Der neue Ausweis im Visier der Hacker
Von Marko Pauli · 29.09.2010
Der alte Ausweis geht, die Chipkarte kommt. Datenschützer sehen jedoch Sicherheitslücken bei den zugehörigen Lesegeräten. Ein Besuch bei der Hamburger Firma NXP, die den Chip für den Ausweis produziert.
"So, das ist der Mundschutz..."
Bevor die Produktionsstätte des Personalausweis-Chips betreten werden darf, müssen Ganzkörperanzüge angelegt werden. Von Kopf bis Fuß, weiß und rein für den Reinraum. Kleinste Partikel in der Luft könnten den winzigen Chips schaden.
Jan Martens, Mitarbeiter des Halbleiterherstellers NXP: "Die Reinraumklasse ist hier 10.000. 10.000 Partikel pro Kubikmeter Luft sind noch erlaubt. Wenn Sie normale Raumluft im Wohnzimmer oder Büro haben, sind Sie bei 1 bis 10 Millionen."
Viele geschlossene und vollautomatisch vor sich hinarbeitende Maschinenkästen sind im Reinraum zu sehen, weit hinten ein paar Menschen in Weiß vor Mikroskopen. In drei Produktionsschritten wird hier der Chip für den Personalausweis produziert.
Jan Martens: "Das ist einmal die Programmierung, das Schleifen der Rückseite und das Vereinzeln, das heißt. das Sägen dieser besonders dünnen Chips."
Jan Martens ist Wafer-Testmanager bei NXP. Wafer, das sind die glitzernden Halbleiterscheiben, etwa langspielplattengroß, auf denen die quadratischen Chips nebeneinander liegen. Gut 2300 Personalausweischips passen auf einen Wafer. Jeder Chip sei ein kleiner Computer, erläutert Sicherheitsmanager Christian Wiebus:
"Sie dürfen sich das so vorstellen, dieser Mikrocomputer hat ein Betriebssystem, und er hat einen Bereich, wo nachher die Daten eingeschrieben werden. Und dieser Bereich ist ein nicht flüchtiger Speicher, d.h. dort wird nachher Ihr Name, das Bild eingeschrieben bei dem Kartenhersteller, zum Beispiel Bundesdruckerei."
Bei NXP wird die Software programmiert, zum Beispiel die Kryptographie, mit der die Daten verschlüsselt sind, wenn sie vom Personalausweis zum Lesegerät übertragen werden.
Wiebus: "Unsere Aufgabe ist es, dass es einerseits sicher passiert, aber dass es auch entsprechend schnell funktioniert. Denn Sie wollen ja als Benutzer vom Internet nicht Minuten lang warten bis dann endlich Ihr Personalausweis gelesen wird."
Hierbei ist es durchaus üblich, gegeneinander zu arbeiten. Heißt: Während die einen Ingenieure bei NXP die Verschlüsselung bauen, versuchen die anderen, sie anzugreifen.
Wiebus: "Nur wenn all diese Angriffe vom Chip auch entsprechend abgewehrt wurden - soll heißen, dass man die Daten nicht vom Chip lesen kann, dass man diese Kryptografie nicht brechen kann - nur dann bekommt er ein Zertifikat. Dieses Zertifikat wird ausgegeben vom Bundesamt für Sicherheit und Informationstechnik in Bonn. Und erst dann sind wir überhaupt in der Lage, so einen Chip zum Beispiel im Personalausweis liefern zu dürfen."
Damit die Chips später gut geschützt im Plastik des neuen Personalausweises verschwinden können, wird die Wafer-Scheibe nach dem Programmieren hauchdünn geschliffen - eine besondere Kompetenz der Firma NXP. War sie zuvor etwa einen Millimeter dick, misst die Scheibe nun nur noch 0,08 Millimeter. Dann folgt der dritte Produktionsschritt:
Martens: "Hier werden mit kleinen Diamantsägeblättern die Chips vereinzelt. Man sägt den ganzen Wafer durch. Er ist auf eine Folie aufgeklebt, damit nach dem Durchsägen nicht alles durcheinander fliegt."
Die entstehenden Siliziumpartikel werden beim Sägen mit weggespült. Der Chip ist nun fertig, und Rüdiger Stroh, Geschäftsführer von NXP Deutschland, ist von ihm überzeugt:
"Das ist das sicherste Dokument was es heute auf der Erde gibt, was wir da gebaut haben."
Der Chip mag sicher sein, das ganze System ist es nicht unbedingt. Um mit dem Ausweis Einkäufe oder Behördengänge im Internet zu erledigen, muss er in ein Lesegerät gelegt werden. Das Bundesinnenministerium spendiert eine Million Lesegeräte – die jedoch zur geringsten Sicherheitskategorie gehören.
