WDR-Sendung „markt“: Neuntklässler löschen persönliche Daten auf neuem Personalausweis
Schüler-Test im Auftrag des WDR entlarvt weitere Sicherheitslücke
Nachdem der Chaos-Computer-Club unlängst Sicherheitslücken bei Internetgeschäften mit dem neuen Personalausweis aufgedeckt hatte, haben jetzt Gymnasiasten im Physikunterricht das Sicherheitssystem, das die personenbezogenen Daten speichert, ausgehebelt. Darüber berichtet heute abend das WDR-Wirtschaftsmagazin „markt“ (21 Uhr, WDR Fernsehen). Die Neuntklässler deaktivierten den Chip, der in jedem neuen Ausweis steckt. Er speichert biometrische Informationen, damit Unbefugte, die einen gestohlenen Ausweis für eine neue Identität nutzen wollen, bei elektronischen Ausweiskontrollen entlarvt werden. Um die Informationen bei einer Testversion des Ausweises de facto zu löschen, reichten den 14- und 15jährigen einfachste Hilfsmittel wie eine Einweg-Fotokamera, Lötkolben und Schraubenzieher.
Der Ausweis kostet 28,80 Euro und ersetzt ab November die nur acht teure alte Variante. Die Mehrkosten begründet die Bundesregierung mit einem höheren Sicherheitsniveau. Daran gibt es immer mehr Zweifel. Den Chip, auf dem man mittels Fingerabdruck und biometrischem Foto unverwechselbare persönliche Informationen hinterlegen kann, deaktivierten die Schüler des Grevenbroicher Pascal-Gymnasiums unter Anleitung ihres Lehrers bei einem von der WDR-Redaktion „markt“ initiierten Sicherheitstest innerhalb von nur zwei Unterrichtsstunden. Ihre Kenntnisse stammten aus dem Internet, wo bereits Gebrauchsanweisungen zur Chip-Deaktivierung kreisen.
Während ein Vertreter des Bundesamtes für Sicherheit in der Informationstechnik bestritt, dass der Hochleistungschip so leicht zu zerstören sei, ist dem Ausweismissbrauch nach Ansicht anderer Sicherheitsexperten damit weiter Tür und Tor geöffnet. Constanze Kurz vom Chaos-Computer-Club bestätigte, für gute Schüler ab der 8. Klasse sei eine Chip-Deaktivierung „keine große Schwierigkeit“. Ein Ausweis bleibt auch ohne funktionsfähigen Chip bei Kontrollen gültig: „Das Gesetz redet davon, dass der Fingerabdruck freiwillig und zusätzlich ist. Wenn er nicht ausgelesen werden kann, etwa weil der Chip defekt ist, hat das keine Konsequenzen!“, erklärte Stefan Becker vom Bund der Kriminalbeamten gegenüber dem WDR.
Bereits vor drei Wochen berichtete das ARD-Wirtschaftsmagazin „plusminus“ über eine Sicherheitslücke. Mitglieder des Chaos-Computer-Clubs hatten demonstriert, wie Unbefugte Internetgeschäfte, die durch den elektronischen Personalausweis eigentlich an Sicherheit gewinnen sollen, mittels einfachster Technik nachvollziehen und so an wichtige Informationen wie Geheimnummern oder Bankdaten kommen können.
Köln, 13.09.2010
WDR-Pressestelle Kristina Bausch, Telefon 0221 220 4607,
kristina.bausch@wdr.de