Gerade in aller Munde, der neue elektronische Personalausweis (kurz: ePerso). Ab November bekommt man nur noch ihn. Im Gegensatz zu dem alt bekannten Personalausweiß schrumpfte seine Größe auf die, einer EC-Karte. Ausgestattet mit einem RFID-Chip ermöglicht es nun dem Besitzer, den Perso als digitale Unterschrift oder um im Internet einzukaufen, zu verwenden. Damit dies auch möglich werden kann, benötigt man zur Koppelung des Ausweises einen Kartenleser, der mit dem PC verbunden ist. Das Land will eine Million dieser Geräte kostenfrei den Bürgern zur Verfügung stellen. Und hier hat der Ratgeber PlusMinus in Zusammenarbeit mit dem CCC eine gravierende Sicherheitslücke entdeckt: Da die Kartenleser mit Sicherheitsstufe I deklariert sind, befindet sich auf dem Gerät selbst kein Tastenfeld für die PIN-Abfrage. Der Leser muss am PC angeschlossen sein und über ein mitgeliefertes Programm kann man dann seine persönliche Identifikationsnummer eingeben. Das CCC sieht hier die Möglichkeit, dass Angreifer einen Trojaner, bzw. einen Keylogger auf dem infizierten System einnisten und die PIN-Eingabe mitloggen und an den Angreifer zurück schicken. Der Vorteil, im Gegensatz zu z.B. Kreditkarten ist, dass der Angreifer mit der PIN-Nummer allein nichts weiteres anfangen kann. Zur Ausnutzung benötigt er hierzu auch den ePerso.
Solltet ihr also euch den ePerso zulegen, empfehle ich, wie auch das CCC und das BSI, den Computer immer auf dem aktuellsten Sicherheitsstand zu halten. D.h. immer alle Windows Updates herunterladen, Virensignaturen aktuell halten und nicht davor scheuen, eine Firewall (und nicht die von Windows selbst) einzusetzen. So könnt ihr schonmal sicher gehen, dass ihr nicht so leicht angreifbar seid und sollte z.B. etwas über euren Perso gekauft werden, ihr im Recht seid, da ihr alles mögliche zur Einhaltung eurer eigenen Sicherheit, geleistet habt. Des Weiteren, wie oben schon angekündigt, benötigt der Angreifer auch den physischen ePerso. Also die Karte selbst. Solltet ihr diese verlieren, würde ich aber auch gleich den Ausweis sperren lassen, damit niemand mehr etwas damit anfangen kann!
Empfehlen würde ich euch auch, nicht gleich im November auf den neuen Ausweis umzusteigen, sondern erst einmal abzuwarten, wie er angenommen wird und es wird sicher noch etwas daran geändert, was eurer Sicherheit zugute kommt. Theoretisch könnt ihr auch euren jetzigen Perso bis Ende Oktober als alten Personalausweis verlängern lassen. So habt ihr weitere fünf Jahre ruhe. Und ihr zahlt auch nur acht Euro. Der neue kostet ca. 26 Euro.