Wirth: "Wir würden jedem Bürger abraten, dieses Kartenlesegerät für sich zu nutzen."
Sagt der technische Referent beim Hamburger Datenschutz, Dr. Sebastian Wirth. Über eine zum Beispiel per Email eingeschleuste Keylogger-Software könnten die Eingaben des Benutzers mitprotokolliert werden, inklusive der am Computer eingegeben PIN. Während der Ausweis gesteckt ist, könnten so parallel betrügerische Geschäfte abgeschlossen werden. Besser wäre es gewesen, für das Geld - immerhin 24 Millionen Euro - weniger, dafür aber sicherere Geräte zu sponsern, meint Sebastian Wirth.
Wirth: "Wenn ich die Hinweise des BSI angucke, wie man zum Beispiel. Online-Banking macht - finde ich das vom Szenario sehr vergleichbar -, dann sind da überall Kartenlesegeräte der Klasse 3, die empfohlen werden. Also Lesegeräte mit eigener kleiner Tastatur, wo man über ein Tastaturfeld die PIN eingibt, so dass die Angriffe auf den PC gar nicht wirken können."
Aus Sicht des Datenschutzes ist es bedauerlich, dass der neue Personalausweis durch das billige Lesegerät in Misskredit gerät. Denn eigentlich wird er sehr positiv gesehen. Zu begrüßen sei etwa, dass Webshops die den neuen Personalausweis einbinden, vorab beim Bundesverwaltungsamt ein Zertifikat beantragen müssen.
Wirth: "Dort wird geprüft, ob es plausibel ist, dass dieses Unternehmen bestimmte Daten auf dem Personalausweis abgreift, und zwar nur die die erforderlich sind. Eine Datenreduktion sozusagen und eine Erhöhung der Sicherheit gegenüber dem Zustand jetzt."
Bleibt noch der digitale Fingerabdruck, der freiwillig auf dem Chip hinterlegt werden kann. Datenschützer Sebastian Wirth rät davon ab.
"Wenn man in einen Staat nach XY einreist, dort sein Dokument zeigt, die Daten können dort ausgelesen werden, dann wäre das eine Situation, die man nicht unbedingt eingehen muss. Wenn man sich anguckt, wo man in einem Dokument heute biometrische Daten braucht, für die Einreise in bestimmte Staaten, ist das relativ selten. Für solche seltenen Gelegenheiten kann man den Reisepass nutzen, da ist es ja auch Pflicht."
Bevor die Produktionsstätte des Personalausweis-Chips betreten werden darf, müssen Ganzkörperanzüge angelegt werden. Von Kopf bis Fuß, weiß und rein für den Reinraum. Kleinste Partikel in der Luft könnten den winzigen Chips schaden.
Jan Martens, Mitarbeiter des Halbleiterherstellers NXP: "Die Reinraumklasse ist hier 10.000. 10.000 Partikel pro Kubikmeter Luft sind noch erlaubt. Wenn Sie normale Raumluft im Wohnzimmer oder Büro haben, sind Sie bei 1 bis 10 Millionen."
Viele geschlossene und vollautomatisch vor sich hinarbeitende Maschinenkästen sind im Reinraum zu sehen, weit hinten ein paar Menschen in Weiß vor Mikroskopen. In drei Produktionsschritten wird hier der Chip für den Personalausweis produziert.
Jan Martens: "Das ist einmal die Programmierung, das Schleifen der Rückseite und das Vereinzeln, das heißt. das Sägen dieser besonders dünnen Chips."
Jan Martens ist Wafer-Testmanager bei NXP. Wafer, das sind die glitzernden Halbleiterscheiben, etwa langspielplattengroß, auf denen die quadratischen Chips nebeneinander liegen. Gut 2300 Personalausweischips passen auf einen Wafer. Jeder Chip sei ein kleiner Computer, erläutert Sicherheitsmanager Christian Wiebus:
"Sie dürfen sich das so vorstellen, dieser Mikrocomputer hat ein Betriebssystem, und er hat einen Bereich, wo nachher die Daten eingeschrieben werden. Und dieser Bereich ist ein nicht flüchtiger Speicher, d.h. dort wird nachher Ihr Name, das Bild eingeschrieben bei dem Kartenhersteller, zum Beispiel Bundesdruckerei."
Bei NXP wird die Software programmiert, zum Beispiel die Kryptographie, mit der die Daten verschlüsselt sind, wenn sie vom Personalausweis zum Lesegerät übertragen werden.
