nPAMängel bei Lesegeräten?

Sicherheitsmängel bei der Nutzung des neuen Personalausweises hat das ARD-Magazin Plusminus entdeckt. Gemeinsam mit dem Chaos Computer Club (CCC) waren Testversionen der Basis-Lesegeräte geprüft worden. In der gestrigen Sendung (24. August 2010) hieß es: Für Betrüger sei es problemlos möglich, geheime Daten abzufangen, inklusive der PIN. Die Lesegeräte werden benötigt, um sich mit dem neuen Ausweises im Web authentifizieren zu können. Die Basisversion der Geräte verfügt weder über ein eigenes Display noch über eine Tastatur für die Eingabe der PIN. Diese müsse über die Computer-Tastatur eingegeben werden. Enthält der PC Schad-Software, ist es möglich die PIN abzufischen, erläuterte der Chaos Computer Club dem Radiosender MDR INFO. Die Beweislast für Missbrauch liege damit beim Bürger.
Gegenüber der ARD sagte Constanze Kurz vom CCC: „Unter Sicherheitsgesichtspunkten ist die Ausgabe dieser billigen Basis-Lesegeräte nicht akzeptabel.“ Bundesinnenminister Thomas de Maizière hingegen sieht aktuell keinen Handlungsbedarf: „Wir arbeiten gerne an besseren Lesegeräten. Aber der Start für die Sicherheit ist so gut wie bisher nirgends bei allen Rechtsgeschäften im Internet. Darauf muss ich bestehen.“ Laut MDR INFO hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Kritik zurückgewiesen. Es sei unmöglich, dass sich Betrüger in den Übertragungsvorgang einschalteten. Das Abfangen der PIN nutze ohne den dazugehörigen Ausweis nichts.
Die Basis-Lesegeräte sollen zusammen mit Informationen zur Nutzung von Chipkarten und weiteren Bestandteilen wie etwa Antiviren-Software ab Anfang November an die Bürger verteilt werden. Für die Ausgabe von insgesamt 1,5 Millionen so genannter IT-Sicherheitskits hat der Bund im Rahmen seines IT-Investitionsprogramms Mittel in Höhe von 24 Millionen Euro zur Verfügung gestellt.