Am 1. November 2010 werden die neuen elektronischen Personalausweise (ePA) eingeführt. Um am heimischen Computer Geschäfte abzuwickeln und sich identifizieren zu können, gibt es spezielle Lesegeräte. Drei Typen mit unterschiedlichen Sicherheitsstandards hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) für den neuen Pass freigegeben. Die preiswerteste Veriante, der so genannte Basisleser (Cat B) soll demnächst 1,5 Millionen Mal kostenfrei unter der Bevölkerung verteilt werden. Die anfallenden Kosten von 24 Millionen Euro sollen aus dem Konjunkturpaket II fließen.

Genau in diesem Lesegerät hat nun das ARD-Magazin Plusminus in Zusammenarbeit mit dem Chaos Computer Club einen wüsten Sicherheitsfehler ausgemacht: Weil dem Cat-B-Lesegerät eigene Tasten zur sicheren Pin-Eingabe fehlen, muss die PC-Tastatur benutzt werden. Dann braucht ein Angreifer nicht mehr als einen einfacher Keylogger, um die PIN abzufangen. Bei den teureren Lesegeräte Cat S und Cat K scheint dieses Problem nach den bisher verfügbaren Informationen nicht einzutreten. Absurderweise schreibt ausgerechnet das BSI, dass alle drei Lesetypen für den Einsatz freigegeben hat, in seiner technischen Richtlinie zum ePA: »In diesem Zusammenhang können nur Cat-S und Cat-K Leser die Geheimhaltung der PIN des ePAs garantieren. Weiterführend kann nur der Cat-K Leser die authentische Anzeige von Berechtigtem und Berechtigungen bei der eID-Funktion übernehmen.«

Genauere Informationen zum Hack erfahren wir hoffentlich heute abend, wenn Plusminus seinen Beitrag ausstrahlt.