Report München


22

Datenleck in Deutschland Sicherheitslücken beim neuen Personalausweis

Vor knapp drei Jahren kam er in die Geldbeutel: der "ePerso", ein Ausweis nicht nur für das echte Leben sondern auch für das Netz: Behördengänge von zuhause, Kontoeröffnung, Versicherungen abschließen – ideal für die digitale Gesellschaft. Doch die elektronische Ausweisfunktion im Netz ist angreifbar. Report-Recherchen zeigen: Die Sicherheitslücke ist immer noch nicht geschlossen – und Hacker können äußerst sensible Daten von Bundesbürgern ausspähen oder im Namen der Ausweisbesitzer kriminellen Geschäften nachgehen. Was hat die Politik aus der Sicherheitsproblematik gelernt?

Von: Pia Dangelmayer, Ralf Fischer, Fabian Mader

Stand: 27.08.2013

Jenny Seeber hat ihn: den neuen Personalausweis. Mit ihm will sie auch im Internet sicher Behördengänge machen.

Volker Birk hat noch den alten. Weil er dem neuen nicht traut. Er ist Hacker und wird uns zeigen, wie angreifbar der neue Ausweis ist. 

Zuerst nach München. Jenny Seeber hat gerade ihren neuen Personalausweis abgeholt.

Jenny Seeber, Ausweis-Besitzerin: „Ich bin halt viel unterwegs. Den ganzen Tag. Das ist eine coole Möglichkeit in der Mittagspause oder selbst abends nach den normalen Öffnungszeiten, bestimmte Erledigungen zu machen.“

Online aufs Amt, Versicherungen abschließen und sicher Einkaufen. Das alles soll der ePerso können, verspricht die Bundesregierung.

Sicher im Netz, das will auch Jenny Seeber. In Zeiten von Abhörskandalen ist das Thema Datenschutz im Internet wichtiger denn je. Deshalb hat sie die Onlinefunktion des Ausweises freischalten lassen. Und ein Einstiegs-Lesegerät gekauft, ohne eigene Tastatur. Damit schließt sie den Ausweis an den Computer an. Mit einer Geheimnummer kann sie sich dann online ausweisen.

Doch da greift er an: Volker Birk ist IT-Sicherheitsexperte und beim Chaos Computer Club. Er will die Kontrolle über den Ausweis von Jenny Seeber bekommen. Die Schwachstelle ist ihr einfaches Lesegerät, es hat keine eigene Tastatur zur PIN-Eingabe. 

Volker Birk, IT-Sicherheitsexperte: „Das Problem ist, dass man irgendeine Tastatur benötigt, um die PIN einzugeben, und jetzt bleibt nur noch die des PCs übrig. Und der PC ist keine sichere Möglichkeit eine PIN einzugeben, weil PCs kann man abhören.“

Wir simulieren diesen Angriff. Mit einem Spionageprogramm. Ein solcher Trojaner kann den Computer infizieren, wenn zum Beispiel ein schädlicher E-Mail-Anhang geöffnet wird.  Wie so häufig.

Im Nachbarraum schließen wir Jenny Seebers Ausweis an und geben die PIN auf dem Bildschirm ein, ohne dass der Hacker es sieht. Anhand der Klicks will er die Geheimnummer auslesen. Ob das funktioniert?

Volker Birk, IT-Sicherheitsexperte: „Die 152-181, die ist hier oben, das ist die eins. Das müsste die PIN sein.“

report München: „Das ist die richtige PIN!“

Volker Birk, IT-Sicherheitsexperte: „Ab jetzt gehört der Personalausweis im Prinzip dem Angreifer, also in diesem Beispiel mir, und ich kann damit alles machen, was der Benutzer damit auch machen kann.“

Erstmals klappt das sogar vollautomatisch. Und wird damit noch gefährlicher.

Doch zuerst nach Münster: Eine Vorzeige-Kommune beim E-Perso. Hier nutzen überdurchschnittlich viele die Onlinefunktion des Ausweises. Führungszeugnis bestellen, Wunschkennzeichen festlegen oder ein gefundenes Fahrrad melden: Alles im Netz. Die Bundesregierung will noch mehr: Seit diesem Monat gibt es ein Gesetz, das in Zukunft fast alle Behördengänge online möglich macht. Dann soll es überall so aussehen wie hier:

Stefan Schoenfelder, Stadt Münster: „Wir sind hier im Bürgerbüro der Stadt Münster. Und unser Traum ist, dass es immer so leer ist, auch zu Spitzenzeiten, so wie jetzt. Das ist bequemer für die Bürger und effizienter für die Verwaltung.“

Dafür hat die Stadt 40.000 Lesegeräte verschenkt. Staatlich zertifiziert. Es sind solche, die unser Hacker geknackt hat:

Solange der Ausweis an den gehackten Computer angeschlossen ist, kann Volker Birk ihn fremdsteuern. Mit der ausgespähten PIN kann er  jetzt zum Beispiel den Rentenversicherung-Auszug unserer Testperson einsehen.

