Die ARD beschäftigt sich in der Plusminus-Sendung vom 24.08.2010 mit der Frage „Personalausweis – Höhere Gebühr – mehr Sicherheit?“ Neben einigen richtigen Feststellungen enthält der Beitrag viele Ungenauigkeiten und Ungereimtheiten. Hier wurde – wieder einmal – die Gelegenheit verschenkt, den Bürger über die tatsächlichen Gefahren aufzuklären und Hinweise zu geben, wie mehr Sicherheit tatsächlich erreicht werden kann.

Es ist immer Lobenswert wenn das Fernsehen ein PC-Sicherheitsthema aufgreift. Schließlich wird hier ein große Zahl von Zuschauer erreicht und der Sender könnte einiges bewegen. Die Möglichkeiten der Darstellung komplexer Computer-Themen sind im Fernsehen allerdings von Haus aus begrenzt. Damit sich der Zuseher nicht gleich ausklinkt, müssen komplizierte Fachwörter und umständliche Sätze vermieden werden.

Trotzdem kann man ein Mindestmaß an technischer Richtigkeit auch von der ARD verlangen. Wieder einmal steht aber stattdessen die öffentlichkeitswirksame Schlagzeile im Vordergrund und der Inhalt der Sendung wird in eine Richtung manipuliert, die die Aussage der Schlagzeile bekräftigen soll.

Zunächst einmal die wohl wenig strittigen Aussagen:

• Ab 1.11.2010 gibt es in Deutschland einen neuen Personalausweis.
• Auf dem Personalausweis befindet sich ein Chip, auf dem auch biometrische Daten gespeichert werden können.
• Mit diesem Ausweis soll man sich über ein Lesegerät auch im Internet ausweisen können. Dann lassen sich beispielsweise Geschäfte erledigen, bei denen die Identität des Geschäftspartners eindeutig festgestellt werden muss.
• Die Kosten für den Ausweis erscheinen mit 28,80 Euro als ziemlich hoch. Diesen Betrag müssen auch Bürger zahlen, die die Zusatzfunktionen des Personalausweises gar nicht nutzen wollen.
• Für Internet-Geschäfte benötigt der Bürger den neuen Personalausweis, eine sechsstellige PIN und ein Kartenlesegerät.
• Anfang November werden eine Million Kartenlesegeräte kostenlos verteilt, Diese Aktion kostet den Bund 24 Millionen Euro aus dem Konjunkturpaket II.

Im Text auf der Plusminus-Website heißt es:

„Verteilt werden anfangs mehr als eine Milllion Basisgeräte, auf denen es weder eine Tastatur noch ein Display gibt. Der Verbraucher muss bei dieser Version seine PIN über die Computer-Tastatur eingeben. „

Und weiter:

„Dass es dadurch einfach ist, die Daten der Bürger zu klauen, bewiesen Hacker des Chaos Computerclub. Sie zeigten plusminus-Reportern, wie Betrüger sich über eine einfache Spionagesoftware aus dem Internet auf den Computer des Verbrauchers einhacken und die Daten sowie die PIN des neuen Personalausweises abfischen könnten.“

Sicher oder Unsicher: In der Fernsehsendung wird vorgeführt, wie sich ein Datendiebstahl realisieren lässt. Wir sehen Mitglieder des Chaos Computer Clubs vor zwei Notebooks.

Dazu heißt es:

„Alles dann kein Problem, wenn Ausweis und Lesegerät wirklich so sicher sind, wie die Bundesregierung behauptet. Aber sind sie das?“

Dann sehen wie eine E-Mail, über die ein Schadprogramm auf den PC gelangt. Dabei handelt es sich nicht um einen einfachen Keylogger, sonder gleich um eine komplette Fernsteuersoftware. Soweit zu sehen ist, kommt VNC zum Einsatz. Damit wird dann der Bildschirminhalt des einen Notebooks auf das andere Notebook übertragen.

„Ich sehe einfach genau alles, was du tust. Ein Abbild von deinem Bildschirm und was du eingibst. Also deine PIN und sonstige Dinge, die du eingibst“.

Die Fragen, die man hier stellen muss: Über welchen Trojaner gelangt VNC auf den PC? Mir ist da nichts bekannt, aber theoretisch möglich wäre es natürlich schon. Wenn der Virenschutz des PCs hier nicht Alarm schlägt, sollte auf jeden Fall die Firewall den Fernzugriff verhindern. Wie wird die Firewall überwunden? Diese befindet sich (hoffentlich) im DSL-Router und ist daher nicht so leicht zu knacken. Zudem müssten bei dieser Methode PIN und Kennwort im Klartext auf dem Bildschirm erscheinen. Es sei denn man analysiert die Rohdaten auf Protokollebene, denn bei VNC erfolgt die Datenübertragung unverschlüsselt.Von einer einfachen „Spionagesoftware aus dem Internet“ kann hier also keine Rede sein.

