zurück zum Artikel

Estland: Sicherheitslücke in fast 750.000 ID-Cards

Estland: Mögliches Sicherheitsrisiko bei ID-Karte entdeckt

In der Identity Card, dem digitalen Personalausweis der Esten, klafft eine Lücke. Sie könnte missbraucht werden, um weitreichende Befugnisse des Karteninhabers zu erschleichen. Auch "E-Residents" sind betroffen. Bislang blieb es aber bei der Theorie.

In Europa gilt Estland als einer der Vorreiter der digitalen Verwaltung. Doch nun muss der Baltenstaat kurz vor dem geplanten EU-Digitalgipfel Ende September in Tallinn ein mögliches Sicherheitsrisiko beim elektronischen Personalausweis[1] einräumen. Betroffen davon seien alle seit Oktober 2014 ausgestellten ID-Karten, wie das staatliche Amt für Informationsdienste am Dienstag mitteilte. Unter den rund 750.000 Chipkarten seien auch ID-Karten, die als sogenannte "E-Residency"[2] an Ausländer ausgegeben wurden.

Laut Behördenleiter Taimar Peterkop werden Maßnahmen ergriffen, um das Risiko zu reduzieren und die Sicherheit der ID-Karte weiterhin zu gewährleisten. Das Risiko sei "theoretisch". Bislang gebe es keine Hinweise darauf, dass es zu einem Missbrauch irgendeiner digitalen Identität gekommen sei, sagte Peterkop. ID-Karten-Inhaber finden auf der offiziellen Website weiterführende Informationen[3] zu deren Sicherheit.

Nahezu alle der gut 1,3 Millionen Esten besitzen eine computerlesbare ID-Karte mit einem speziellen Datenchip, die als Personalausweis dient und im Internet die Feststellung der Identität ermöglicht. Damit können online Rechtsgeschäfte abgewickelt und auch digitale Unterschriften geleistet werden, die in Estland rechtlich der normalen Unterschrift gleichgestellt sind.

Bei der von Sicherheitsforschern entdeckten Lücke könne die digitale Identität eines Karteninhabers theoretisch missbraucht werden, ohne dass Karte und PIN einem Angreifer vorliegen. Um den dazu benötigten geheimen Schlüssel zu berechnen, seien jedoch eine riesige Rechenkapazität und ein spezielles Programm notwendig.

Regierungschef Jüri Ratas sprach von einem ernsthaften Sicherheitsvorfall und sagte einen geplanten Besuch in Polen ab. Trotz des Risikos sollen vorerst weiter alle Online-Bürgerdienste angeboten werden. "Estland ist und wird ein E-Staat bleiben", sagte Ratas einem Bericht des estnischen Rundfunks zufolge. (mit Material der dpa) / (ovw[4])


URL dieses Artikels:
http://www.heise.de/-3822597

Links in diesem Artikel:
[1] https://www.ria.ee/en/potential-security-risk-detected-in-the-id-card-chip.html
[2] https://www.heise.de/tr/artikel/Statistik-der-Woche-Die-estnische-E-Staatsbuergerschaft-3565515.html
[3] http://www.id.ee/index.php?id=38066
[4] mailto:ovw@heise.de