Sie sind hier: Home » Markt » Hinweise & Tipps

Neuer Personalausweis und Sicherheit

BSI weist Sicherheitsbedenken zum neuen Personalausweis zurück
Ausweisinhaber sollte die vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis befolgen

(30.09.10) - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die wiederholt in den Medien geäußerten Sicherheitsbedenken bei der Verwendung des neuen Personalausweises zurück.

Der Westdeutsche Rundfunk (WDR) hatte in einer vorab zum Magazin "Bericht aus Brüssel" veröffentlichten Pressemitteilung angebliche Sicherheitslücken des neuen Personalausweises thematisiert.

Mittelpunkt des geschilderten Angriffsszenarios ist ein mit Schadsoftware infizierter Rechner, auf den ein Unbefugter mithilfe eines Hackerangriffs Zugriff erlangt hat. Ist dieser Angriff erfolgreich, kann der Angreifer unabhängig von der genutzten Anwendung heimlich alle Tastatureingaben oder Bildschirmanzeigen mitlesen.

Dies schließt beispielsweise auch das Mitlesen von E-Mails oder anderer Internetkommunikation ein. Auch eine per PC-Tastatur eingegebene PIN des neuen Personalausweises könnte bei der Verwendung eines Basislesegerätes auf diese Weise mitgelesen werden.

Im Gegensatz zum bisher üblichen Authentisierungsverfahren mittels Benutzername und Passwort kann jedoch beim neuen Personalausweis allein durch Kenntnis der Ausweis-PIN der Angreifer den Personalausweis nicht missbrauchen, da er zur Nutzung der Online-Ausweisfunktion zudem Zugriff auf die Ausweiskarte selbst benötigt.

Eine Änderung der Ausweis-PIN durch den Angreifer wäre nach Erspähen der alten PIN und Zugriff auf die Karte zwar grundsätzlich möglich, würde aber zu einer wahrscheinlichen Entdeckung des Angriffs durch den Inhaber führen, da dessen PIN nicht mehr funktioniert.

Befolgt der Ausweisinhaber die vom Bundesministerium des Innern und vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis, so sind diese Szenarien auszuschließen.

Empfohlen wird insbesondere Folgendes:
1. Anwender sollten eine Personal Firewall und einen leistungsfähigen Virenscanner nutzen und diese stets aktualisieren.

2. Neben dem Browser sollten auch das Betriebssystem und alle weitere eingesetzte Software durch regelmäßige Sicherheitsupdates auf dem neuesten Stand gehalten werden.

3. Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden.

4. Anwender, die das Gefühl haben, ihre PIN sei ausspioniert oder manipuliert worden, sollten diese an einem nicht infizierten PC oder in der Personalausweisbehörde ändern oder den Ausweis sperren lassen. Dies ist jederzeit auch über eine telefonische Hotline möglich.

Bei der Nutzung des neuen Personalausweises ist die Ausweisfunktion von der Signaturfunktion zu unterscheiden. Kern der Online-Ausweisfunktion ist die gegenseitige Authentisierung von Dienstanbieter und Ausweisinhaber. Bei der Ausweisfunktion handelt es sich nicht um eine rechtsverbindliche Unterschrift.

Technisch ist diese Authentisierung analog zum Vorzeigen des Ausweises gestaltet, insbesondere hat der Dienstanbieter keinen Nachweis gegenüber Dritten über die Verwendung der Ausweisfunktion. Die optional nutzbare rechtsverbindliche Signaturfunktion kann ausschließlich mit einem Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden und unterscheidet sich damit grundlegend von der Ausweisfunktion.

Vergleich nPA mit SuisseID
Die Funktionen des deutschen Personalausweises und der Schweizer SuisseID sind technisch grundlegend verschieden gestaltet und nicht miteinander vergleichbar, insbesondere lassen sich Aussagen über die SuisseID nicht auf das deutsche System übertragen. (BSI: ra)

BSI: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Hinweise & Tipps

Compliance-Anforderungen im Griff
Seit dem 01.01.2023 gilt das neue Lieferkettensorgfaltspflichtengesetz in Deutschland für Unternehmen mit mehr als 3.000 Beschäftigten. Ab Anfang 2024 wird es auch für Firmen mit mehr als 1.000 Mitarbeitenden zur Pflicht. Unternehmen müssen nun einen umfassenden Katalog von Verboten beachten, wozu unter anderem Zwangs- und Kinderarbeit sowie Missachtung von Gesundheitsschutz zählen.
Verstöße gegen Compliance-Vorgaben
Wachsende Datenberge, aufwändige manuelle Prozesse und strenge gesetzliche Vorgaben: Die Arbeit von Legal- und Compliance-Teams steht vor großen Herausforderungen. Exterro, Anbieter von Legal-GRC-Software, die E-Discovery, digitale Forensik, Datenschutz und Cybersecurity-Compliance vereint, hat drei Trends definiert, die die Branche in den nächsten Monaten prägen werden.
Die hohe Kunst der AGB
Allgemeine Geschäftsbedingungen - kurz AGB - gelten für viele Unternehmer als Fluch und Segen zugleich. Doch wer die Antwort auf die Frage sucht, welche Regelungen in den AGB enthalten sein müssen, wird wohl überrascht sein, denn die Lösung lautet: gar keine.
Google verbannt "3rd Party Cookies" in 2024
Nutzer sorgen sich schon lange darum, was mit ihren Spuren im Netz geschieht. Das Internet soll auch daher jetzt datenschutzfreundlicher werden. Dafür stehen nicht nur Regeln wie die DSVGO, sondern auch die Ankündigung, dass Google Cookies von Marketingdienstleistern ("3rd Party Cookies") 2024 aus dem Chrome-Browser verbannt. Das Online-Marketing wird also in Zukunft anders funktionieren. Wie können sich Unternehmen darauf vorbereiten? Diese drei Aspekte sollten Sie auf der Rechnung haben.
LkSG: Aus der Pflicht eine Kür machen
Das Lieferkettengesetz zwingt zurzeit viele Unternehmen sich systematisch mit ihren Lieferketten und ihrem Lieferantenmanagement zu befassen. Dies ist zunächst zwar eine lästige Pflicht; doch darin ruht auch die Chance, im Markt ein nachhaltiges Profil zu zeigen.

Was ist erlaubt bei Facebook, Twitter und Co.? Abofallen im Internet rechtzeitig erkennen

Fachartikel

Cyberkrieg: Wenn der Verhandlungspartner fehlt
Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.
Nutzung von "Compliance-Storage"
Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.