Berlin. Zwei Monate vor Einführung des neuen Personalausweises ist eine Debatte über die Sicherheit entbrannt. Für Betrüger soll es nach einem Bericht des ARD-Magazins "Plusminus" problemlos möglich sein, sensible Daten abzufangen. Dazu gehöre auch die geheime sechsstellige Pin-Nummer. Die Daten speichert der Personalausweis zusätzlich auf einem Chip. Ein Lesegerät kann die verschlüsselten Informationen für Online-Transaktionen empfangen. Im Zentrum der Bedenken steht das eingesetzte Lesegerät für den Ausweis-Chip. Zusammen mit dem Chaos Computer Club (CCC) habe die "Plusminus"-Redaktion Testversionen der Basis-Lesegeräte für den Ausweis geprüft, erklärte das Magazin.Die Sicherheitsabfrage des Personalausweis-Pins erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Eine als "Keylogger" bezeichnete Schadenssoftware, heimlich auf den PC geschmuggelt, kann die eingetippte Pin mitlesen. Höherwertige Lesegeräte, sogenannte Pin-Pads, haben eine eigene kleine Tastatur für die Eingabe der Geheimzahl.Der Bundesdatenschutzbeauftragte Peter Schaar sprach sich für den Einsatz dieser besonders sicheren, aber etwas teureren Geräte aus. "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser, die vom Bundesinnenministerium verteilt werden, eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", sagte Schaar dem Radiosender NDR Info. Mit der Pin allein sei zwar noch kein Betrug möglich, sagte Schaar. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, "ist in der Tat Gefahr in Verzug".CCC-Sprecher Frank Rosengart kritisierte im Rundfunksender MDR Info, bei der Sicherheitstechnik seien Abstriche gemacht worden, um möglichst viele Lesegeräte kostenlos oder kostengünstig verteilen zu können. Der stellvertretende innenpolitische Sprecher der SPD-Bundestagsfraktion Michael Hartmann erklärte zu dem angekündigten "Plusminus"-Bericht, es dränge sich der Eindruck auf, "dass die zuständigen Experten die Sicherheitsschranken zu niedrig angesetzt haben". Bei den geringsten begründeten Zweifeln müsse der Start des neuen Personalausweises zumindest verschoben werden. "Ich werde meiner Fraktion empfehlen, eine Debatte über die Sicherheit solcher digitaler Ausweissysteme anzustoßen", fügte Hartmann hinzu.Kritische Stimmen gab es auch auf Seiten der Regierungskoalition. Der FDP-Bundestagsabgeordnete Manuel Höferlin erklärte, sowohl der Ausweis als auch die ausgelieferten Lesegeräte müssten sicher sein. Wenn noch Sicherheitslücken bestehen sollten, müssten diese rechtzeitig bis zum Start am 1. November behoben werden. Beim Bundesamt für Sicherheit in der Informationspolitik sagte der zuständige Experte Jens Bender, die Verbindung von integriertem Chip und zusätzlicher Pin-Abfrage sei bei Online-Transaktionen "ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort". Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer für die Abwicklung von Internet-Geschäften oder für das Online-Banking zu nutzen. Zum Start sponsert das Innenministerium laut "Plusminus" für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte.

HintergrundWer vom November an den neuen Personalausweis fürs Online-Shopping verwenden will, benötigt dafür ein Lesegerät. Für die größtmögliche Sicherheit empfiehlt sich die Anschaffung eines sogenannten Pin-Pads. Dieses verfügt über eine eigene Spezialtastatur zur Eingabe der Geheimzahl. Die Pin muss hier also nicht über die PC-Tastatur eingetippt werden. Die einfache Ausführung solcher Lesegeräte enthält nur die Technik für den Empfang der Daten — und die für den Übertragungsvorgang erforderliche PIN wird über die PC-Tastatur eingegeben. Dabei besteht ein Sicherheitsrisiko: Ein heimlich auf den PC geschmuggelter "Keylogger" könnte die auf der Tastatur eingegebenen Zeichen mitlesen. Die Daten selbst blieben aber laut Bundesamt für Sicherheit in der Informationstechnik (BSI) verschlüsselt. dpa