Ein Projekt vom

Institut für Internet-Sicherheit

Jetzt für den Master bewerben!

Förderer

Partner

Live-Hacking

   

securityNews

Aktuelle Sicherheitsupdates

Aktuelle IT-Sicherheitslage

info    Gefahr durch Schwachstellen
info    Malware-Aktivität
info    Spam-Aktivität
Stand: 20.11.2017, 09:11Uhr

Neuen Personalausweis sicher verwenden

Seit dem ersten November 2010 ist der neue elektronische Personalausweis (nPA) in Umlauf. Herz der  Plastikkarte ist ein kleiner Computerchip, der einige Onlinefunktionen, wie beispielsweise die Online-Ausweisfunktion, ermöglicht. Auf Wunsch können die jeweiligen Online-Funktionen vom Nutzer freigeschaltet werden. Die Bundesregierung aber auch Privatunternehmen setzen große Hoffnungen in die digitale Komponente des Ausweises: Auf lange Sicht gesehen solle die Online-Identifikation die alltägliche Geschäftswelt im Internet revolutionieren und herkömmliche Passwörter und Zugangsschlüssel ablösen. Doch mit der Einführung des neuen Ausweises geht auch eine kritische Berichterstattung einher. Datendieben sei aufgrund der zum Teil unsicheren Kartenlesegeräte Tür und Tor geöffnet, so die Gegner des nPA. Nachfolgend erfahren Sie, wie Sie die Online-Funktionen des neuen Ausweises nutzen können und dabei Sicherheitsrisiken vermeiden.

Neue Online-Funktionen: Sie haben die Wahl

Zunächst sollten Sie überlegen, ob Sie die neuen Online-Funktionen des Personalausweises überhaupt freischalten lassen möchten. Denn: Sie haben die Wahl. Bei der Beantragung Ihres neuen Ausweises werden Sie gefragt, ob Sie eine Aktivierung der Online-Authentisierung wünschen. Entscheiden Sie sich dagegen, wird die elektronische Datenübertragung Ihres Ausweises deaktiviert. In diesem Fall sind zwar alle Ihre personenbezogenen Daten (außer Unterschrift, Augenfarbe und Körpergröße) elektronisch auf dem Computerchip gespeichert, können aber nicht durch herkömmliche Kartenlesegeräte ausgelesen werden. Lediglich bei einer hoheitlichen Identitätskontrolle, beispielsweise bei der Überschreitung von Landesgrenzen, können dann noch elektronisch Daten durch befugte (Grenz-)Beamte ausgelesen werden. Mit Ausnahme Ihres Fingerabdrucks stehen alle Daten, die für die digitale Datenübertragung infrage kommen, sichtbar auf Ihrem Personalausweis. Es ist nicht möglich, weitere Daten oder Vermerke elektronisch hinzuzufügen.
Aktuell ist das baldige Ende herkömmlicher Passwörter und Zugangsschlüssel noch nicht in Sicht. Sie können die Online-Funktionen des Ausweises auch jederzeit im Nachhinein für eine Bearbeitungsgebühr von derzeit sechs Euro (Stand: Mai 2011) in Ihrem Bürgeramt freischalten lassen. Sofern Sie sich für die Nutzung der Online-Funktionen entscheiden, können Sie bei jedem Vorgang stets selbst bestimmen, ob und welche personenbezogenen Daten Sie elektronisch übermitteln wollen.

Sichern Sie Ihre IT-Umgebung

Neben den integrierten Sicherheitsvorkehrungen auf dem Computerchip des Personalausweises und in der elektronischen Übertragung Ihrer Daten hängt ein sicherer Einsatz der Online-Funktionen ganz entscheidend von Ihrer konkreten Computerumgebung ab (siehe: IT-Sicherheitstipp und Hintergrundinfos Basisschutz für Ihren PC [1]).
Ist Ihr System nur gering geschützt, erhöht sich die Gefahr deutlich, Opfer eines Datendiebstahls zu werden. Verwenden Sie deshalb neben einem aktuellen Virenschutzprogramm eine Personal-Firewall, die ungewollte Verbindungen nicht zulässt. Aktualisieren Sie regelmäßig Ihre Schutzprogramme und Anwendungen (wie Mozilla Firefox oder Internet Explorer) sowie PlugIns (wie Java, Adobe Flash Player) Ihrer IT-Umgebung, die mit dem Internet kommunizieren. Achten Sie auch regelmäßig auf Updates Ihres Betriebssystems sowie für die so genannte AusweisApp [2], die Sie als Treibersoftware für die Nutzung der Online-Funktionen benötigen. Hinweise auf aktuelle Sicherheitsupdates erfahren Sie über den kostenfreien Service „securityNews“ [3].

