Sie sind hier: Home » Markt » Hinweise & Tipps

Neuer Personalausweis und Sicherheit


BSI weist Sicherheitsbedenken zum neuen Personalausweis zurück
Ausweisinhaber sollte die vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis befolgen


(30.09.10) - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die wiederholt in den Medien geäußerten Sicherheitsbedenken bei der Verwendung des neuen Personalausweises zurück.

Der Westdeutsche Rundfunk (WDR) hatte in einer vorab zum Magazin "Bericht aus Brüssel" veröffentlichten Pressemitteilung angebliche Sicherheitslücken des neuen Personalausweises thematisiert.

Mittelpunkt des geschilderten Angriffsszenarios ist ein mit Schadsoftware infizierter Rechner, auf den ein Unbefugter mithilfe eines Hackerangriffs Zugriff erlangt hat. Ist dieser Angriff erfolgreich, kann der Angreifer unabhängig von der genutzten Anwendung heimlich alle Tastatureingaben oder Bildschirmanzeigen mitlesen.

Dies schließt beispielsweise auch das Mitlesen von E-Mails oder anderer Internetkommunikation ein. Auch eine per PC-Tastatur eingegebene PIN des neuen Personalausweises könnte bei der Verwendung eines Basislesegerätes auf diese Weise mitgelesen werden.

Im Gegensatz zum bisher üblichen Authentisierungsverfahren mittels Benutzername und Passwort kann jedoch beim neuen Personalausweis allein durch Kenntnis der Ausweis-PIN der Angreifer den Personalausweis nicht missbrauchen, da er zur Nutzung der Online-Ausweisfunktion zudem Zugriff auf die Ausweiskarte selbst benötigt.

Eine Änderung der Ausweis-PIN durch den Angreifer wäre nach Erspähen der alten PIN und Zugriff auf die Karte zwar grundsätzlich möglich, würde aber zu einer wahrscheinlichen Entdeckung des Angriffs durch den Inhaber führen, da dessen PIN nicht mehr funktioniert.

Befolgt der Ausweisinhaber die vom Bundesministerium des Innern und vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis, so sind diese Szenarien auszuschließen.

Empfohlen wird insbesondere Folgendes:
1. Anwender sollten eine Personal Firewall und einen leistungsfähigen Virenscanner nutzen und diese stets aktualisieren.

2. Neben dem Browser sollten auch das Betriebssystem und alle weitere eingesetzte Software durch regelmäßige Sicherheitsupdates auf dem neuesten Stand gehalten werden.

3. Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden.

4. Anwender, die das Gefühl haben, ihre PIN sei ausspioniert oder manipuliert worden, sollten diese an einem nicht infizierten PC oder in der Personalausweisbehörde ändern oder den Ausweis sperren lassen. Dies ist jederzeit auch über eine telefonische Hotline möglich.

Bei der Nutzung des neuen Personalausweises ist die Ausweisfunktion von der Signaturfunktion zu unterscheiden. Kern der Online-Ausweisfunktion ist die gegenseitige Authentisierung von Dienstanbieter und Ausweisinhaber. Bei der Ausweisfunktion handelt es sich nicht um eine rechtsverbindliche Unterschrift.

Technisch ist diese Authentisierung analog zum Vorzeigen des Ausweises gestaltet, insbesondere hat der Dienstanbieter keinen Nachweis gegenüber Dritten über die Verwendung der Ausweisfunktion. Die optional nutzbare rechtsverbindliche Signaturfunktion kann ausschließlich mit einem Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden und unterscheidet sich damit grundlegend von der Ausweisfunktion.

Vergleich nPA mit SuisseID
Die Funktionen des deutschen Personalausweises und der Schweizer SuisseID sind technisch grundlegend verschieden gestaltet und nicht miteinander vergleichbar, insbesondere lassen sich Aussagen über die SuisseID nicht auf das deutsche System übertragen. (BSI: ra)

BSI: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • CEO-Vortäuschung & KI-gesteuerten Attacken

    Check Point Software Technologies sieht es als wichtig an, auf die neuen Formen von digitalem Betrug einzugehen, mit denen Unternehmen konfrontiert sind, denn der technologische Fortschritt hat sowohl Unternehmen als auch Hackern neue Möglichkeiten eröffnet. Von Cyber-Hochstapelei und internem Betrug bis hin zu immer raffinierteren Verbrechen, wie CEO-Vortäuschung und KI-gesteuerten Attacken.

  • Umsetzung der KI-Verordnung

    Darf ich eine bestimmte KI-Anwendung anbieten oder in meinem Unternehmen verwenden? Und wenn ja, welche Voraussetzungen muss ich dafür erfüllen? Rechtliche Unsicherheiten sind für 40 Prozent der Unternehmen in Deutschland ein Hemmnis für den KI-Einsatz.

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen