Estland: Die Hälfte der E-IDs hat eine Security-Lücke

In Europa gilt Estland als einer der Vorreiter der digitalen Verwaltung. Doch nun muss der Baltenstaat kurz vor dem geplanten EU-Digitalgipfel Ende September ein mögliches Sicherheitsrisiko beim elektronischen Personalausweis (E-ID) einräumen.
 
Betroffen davon seien alle seit dem 16. Oktober 2014 ausgestellten ID-Karten, wie das staatliche Amt für Informationsdienste mitteilte. Unter den rund 750'000 Chipkarten seien auch ID-Karten, die als sogenannte "E-Residency" an Ausländer ausgegeben wurden. Alle früher ausgestellten Karten sowie die auf SIM-Karten basierenden Mobile-IDs sind offenbar nicht betroffen.
 
"Wir sind dabei, die Risiken zu minimieren, um die Sicherheit der ID-Karte weiterhin zu gewährleisten", erklärte Behördenleiter Taimar Peterkop. Das Risiko sei "theoretisch". Bislang gebe es keine Hinweise darauf, dass es zu einem Missbrauch oder zum Diebstahl irgendeiner digitalen Identität gekommen sei, sagte Peterkop.
 
Nahezu alle der gut 1,3 Millionen Esten besitzen eine computerlesbare ID-Karte mit einem speziellen Datenchip, die als Personalausweis dient und auch im Internet die Feststellung der Identität ermöglicht. Damit können online Rechtsgeschäfte abgewickelt und auch digitale Unterschriften geleistet werden, die in Estland rechtlich der normalen Unterschrift gleichgestellt sind.
 
Bei der von Sicherheitsforschern entdeckten Lücke könne der öffentliche Schlüssel der digitalen Identität "theoretisch" auch ohne die Karte und die PIN ermittelt werden. Es sei aber eine riesige Rechenkapazität und ein spezielles Programm notwendig, um den dazugehörigen geheimen Schlüssel zu errechnen.
 
Regierungschef Jüri Ratas sprach vom "bisher ernsthaftesten Schrillen der Alarmglocke" und sagte einen geplanten Besuch in Polen ab. Trotz des Risikos sollen vorerst weiter alle Online-Bürgerdienste angeboten werden. "Estland ist und wird ein E-Staat bleiben", sagte Ratas einem Bericht des estnischen Rundfunks zufolge.
 
Gareth Niblett, ein estnischer Security-Experte, sagt gegenüber 'The Register', es habe 2016 schon Probleme mit der E-ID gegeben, die auf Probleme mit Google-Chrome zurückzuführen gewesen seien sowie eine Migration auf den Secure Hash Algorithm SHA-2. (mag / sda)