP wird die Software programmiert, zum Beispiel die Kryptographie, mit der die Daten verschlüsselt sind, wenn sie vom Personalausweis zum Lesegerät übertragen werden.

Wiebus: "Unsere Aufgabe ist es, dass es einerseits sicher passiert, aber dass es auch entsprechend schnell funktioniert. Denn Sie wollen ja als Benutzer vom Internet nicht Minuten lang warten bis dann endlich Ihr Personalausweis gelesen wird."

Hierbei ist es durchaus üblich, gegeneinander zu arbeiten. Heißt: Während die einen Ingenieure bei NXP die Verschlüsselung bauen, versuchen die anderen, sie anzugreifen.

Wiebus: "Nur wenn all diese Angriffe vom Chip auch entsprechend abgewehrt wurden - soll heißen, dass man die Daten nicht vom Chip lesen kann, dass man diese Kryptografie nicht brechen kann - nur dann bekommt er ein Zertifikat. Dieses Zertifikat wird ausgegeben vom Bundesamt für Sicherheit und Informationstechnik in Bonn. Und erst dann sind wir überhaupt in der Lage, so einen Chip zum Beispiel im Personalausweis liefern zu dürfen."

Damit die Chips später gut geschützt im Plastik des neuen Personalausweises verschwinden können, wird die Wafer-Scheibe nach dem Programmieren hauchdünn geschliffen - eine besondere Kompetenz der Firma NXP. War sie zuvor etwa einen Millimeter dick, misst die Scheibe nun nur noch 0,08 Millimeter. Dann folgt der dritte Produktionsschritt:

Martens: "Hier werden mit kleinen Diamantsägeblättern die Chips vereinzelt. Man sägt den ganzen Wafer durch. Er ist auf eine Folie aufgeklebt, damit nach dem Durchsägen nicht alles durcheinander fliegt."

Die entstehenden Siliziumpartikel werden beim Sägen mit weggespült. Der Chip ist nun fertig, und Rüdiger Stroh, Geschäftsführer von NXP Deutschland, ist von ihm überzeugt:

"Das ist das sicherste Dokument was es heute auf der Erde gibt, was wir da gebaut haben."

Der Chip mag sicher sein, das ganze System ist es nicht unbedingt. Um mit dem Ausweis Einkäufe oder Behördengänge im Internet zu erledigen, muss er in ein Lesegerät gelegt werden. Das Bundesinnenministerium spendiert eine Million Lesegeräte – die jedoch zur geringsten Sicherheitskategorie gehören.

Wirth: "Wir würden jedem Bürger abraten, dieses Kartenlesegerät für sich zu nutzen."

Sagt der technische Referent beim Hamburger Datenschutz, Dr. Sebastian Wirth. Über eine zum Beispiel per Email eingeschleuste Keylogger-Software könnten die Eingaben des Benutzers mitprotokolliert werden, inklusive der am Computer eingegeben PIN. Während der Ausweis gesteckt ist, könnten so parallel betrügerische Geschäfte abgeschlossen werden. Besser wäre es gewesen, für das Geld - immerhin 24 Millionen Euro - weniger, dafür aber sicherere Geräte zu sponsern, meint Sebastian Wirth.

Wirth: "Wenn ich die Hinweise des BSI angucke, wie man zum Beispiel. Online-Banking macht - finde ich das vom Szenario sehr vergleichbar -, dann sind da überall Kartenlesegeräte der Klasse 3, die empfohlen werden. Also Lesegeräte mit eigener kleiner Tastatur, wo man über ein Tastaturfeld die PIN eingibt, so dass die Angriffe auf den PC gar nicht wirken können."

Aus Sicht des Datenschutzes ist es bedauerlich, dass der neue Personalausweis durch das billige Lesegerät in Misskredit gerät. Denn eigentlich wird er sehr positiv gesehen. Zu begrüßen sei etwa, dass Webshops die den neuen Personalausweis einbinden, vorab beim Bundesverwaltungsamt ein Zertifikat beantragen müssen.

Wirth: "Dort wird geprüft, ob es plausibel ist, dass dieses Unternehmen bestimmte Daten auf dem Personalausweis abgreift, und zwar nur die die erforderlich sind. Eine Datenreduktion sozusagen und eine Erhöhung der Sicherheit gegenüber dem Zustand jetzt."

Bleibt noch der digitale Fingerabdruck, der freiwillig auf dem Chip hinterlegt werden kann. Datenschützer Sebastian Wirth rät davon ab.

"Wenn man in einen Staat nach XY einreist, dort sein Dokument zeigt, die Daten können dort ausgelesen werden, dann wäre das eine Situation, die man nicht unbedingt eingehen muss. Wenn man sich anguckt, wo man in einem Dokument heute biometrische Daten braucht, für die Einreise in bestimmte Staaten, ist das relativ selten. Für solche seltenen Gelegenheiten kann man den Reisepass nutzen, da ist es ja auch Pflicht."

Elektronische Welten

MedizinKrank gespielt
Eine Geige, eine Flöte, eine Mundharmonika und ein Banjo liegen auf einem Notenblatt.   (picture-alliance / dpa / Wolfgang Thieme)

Einige leiden unter Kreuzschmerzen, andere bekommen verkrümmte Finger: Viele Musiker leiden unter Berufskrankheiten. Wissenschaftler der ETH Zürich wollen den Ursachen häufiger Beschwerden auf den Grund gehen.Mehr

EmpfehlungenAbenteuer, Strategie, Denkspiel
Das Exemplar einer durchsichtigen Sonderedition des ersten Gameboys ist am 14.04.2014 im Computerspielmuseum in Berlin in einer Vitrine zu sehen. (picture alliance / dpa / Stephanie Pilick)

Im Sommer gibt es wenig Neues auf dem Spielemarkt, wir haben dennoch drei Spiele gefunden. Man kann sich als strategisch denkender Ermittler austoben, sich auf eine gefährliche Insel begeben oder ein Männchen durch ein Level zum Ausgang führen. Mehr

GefahrgutEin Roboter für den Treibstofftransport
Mitarbeiter in der PCK Raffinerie GmbH im brandenburgischen Schwedt  (dpa / picture alliance / Patrick Pleul)

Roboter gibt es heute in vielen Bereichen. Auch die Raffinerie im brandenburgischen Schwedt will künftig eine mobile Maschine einsetzen. Dort soll sich ein Roboter sogar in komplexen Situationen von selbst zurechtfinden.Mehr

weitere Beiträge

Wissenschaft und Technik

Drogen"Kommt ein guter Rauch"
Vier E-Shishas (dpa / picture alliance / Daniel Reinhardt)

Eine E-Shisha ist wesentlich kleiner als die orientalische Wasserpfeife und ähnelt in der Funktion einer elektronischen Zigarette. Die meist sehr bunten elektronischen Shishas machen Jugendliche glücklich − Eltern und Suchtexperten sind hingegen besorgt.Mehr

weitere Beiträge

Breitband

Das könnte sie auch interessieren

Entdecken Sie Deutschlandradio Kultur