Volker Birk, IT-Sicherheitsexperte: „Da sind wir jetzt bei der Frau Jenny Seeber, das sieht man hier, in ihrem Rentenversicherungsbereich. Und da kann ich mir jetzt hier zum Beispiel mal den Versicherungsverlauf anzeigen, oder ich kann mir eine Rentenauskunft, eine Renteninformation anzeigen.“

Nach wenigen Minuten weiß er so über unsere Ausweis-Testerin: Vor- und Nachname, Geburtsdatum und Ort, die Adresse. Aber auch noch sensiblere Daten: das genaue Einkommen der letzten Jahre. Die aktuelle Rentenhöhe und den Beschäftigungsstatus. Er kann genau sehen, wann Jenny Seeber gearbeitet hat und wie viel sie dabei verdient hat.

Volker Birk, IT-Sicherheitsexperte: „Das sind mit Sicherheit personenbezogene Daten, die im sehr sensiblen, persönlichen Bereich sind. Und dass ich dann auch noch Eingriff nehmen kann ist etwas, das darf auf keinen Fall passieren.“

Volker Birk kann sogar ein Konto eröffnen. Mit der Identität von Jenny Seeber. Auch nur mit wenigen Klicks. Ein offenes Tor für Kriminelle.

Diese Ergebnisse zeigen wir dem Polizisten André Schulz. Er weiß: Solche Konten werden auf dem Schwarzmarkt gehandelt:

André Schulz, Bund Deutscher Kriminalbeamter: „Dann kommen wir in einen Bereich, wo es interessant wird für die Polizei, weil es in diesem Bereich auch für die organisierte Kriminalität interessant wird, das heißt, Kontoeröffnungen werden für Geldwäschezwecke zum Teil benutzt und es ist teilweise nur erforderlich nur wenige Minuten bis eine Stunde so ein Konto auch aufrecht zu erhalten. Das heißt, wenn die Bank irgendwann den Missbrauch bemerken würde, könnte es schon zu spät sein.“

Der Kriminalbeamte rechnet in Zukunft mit mehr Missbrauch. Und rät deshalb von den einfachen Basis-Lesegeräten ab. 

Dabei hat die Bundesregierung den Ausweis vor drei Jahren eingeführt, um das Netz sicherer zu machen. Und genauso lange gibt es Kritik an den tastaturlosen Lesegeräten. Geändert hat sich seitdem so gut wie nichts, denn Innenminister Friedrich schiebt die Verantwortung den Bürgern zu: Sie sollen ihren Computer frei von Viren und Trojanern halten.

Hans-Peter Friedrich, Innenminister: „Ich glaube, das muss man den Usern auch sagen, man muss eben auch dafür sorgen, dass man seinen Computer versucht, so gut wie möglich zu schützen. Insofern kann man nicht sagen, dass automatisch dieses Basismodell weniger Sicherheit bietet, wenn man seinen Computer richtig schützt, ist auch das eine sichere Möglichkeit.“

Volker Birk, IT-Sicherheitsexperte: „Jeder vierte Windows-Rechner mindestens dürfte schon geknackt sein und dürfte schon in diesem Sinne abgehört werden, und jetzt nicht durch die NSA, sondern durch Leute, die Botnetze betreiben, und das sind die ganz bösen Jungs.“

Zurück bei Jenny Seeber. Wir zeigen ihr, was der Hacker heimlich mit ihrem Perso machen konnte:  Ihr Einkommen sehen und sogar ein Konto auf ihren Namen eröffnen:

Jenny Seeber, Ausweis-Besitzerin: „Also ich bin total schockiert, jetzt. Dass einfach Dritte Zugriff auf meine sensiblen, wirklich sensiblen Daten haben.“

Ach ja: Es gibt bereits sicherere Lesegeräte, für viel Geld. Doch der Bund hält an den angreifbaren Lesern fest und schiebt die Verantwortung dem Bürger zu. Ausspähen leichtgemacht.

Manuskript zum Druck

Manuskript als PDF:


22