Der Bund eröffnet Interessierten die Option, ein so genanntes Sicherheitskit zu erwerben. In einem solchen Kit sind enthalten: Ein Basiskartenleser für die elektronische Datenübertragung, Informationen zur Nutzung von Chipkarten und zusätzliche individuell zusammengestellte Bestandteile wie zum Beispiel Antivirensoftware.

Schützen Sie PIN, PUK und Sperrkennwort

Mit dem Erhalt des neuen Ausweises im Scheckkartenformat wird Ihnen eine sechsstellige PIN, ein PUK (Entsperrschlüssel) und ein so genanntes Sperrkennwort mitgeteilt. Die PIN wird bei jeder elektronischen Datenübertragung abgefragt. Geben Sie diese auf keinen Fall an Dritte weiter und bewahren Sie sie an einem anderen Ort als Ihren Ausweis auf. Sie haben die Möglichkeit, Ihre PIN jederzeit nach Ihren Wünschen zu ändern. Diese sollten sie auch regelmäßig nutzen. Vermeiden Sie leicht zu erratende Zahlenkombination wie etwa „123456“ oder Geburtsdaten bei der Vergabe der neuen PIN. Besser ist es, eine Zahlenkombination zu wählen, die mit Ihnen und Ihrem gesamten Umfeld nicht in Zusammenhang gebracht werden kann (siehe: IT-Sicherheitstipp und Hintergrundinfos Passwort sicher erstellen [1]). Die PUK wird als Entsperrschlüssel erforderlich, sofern Sie Ihre PIN bei einer Abfrage drei Mal in Folge falsch eingegeben haben.
Falls Sie Ihren Ausweis verlieren sollten, lassen Sie die Online-Funktionen so schnell wie möglich mithilfe des Sperrkennwortes über folgende telefonische Sperr-Hotline sperren: 0180-1-333 333 (3,9 ct/Minute aus dem deutschen Festnetz, maximal 42 ct/Minute aus dem deutschen Mobilfunknetz, Nummer auch aus dem Ausland erreichbar). Eine Sperrung ist auch in Ihrem Bürgeramt möglich.
Schützen Sie alle geheimen Passwörter (PIN, PUK, Sperrkennwort) und Ihre Zugangsdaten vor der Einsicht durch unbefugte Personen.

Wählen Sie einen sicheren Kartenleser aus

Das Kartenlesegerät stellt das Verbindungsglied zwischen Ihrem Ausweis und Ihrem Computer dar. Zur Auswahl stehen drei verschiedene Typen von Kartenlesegeräten: Basis-, Standard- und Komfortlesegeräte.
Der Basiskartenleser beinhaltet keine eigene Bedientastatur und ist somit der unsicherste Typ. Nutzer dieses Gerätes sollten darauf achten, Ihre PIN stets per Maus auf der Bildschirmtastatur der AusweisApp einzugeben und nicht auf der vorliegenden physischen Tastatur.
Experten empfehlen jedoch die Nutzung des Standard- oder Komfortgerätes mit separater Tastatur. Christian J. Dietrich, Sicherheitsexperte vom Institut für Internet-Sicherheit - if(is), rät: „Die PIN-Eingabe sollte stets über das Pinpad des Gerätes erfolgen. Denn ein solches Verfahren erhöht erheblich den Schutz des Nutzers vor Schadprogrammen wie Keyloggern, die versuchen die PIN des Eingebenden mitzulesen.“
Achten Sie beim Kauf eines Kartenlesegerätes unbedingt auf ein BSI-Zertifikat (rundes Logo; siehe Rückseite des neuen Personalausweises), das die Sicherheit des Gerätes garantiert. Ganz wichtig: Lassen Sie Ihren Ausweis nur genauso lange auf dem Lesegerät, wie für den Datentransfer erforderlich. Andernfalls könnten Sie Opfer eines Phishing-Angriffes (Datenklau) werden (siehe: IT-Sicherheitstipp und Hintergrundinfos Sicherer Umgang mit dem Internet [1]).
Etwa fünf Zentimeter beträgt die maximale Distanz, in der der Chip des Ausweises von einem Lesegerät erfasst werden kann.