Wiebus: "Unsere Aufgabe ist es, dass es einerseits sicher passiert, aber dass es auch entsprechend schnell funktioniert. Denn Sie wollen ja als Benutzer vom Internet nicht Minuten lang warten bis dann endlich Ihr Personalausweis gelesen wird."
Hierbei ist es durchaus üblich, gegeneinander zu arbeiten. Heißt: Während die einen Ingenieure bei NXP die Verschlüsselung bauen, versuchen die anderen, sie anzugreifen.
Wiebus: "Nur wenn all diese Angriffe vom Chip auch entsprechend abgewehrt wurden - soll heißen, dass man die Daten nicht vom Chip lesen kann, dass man diese Kryptografie nicht brechen kann - nur dann bekommt er ein Zertifikat. Dieses Zertifikat wird ausgegeben vom Bundesamt für Sicherheit und Informationstechnik in Bonn. Und erst dann sind wir überhaupt in der Lage, so einen Chip zum Beispiel im Personalausweis liefern zu dürfen."
Damit die Chips später gut geschützt im Plastik des neuen Personalausweises verschwinden können, wird die Wafer-Scheibe nach dem Programmieren hauchdünn geschliffen - eine besondere Kompetenz der Firma NXP. War sie zuvor etwa einen Millimeter dick, misst die Scheibe nun nur noch 0,08 Millimeter. Dann folgt der dritte Produktionsschritt:
Martens: "Hier werden mit kleinen Diamantsägeblättern die Chips vereinzelt. Man sägt den ganzen Wafer durch. Er ist auf eine Folie aufgeklebt, damit nach dem Durchsägen nicht alles durcheinander fliegt."
Die entstehenden Siliziumpartikel werden beim Sägen mit weggespült. Der Chip ist nun fertig, und Rüdiger Stroh, Geschäftsführer von NXP Deutschland, ist von ihm überzeugt:
"Das ist das sicherste Dokument was es heute auf der Erde gibt, was wir da gebaut haben."
Der Chip mag sicher sein, das ganze System ist es nicht unbedingt. Um mit dem Ausweis Einkäufe oder Behördengänge im Internet zu erledigen, muss er in ein Lesegerät gelegt werden. Das Bundesinnenministerium spendiert eine Million Lesegeräte – die jedoch zur geringsten Sicherheitskategorie gehören.
Wirth: "Wir würden jedem Bürger abraten, dieses Kartenlesegerät für sich zu nutzen."
Sagt der technische Referent beim Hamburger Datenschutz, Dr. Sebastian Wirth. Über eine zum Beispiel per Email eingeschleuste Keylogger-Software könnten die Eingaben des Benutzers mitprotokolliert werden, inklusive der am Computer eingegeben PIN. Während der Ausweis gesteckt ist, könnten so parallel betrügerische Geschäfte abgeschlossen werden. Besser wäre es gewesen, für das Geld - immerhin 24 Millionen Euro - weniger, dafür aber sicherere Geräte zu sponsern, meint Sebastian Wirth.
Wirth: "Wenn ich die Hinweise des BSI angucke, wie man zum Beispiel. Online-Banking macht - finde ich das vom Szenario sehr vergleichbar -, dann sind da überall Kartenlesegeräte der Klasse 3, die empfohlen werden. Also Lesegeräte mit eigener kleiner Tastatur, wo man über ein Tastaturfeld die PIN eingibt, so dass die Angriffe auf den PC gar nicht wirken können."
Aus Sicht des Datenschutzes ist es bedauerlich, dass der neue Personalausweis durch das billige Lesegerät in Misskredit gerät. Denn eigentlich wird er sehr positiv gesehen. Zu begrüßen sei etwa, dass Webshops die den neuen Personalausweis einbinden, vorab beim Bundesverwaltungsamt ein Zertifikat beantragen müssen.
Wirth: "Dort wird geprüft, ob es plausibel ist, dass dieses Unternehmen bestimmte Daten auf dem Personalausweis abgreift, und zwar nur die die erforderlich sind. Eine Datenreduktion sozusagen und eine Erhöhung der Sicherheit gegenüber dem Zustand jetzt."
Bleibt noch der digitale Fingerabdruck, der freiwillig auf dem Chip hinterlegt werden kann. Datenschützer Sebastian Wirth rät davon ab.
"Wenn man in einen Staat nach XY einreist, dort sein Dokument zeigt, die Daten können dort ausgelesen werden, dann wäre das eine Situation, die man nicht unbedingt eingehen muss. Wenn man sich anguckt, wo man in einem Dokument heute biometrische Daten braucht, für die Einreise in bestimmte Staaten, ist das relativ selten. Für solche seltenen Gelegenheiten kann man den Reisepass nutzen, da ist es ja auch Pflicht."