https://www.faz.net/-gqz-9aeq1

Nach fahrlässiger Herstellung : Sicherheitslücke bei E-Ausweisen in Estland

Mit den Ausweiskarten gab es in Estland schon häufiger Probleme. Bild: Picture-Alliance

In Estland wurde vor kurzem eine neue Sicherheitslücke bei E-Ausweisen bekannt. Bis zu 12.500 Ausweise könnten für ungültig erklärt werden. Schuld daran ist Fahrlässigkeit des Herstellers.

          In Estland ist man stolz auf sein elektronisches Ausweissystem und sieht sich als Pionier der digitalen Demokratie. In der Natur der Sache liegt es jedoch, dass dieses Ausweissystem, mit dem die Esten via elektronischer Signatur online wählen oder rechtsgültige Verträge unterschreiben können, anfällig ist für Sicherheitslücken. Am Freitag vergangener Woche gab das estnische Polizei- und Grenzschutzamt bekannt, dass es abermals Probleme mit der Sicherheit der „ID-Cards“ gebe. Laut Amt erfüllten etwa 12.500 dieser digitalen Ausweise, die vor dem Oktober 2014 ausgegeben wurden, nicht die nötigen Sicherheitsstandards. Bei einer Gesamtbevölkerung von etwa 1,3 Millionen Esten entspricht das knapp einem Prozent. Die betroffenen Ausweise sollen vom 1. Juni an für ungültig erklärt werden.

          Axel Weidemann

          Redakteur im Feuilleton.

          Als Ursache gibt das Amt an, der Hersteller habe die erforderlichen Sicherheitsstandards verletzt. „Das Polizei- und Grenzschutzamt muss sich sicher sein können, dass die privaten Zugangsschlüssel der Ausweise nirgends anders als auf dem Chip der Karte zu finden sind“, heißt es in einer Erklärung. Andernfalls müsse man die Karten für ungültig erklären. Der Hersteller habe die Sicherheit der betroffenen Ausweise kompromittiert, indem er die Zugangsschlüssel der Ausweise außerhalb des Kartenchips generiert habe. Damit könne man die Ausweise praktisch nutzen, ohne in ihrem Besitz zu sein oder die Pin-Nummer zu kennen. Aufgedeckt wurde die Sicherheitslücke laut Margus Arm, dem Leiter der E-Ausweis-Behörde, bei einer Überprüfung des Ausweissystems durch Forscher der Universität Tartu und Experten der estnischen Softwarefirma „AS Cybernetica“, die in Estland unter anderem die Software für das Wählen via Internet entwickelt hatte.

          Bisher habe man keine Missbrauchsfälle festgestellt, heißt es. „Alle vollzogenen Transaktionen und digitalen Signaturen, die mit den Karten vorgenommen wurden, sind legal und gültig, eingeschlossen der elektronischen Wahlen“, sagte Margus Arm. Schon im September des vergangenen Jahres hatte die „Financial Times“ von einer Sicherheitslücke im digitalen Ausweissystem berichtet, durch die es Hackern hätte gelingen können, an die Daten und die Identitäten von etwa 750.000 Menschen zu gelangen. Auch damals hieß es, die Gefahr sei allenfalls eine theoretische. Es habe keine Anzeichen auf einen Angriff durch Hacker gegeben.

          Weitere Themen

          Topmeldungen

          Europäisches Tandem: Frankreichs Außenminister Jean-Yves Le Drian (links) und sein deutscher Amtskollege Heiko Maas am Mittwoch in Paris

          Plan wider die Lähmung : So wollen Maas und Le Drian Europa stärken

          Das deutsch-französische Tandem stockt. Die Außenministerien in Berlin und Paris haben hinter den Kulissen ein Programm entwickelt, wie es künftig besser laufen kann – und Europa handlungsfähiger werden soll.

          Amt des Kommissionspräsidenten : Wer folgt auf Juncker?

          Das Gerangel um die Besetzung der EU-Spitzenposten geht an diesem Donnerstag in die entscheidende Runde. Am Ende müssen sich Berlin und Paris einigen. Doch Merkel und Macron verfolgen unterschiedliche Strategien.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.