Sollte der Hacker trotz dieser Schwierigkeiten in den Besitz der Zugangsdaten gelangt sein, muss er meinen PC fernsteuern und hoffen, das ich nicht gerade davor sitze und das bemerke oder nicht den Personalausweis inzwischen vom Lesegerät genommen habe. Dafür stellt uns Plusminus aber auch eine Lösung vor:

„Und ich könnte natürlich deinen Ausweis dann gezielt klauen, denn ich kenne ja jetzt deine Adresse und Anschrift.“

heißt es im Filmbeitrag. Ich sitze also mit meinem Personalausweis zu Hause und warte bis der Hacker vorbeikommt und mir meinen Ausweis abnimmt. Alles in allem erscheint das ganze Szenario als – vorsichtig ausgedrückt – wenig wahrscheinlich oder – besser noch – einfach als kompletter Unsinn.

Im Textbeitrag auf der Plusminus-Website heißt es:

„Es gibt drei verschiedene Gerätetypen mit den Sicherheitsstufen Basis, Standard und Komfort. Verteilt werden anfangs mehr als eine Milllion Basisgeräte, auf denen es weder eine Tastatur noch ein Display gibt.“

Im Filmbeitrag ist von der Tastatur am Lesegerät nicht mehr die Rede. Dabei wäre hier Gelegenheit gewesen, den Beitrag von der bloßen Panikmache hin zu einem Ratgeber für mehr Sicherheit zu entwickeln. Denn ist die Tastatur am Lesegerät, haben Keylogger keine Chance.

Deutlich interessanter wären hier weitere Nachfragen zu diesem Statement von Dr. Thomas de Maizière (CDU) gewesen:

„Sie bekommen ein Angebot, was Sie nutzen. Dafür haben Sie ein Gebühr zu entrichten. Und ob sie es und wie Sie nutzen ist dann Sache des Verbrauchers. Sie können auch einen Pass bestellen und reisen gar nicht und legen ihn in die Schublade. Trotzdem müssen Sie den gleichen Preis für den Pass bezahlen.“

Der Verbraucher wird zu einem Angebot gezwungen, was er gar nicht nutzt und darf dafür bezahlen. Dafür verbrät die Bundesregierung 24 Millionen Euro allein für die Lesegeräte ohne Tastatur. Für die weiteren Umstellungskosten kommen wahrscheinlich noch einige Millionen dazu. Welche Industrie wird hier gerade subventioniert? Warum gibt es nicht zwei Ausweise? Einen mit Chip und einen ohne?

Fazit: Lesegeräte ohne Tastatur sind potentiell unsicher. Das stimmt. Die Beweisführung von Plusminus ist in diesem Punkt aber nicht zufriedenstellend. Denn es handelt sich nicht im ein Problem mit dem Lesegerät und dem Ausweis an sich, sondern um ein allgemeines PC-Sicherheitsproblem: Wie schütze ich mich wirksam vor Schadsoftware, die meinen PC ausspioniert? Arbeiten Sie immer noch unter Windows XP mit administrativen Rechten, die jeder Schadsoftware Tür und Tor öffnen? Laden Sie immer noch jeden Blödsinn herunter, der an einer Mail hängt? Wie halten Sie es mit Virenscannern und ist die Software auf Ihrem PC aktuell?

Am Schluss hätte man eine klare Empfehlung aussprechen müssen: Nutzen Sie nicht die kostenlosen Geräte der Bundesregierung sonder nur sichere Geräte mit Tastatur. Wenn Sie komfortabel und sicher im Internet einkaufen wollen, müssen Sie für diesen Komfort selber zahlen.

Dann wäre da noch die interessante Frage: Für wen erhöht sich die Sicherheit durch den neuen Personalausweis beim Einkauf im Internet eigentlich? Für den Verbraucher? Wohl weniger. Es ist eher der Händler, der den Kunden so eindeutig identifizieren kann.Vielleicht kurbelt das langfristig den Online-Umsatz an. Zahlen darf erst einmal der Bürger.

Das Thema „Personalausweis“ im Internet :

welt.de: Daten auf neuem Personalausweis sind nicht sicher. Der Chaos Computerclub hat den neuen Chip-Personalausweis geknackt. Doch der Innenminister sieht deshalb keinen Handlungsbedarf.

ftd.de: Lesegeräte umstritten- Sicherheitslücken beim neuen Personalausweis. Im Sicherheitssystem des neuen Personalausweises gibt es einem Bericht zufolge gravierende Mängel. Betroffen sind die einfachen Lesegeräte, die kostenlos verteilt werden sollen. Die Behörden weisen die Kritik zurück.

zeit.de: Ausweis im Test – Neuer Personalausweis zeigt Sicherheitsmängel. Einem Bericht zufolge geben Lesegeräte für den neuen Personalausweis Geheimdaten frei. Der Bund hat trotzdem keine Bedenken.