Estlands ID-Karte mit Sicherheitsmängeln.

In Europa gilt Estland als einer der Vorreiter der digitalen Verwaltung. Doch nun muss der Baltenstaat kurz vor dem geplanten EU-Digitalgipfel Ende September in Tallinn ein mögliches Sicherheitsrisiko beim elektronischen Personalausweis einräumen.

Betroffen davon seien alle seit Oktober 2014 ausgestellten ID-Karten, wie das staatliche Amt für Informationsdienste am Dienstag mitteilte. Unter den rund 750'000 Chipkarten seien auch ID-Karten, die als sogenannte «E-Residency» an Ausländer ausgegeben wurden.

«Wir haben primäre Lösungen entwickelt, um das Risiko abzuschwächen und werden sämtliche Anstrengung unternehmen, um die Sicherheit der ID-Karte weiterhin zu gewährleisten», erklärte Behördenleiter Taimar Peterkop. Das Risiko sei «theoretisch». Bislang gebe es keine Hinweise darauf, dass es zu einem Missbrauch irgendeiner digitalen Identität gekommen sei, sagte Peterkop.

Nahezu alle der gut 1,3 Millionen Esten besitzen eine computerlesbare ID-Karte mit einem speziellen Datenchip, die als Personalausweis dient und im Internet die Feststellung der Identität ermöglicht. Damit können online Rechtsgeschäfte abgewickelt und auch digitale Unterschriften geleistet werden, die in Estland rechtlich der normalen Unterschrift gleichgestellt sind.

Bei der von Sicherheitsforschern entdeckten Lücke könne der öffentliche Schlüssel der digitale Identität «theoretisch» auch ohne die Karte und die PIN ermittelt werden. Es sei aber eine riesige Rechenkapazität und ein spezielles Programm notwendig, um den dazugehörigen geheimen Schlüssel zu errechnen.

Regierungschef Jüri Ratas sprach vom «bisher ernsthaftesten Schrillen der Alarmglocke» und sagte einen geplanten Besuch in Polen ab. Trotz des Risikos sollen vorerst weiter alle Online-Bürgerdienste angeboten werden. «Estland ist und wird ein E-Staat bleiben», sagte Ratas einem Bericht des estnischen Rundfunks zufolge.