Sichere Anzeige der Daten durch Personalausweises-Kartenlesegeräte

Amazon Werbebanner

Sichere Anzeige der Daten durch den Personalausweises-Kartenleser

Die sichere und vertrauliche Eingabe der entsprechenden PINs ist ein elementarer Bestandteil des Sicherheitskonzeptes des Personalausweises. Hiermit die PINS zur Nutzung der eID-Funktion (Online-Ausweisfunktion) bzw. eSigns-Funktion gemeint. Durch verschiedene Angriffsvarianten kann die PIN-Eingabe kompromittiert und somit die Vertraulichkeit der PINs verletzt werden. Solche Angriffsvarianten z. B.

  • das gezielte Ausnutzen des Verhaltes des Ausweisinhabers, wie z. B. Hinterlegen der aufgeschriebenen PIN zusammen mit dem Personalausweis,
  • das gezielte Ausspähen der PIN bei deren Eingabe, unabhängig vom Personalausweis-Kartenlesegerättyp, bzw.
  • das elektronisches Mit- bzw. Auslesen der PIN bei der PIN-Eingabe.

Wobei für den zweiten Fall die genutzte Kartenleser-Firmware manipuliert bzw. ein Keylogger (Trojaner) auf dem Rechner des Ausweisinhabers platziert werden muss.

Bedeutung der sichere PIN-Eingabe bei der Nutzung eines Personalausweis-Kartenlesegerätes

Die sogenannte Zwei-Faktor-Authentifizierung sichert die elektronischen Funktionen des Personalausweises deutlich besser ab, als konventionellen Authentisierungsverfahren, da ein potentieller Angreifer immer die

  • PIN und
  • Zugriff auf den physischen Ausweis

benötigt.

Mißbrauch der eID-Funktion bzw. der eSigns-Funktion ohne PIN und Ausweis nicht möglich

Der alleinige Besitz von PIN oder physischen Ausweis ist nicht ausreichend, um die Online-Ausweisfunktion oder die Unterschriftsfunktion missbräuchlich zu nutzen. Ein potentieller Angreifer muss beides in seinem Besitz haben.

Berechtigungszertifikate schützen die Nutzer der Online-Ausweisfunktion

Weiterhin benötigt eine Angreifer ein gültiges Berechtigungszertifikat, um auf die personenbezogenen Daten des Ausweises zugreifen zu können. Das Auslesen von personenbezogenen Daten des Personalausweises ist ausschließlich Diensteanbietern mit einem gültigen Berechtigungszertifikat möglich. Falls ein Diensteanbieter mit gültigem Berechtigungszertifikat als Angreifer mit einem Diensteanbieter auftritt, wäre das Auslesen von personenbezogene Daten aus dem Personalausweis möglich. Allerdings ist der jeweilige Diensteanbieter von der zuständigen Behörde, der Vergabestelle für Berechtigungszertifikate (VfB) schnell zu identifizieren. Nach erfolgreicher Identifizierung des Diensteanbieters und Prüfung des Mißbrauchvorwurfes wird dem Diensteanbieter umgehend das Berechtigungszertifikat entzogen. Dadurch ist ein weiterer Missbrauch umgehend ausgeschlossen.