Sicherheitsrisiko: Estland schränkt Funktionen von 760.000 ID-Cards ein

Estland gilt als Digitalisierungs-Vorreiter. Doch nicht alles läuft problemlos: Wegen eines Sicherheitsrisikos hat die Regierung entschieden, dass Hunderttausende Ausweise am Sonnabend ihre Online-Funktionen verlieren.

Estlands Hauptstadt Talinn

Foto: imago/ robertharding

Estland hat auf das vor zwei Monaten bekanntgewordene mögliche Sicherheitsrisiko  bei seinem elektronischen Personalausweis reagiert. Die Regierung in Tallinn beschloss am Donnerstagabend, die Sicherheitszertifikate der 760.000 betroffenen ID-Karten für ungültig zu erklären. Wie die Staatskanzlei mitteilt folgte das Kabinett von Regierungschef Jüri Ratas damit Empfehlungen der Polizei- und Grenzschutzbehörde sowie des staatlichen Amtes für Informationsdienste.

Nahezu alle der gut 1,3 Millionen Esten besitzen eine computerlesbare ID-Karte mit einem speziellen Datenchip, die als Personalausweis dient und die Feststellung der Identität im Internet ermöglicht. Damit können online Geschäfte abgewickelt, digitale Unterschriften geleistet und elektronisch gewählt werden.

"Mit dem Widerruf der Zertifikate von ID-Karten mit einem Sicherheitsrisiko garantiert der Staat die Sicherheit der ID-Karte", sagte Ratas. Die digitalen Zertifikate sollen den Angaben zufolge in der Nacht zum Sonnabend ihre Gültigkeit verlieren. Als analoger Personalausweis und Reisedokument könne die ID-Karte aber weiter verwendet werden.

Auch Ausländer betroffen

Estland hatte Anfang September ein mögliches Sicherheitsrisiko bei allen seit Oktober 2014 ausgestellten ID-Karten einräumen müssen. Bei ihnen könne der öffentliche Schlüssel der digitalen Identität "theoretisch" auch ohne die Karte und die Pin ermittelt werden, wie Sicherheitsforscher herausfanden. Betroffen sind auch ID-Karten, die als sogenannte "E-Residency" an Ausländer ausgegeben wurden.

Bislang gebe es keine Hinweise darauf, dass es zum Diebstahl von digitalen Identitäten gekommen sei, sagte Ratas. Das Risiko werde aber dadurch "stark erhöht", dass die Schwachstelle sich nicht nur auf die estnische ID-Karte beschränke. Auch andere Karten- und Computersysteme weltweit verwendeten den gleichen Chip des deutschen Herstellers Infineon, hieß es in der Mitteilung.

Lange Schlange vor Polizeistationen

Nach Angaben von Taimar Peterkop, Leiter des staatlichen Amtes für Informationsdienste, kursierten bereits angebliche Schadprogramme. Auch habe eine neue Studie ergeben, dass die Sicherheitslücke im Datenchip leichter als bisher angenommen ausgenutzt werden könnte.

Laut Infineon ist die Sicherheitslücke bereits vergangenen Monat geschlossen worden. bevor die Zertifikate der betroffenen Karten reaktiviert werden können, müssten aber die Karten und andere Geräte erst mit einem Update aktualisiert werden.

Dabei stoßen die staatlichen Stellen offenbar an Kapazitätsgrenzen. Berichten zufolge bildeten sich am Donnerstag und Freitag lange Schlangen vor Polizeistationen und anderen Einrichtungen, in denen Bürger ihre ID-Karten updaten lassen wollen. Auch der Online-Dienst, über den Updates eingespielt werden können, sei regelmäßig überlastet.

mbö/mak/dpa/AP