Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß sich schon mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der elektronische Personalausweis (ePA) ferngesteuert benutzen lassen. Die dafür ausgenutzten Sicherheitslücken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen.

"Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", kommentiert CCC-Sprecher Dirk Engling. "Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen."

Der neue elektronische biometrische Ausweis soll am 1. November 2010 in Deutschland eingeführt werden. Er hat eine kontaktlose Schnittstelle mit einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und elektronische Identitätsdaten gespeichert sind.

In der Schweiz ist ein elektronischer Identitätsnachweis, basierend auf einer herkömmlichen Smartcard, bereits im Umlauf: die SuisseID. Zwischen der SuisseID und dem deutschen elektronischen Ausweis (ePA) gibt es Parallelen, die beide für Manipulationen verwundbar machen. Diese technischen Angriffe sind teilweise simpel genug, um von gemeinen Online-Kriminellen problemlos beherrscht zu werden.

"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich", sagt CCC-Sprecher Dirk Engling.

Bei beiden Produkten handelt sich um Smartcard-Lösungen, welche zur elektronischen Identifikation des legitimen Eigentümers eingesetzt werden sollen. Die SuisseID besitzt ein zweites Zertifikat, welches zusätzlich zur rechtlich verbindlichen Signatur eingesetzt wird. Diese Funktion ist beim deutschen elektronischen Personalausweis noch optional. Beim digitalen Signieren mit der SuisseID gelang es den Angreifern, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben. Auch der elektronische Ausweis hat vergleichbare Schwächen.

Die elektronische Unterschrift hat für den unbedarften Nutzer weitere Schwachpunkte. So kann nicht davon ausgegangen werden, daß ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht, heisst es vom CCC.