Übermitteln Sie Ihre Daten nur an berechtigte Anbieter

Jeder Dienstleister, der eine eID-Funktion (eID = electronic Identity) bereitstellt, muss sich mithilfe eines staatlichen Berechtigungszertifikat ausweisen. Dieses Zertifikat zeigt an, dass es sich um einen seriösen Anbieter handelt und welche personenspezifischen Daten (Name, Anschrift, Geburtsdatum, et cetera) für den jeweiligen Geschäftszweck übermittelt werden sollen. Mögliche Anbieter sind beispielsweise privatwirtschaftliche Unternehmen mit Online-Services, Online-Shops, Banken, E-Mail-Anbieter, Soziale Netzwerke, Verkaufsautomaten für Fahrkarten et cetera, aber auch einige staatliche Einrichtungen wie Behörden.
Bevor es überhaupt zu einer Datenübertragung kommt, wählen Sie stets eigenhändig aus, welche Datenfelder (wie Vorname, Nachname) an den Anbieter übertragen werden. Im Anschluss bestätigen Sie Ihre Auswahl mit der Eingabe Ihrer PIN.
Haben Sie bei der Beantragung Ihres nPA freiwillig Ihren Fingerabdruck zur Verfügung gestellt, so wird dieser neben Ihrem digitalen Foto ebenfalls elektronisch abgespeichert. Bisher gibt es jedoch keine gesetzliche Verpflichtung, seinen Fingerabdruck abspeichern zu müssen.
Gegebenenfalls wird neben Ihrem biometrischen Foto also auch Ihr Fingerabdruck digital übermittelt – und zwar ausschließlich bei Gebrauch der hoheitlichen Ausweisfunktion (beispielsweise gegenüber Polizeibeamten).
Die Funktion der Online-Authentifizierung wird in absehbarer Zeit eine eher untergeordnete Rolle spielen. Bisher hat die Vergabestelle für Berechtigungszertifikate (VfB) lediglich 74 staatliche Berechtigungszertifikate ausgestellt (Stand: Mai 2011) [4]. Die neue Online-Ausweisfunktion stellt neben den herkömmlichen Authentifizierungs-Verfahren also nur eine zusätzliche Möglichkeit der Identifikation dar, die bisher nur von sehr wenigen Dienstleistern angeboten wird.  
Zusätzlich zur Online-Ausweisfunktion, gibt es eine weitere Funktion, nämlich die der digitalen Unterschrift. Nach dem Signaturgesetz (SigG), ist die so genannte qualifizierte elektronische Signatur (QES) rechtlich der eigenhändigen persönlichen Unterschrift gleichgestellt, um beispielsweise Dokumente oder Verträge rechtsgültig zu unterzeichnen. Zur Nutzung der QES benötigen Sie neben einem Komfortlesegerät und einer Signatur-PIN, auch ein Signaturzertifikat, das Sie mithilfe staatlich zugelassener Dienstleister [5] auf Ihren Personalausweis nachladen können. Im Moment bietet jedoch keiner der zugelassenen Dienstleister auch tatsächlich das Nachladen des Signaturzertifikats an, sodass Sie also bislang noch keinen Gebrauch von der QES machen können (Stand Mai 2011) [6].

