Digitaler Personalausweis
Sicherheitslücke in fast 750.000 estnischen eID-Cards
von
Alexandra
Lindner - 06.09.2017
Foto: Albina Glisic /shutterstock.cm
Die estnische Regierung bestätigt ein Sicherheitsleck bei 750.000 eID-Karten. Betroffen sind neben estnischen Bürgern auch Inhaber der sogenannten E-Residency. An einer Lösung des Problems werde derzeit gearbeitet, heißt es.
Estland ist in Europa beim Thema digitale Verwaltung ganz vorne mit dabei. Jetzt musste die Regierung des nordeuropäischen Landes allerdings Sicherheitslücken bei fast 750.000 sogenannten eID-Karten einräumen. Darunter sollen auch "E-Residency" Chipkarten sein, die an Ausländer ausgegeben wurden.
Entdeckt wurde das Leck von einem Team aus internationalen Sicherheitsforschern, die umgehend die estnische Information System Authority (RIA) darüber in Kenntnis gesetzt hatten. Betroffen sind laut der estnischen Regierung nur eID-Karten die nach dem 16. Oktober 2014 ausgegeben wurden. Ältere Karten sowie Mobile-ID-s wären hingegen weiterhin sicher.
Die Sicherheitslücke könnte für einen Identitätsdiebstahl ausgenutzt werden. Dazu müsste ein spezieller Schlüssel berechnet werden. Allerdings sei dies nur mit einer sehr hohen Rechenkapazität möglich.
Derzeit sei man dabei, das Risiko einzuschätzen. "Aktuelle Daten zeigen, dass dieses Risiko theoretisch ist. Es gibt derzeit keine Hinweise darauf, dass irgendjemandes digitale Identität missbraucht wird", sagte Taimar Peterkop, Generaldirektor der RIA.
Außerdem erklärt er, dass die Karten weiterhin ihre Gültigkeit und Funktion behalten. "Wir werden geeignete Maßnahmen ergreifen, um die Funktion unserer nationalen Digital-ID-Infrastruktur zu sichern." Zum Beispiel sei der Zugang zur estnischen ID-Card-Public-Key-Datenbank eingeschränkt worden, um eine missbräuchliche Nutzung zu verhindern.
Das kann der digitale Personalausweis
Neben der Identifizierung dient die eID-Card noch vielen weiteren Zwecken. So erlaubt die Technik den Behörden in Estland etwa ein möglichst papierfreies Arbeiten. Wahlen zum Beispiel können ganz bequem online durchgeführt werden. Zudem lassen sich über die Karte Verträge über das Internet abschließen und unterschreiben.
Mit der Chipkarte ist jeder Inhaber eindeutig identifizierbar. Gehaltseinkünfte und ähnliches werden automatisch an die estnische Finanzbehörde übermittelt. So benötigt ein eID-Card-Inhaber etwa nur wenige Minuten für die Steuererklärung, da er lediglich die Angaben überprüfen muss.
Außerdem ist es möglich, dass Ärzte ihren Patienten Rezepte online zuschicken. Zur Einlösung in der Apotheke genügt es, wenn der Empfänger seine eID-Card vorlegt.
Ein entscheidender Nachteil ist, dass die Daten alle zentral gespeichert werden. Gelingt es Hackern also zum Beispiel, diese Datenbank zu knacken, liegt das gesamte Profil eines Bürgers offen für die Kriminellen vor. Datenschutz und Security sind der estnischen Regierung daher sehr wichtig.