Autoren:

Malte Schmidt, FH Gelsenkirchen, Institut für Internet-Sicherheit
Dipl.-Inform.(FH) Sebastian Spooren, FH Gelsenkirchen, Institut für Internet-Sicherheit
Deborah Busch, FH Gelsenkirchen, Institut für Internet-Sicherheit
Prof. Dr. (TU NN) Norbert Pohlmann, FH Gelsenkirchen, Institut für Internet-Sicherheit

Weiterführende Informationen:

[1] http://ratgeber.it-sicherheit.de
[2] https://www.ausweisapp.bund.de 
[3] https://www.it-sicherheit.de/sn/ 
[4] http://www.bundesverwaltungsamt.de
[5] http://www.bundesnetzagentur.de
[6] http://www.personalausweisportal.de
http://www.ec-net.de 
http://www.mittelstand-digital.de
http://www.bsi.bund.de

 

Bildquelle: Gerrit Gierok

Kostenfreier IT-Sicherheitsrateber zum Download

Im Rahmen des Verbundprojekts "Sichere E-Geschäftsprozesse in KMU und Handwerk" wurde neben vielen anderen Themenschwerpunkten dieser kostenfreie IT-Sicherheitsratgeber erstellt. Dieser Ratgeber stellt die hier dargestellten Hinweise und Tipps übersichtlich dar. Wählen Sie die PDF aus, um den Ratgeber zu diesem Thema herunterzuladen.

Dateien:
Neuer_Personalausweis_IT-Sicherheitstipp.pdf1.0 M
Bewertung abgeben
Übermittlung Ihrer Stimme...
5 Bewertung(en)
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
 

Hocks fuer Kommentarsystem

Benutzerkommentare

Benutzerkommentare
MaxMustermann (unregistriert), 20.07.2015, 10:29 Uhr:
super geil!!!
Realitätsnah - das Gläserne Auge (unregistriert), 20.12.2011, 22:50 Uhr:
Ich habe mir als IT-Profi mal die Daten angesehen und den Zugang. Ich sehe hier ein sehr große Sicherheitslücke trotz aller Vorkehrungen. Ganz einfaches Beispiel: Bei einer EC-Karte habt Ihr ein Pin für eure Karte dieses könnt Ihr am Automaten nutzen. Ihr bekommt bei dem Ausweis soeben das gleiche Prinzip ein Pin mit dieser Ihr genauso vorgehen könnt. Jedoch gibt es jetzt hier ein Problem. Am Bankautomaten werden für Missbrauch nur eine Kamera und ein Cardreaderaufsatz benötigt am Automaten um an die Daten zu kommen. Hier haben Sie aber noch die möglichkeit das zu Prüfen am Automaten. Bei dem Ausweis sehe ich eine große Lücke. Hier ist es noch viel einfacher die Kamera wäre hier ein Spybootprogramm das auf Ihren Rechner über eine Software die Sie versehntlich downloaden oder sogar nur eine Email öffnen installiert ohne Ihr wissen. Dann sind schon alle Eingaben von Ihren Pin in anderen Händen. Das nächste was beim Onlinebanking noch sicherer ist - ist das Tan verfahren über Handy. Dann haben Sie das Kartenlesegerät für Ihren Ausweis hier benötigt der Hacker mit einfachen Spiel nur noch eine Spiegelsoftware - Spiegel ist damit gemeint das einfach Ihre Karte über das Netz mit allen Ihren Daten gespiegelt werden und dann an anderen gehackten Kartenlesegeräten genutzt werden. Jetzt kann sich jeder der mit Ihrem Ausweis sich selbst damit Ausweisen will leichtes Spiel. Bitte merkt euch eines: Jedes Passwort das Generiert wird ist zu knacken. Sieht euch doch einfach mal um und denkt an meine Worte wenn euer Konto geplündert worden ist. Durch dieses System sehe ich weitere Probleme in der Volkswirtschaft mehr Arbeitslose durch weniger Arbeitsaufwand durch Systeme und für Unternehmer in der Politik ein großer Verdienst (siehe Schröder Gasprom) oder jetzt aktuell Wulffsthema.

Kommentarformular fuer nicht eingeloggte Benutzer

Kommentar hinzufügen

* - Pflichtfeld


*
*

*

CAPTCHA Bild zum Spamschutz
Wenn Sie das Wort nicht lesen können, bitte hier klicken.

*
Allgemeinen Geschäftsbedingungen
*

IT-Sicherheitstipps via E-Mail

Newsletter bestellen
Newsletter bestellen

Lassen Sie sich einfach vie E-Mail über unsere neusten IT-Sicherheitstipps informieren.

Über folgenden Link können Sie unseren monatlichen Newsletter sehr schnell und einfach abonnieren:

Newsletter bestellen