CCC warnt vor Lücken im elektronischen Personalsausweis

23. September 2010

Der Chaos Computer Club warnt erneut vor Schwachstellen im neuen deutschen elektronischen Personalausweis. Auch die in der Schweiz bereits eingesetzte SuisseID hat Schwachstellen.

Gemeinsam mit Sicherheitsexperten aus der Schweiz hat der Chaos Computer Club (CCC) laut eigenen Angaben „erhebliche“ Schwachstellen im neuen deutschen elektronischen Personalausweis und bei der in der Schweiz bereits eingesetzten SuisseID herausgefunden und auch praktisch demonstriert. Interessierte Tüftler, aber auch Kriminelle könnten beide elektronischen Personalausweise „mit einfachen Mitteln ferngesteuert benutzen“, so der Chaos Computer Club.

Mittels einer einfachen und im Netz problemlos erhältlichen Software sei es möglich, die SuisseID und den deutschen ePA (elektronischen Personalausweis) ferngesteuert benutzen. Die dafür ausgenutzten Sicherheitslücken würden bereits heute hunderttausendfach von Kriminellen genutzt, um etwa an Kontodaten zu gelangen.
In Deutschland soll der elektronische biometrische Ausweis am 1. November 2010 eingeführt werden. „Er hat eine kontaktlose Schnittstelle mit einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und elektronische Identitätsdaten gespeichert sind“, erläutert der CCC, der kritisiert, dass das hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises durch die übereilte Einführung „eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert“ werde.
Der CCC warnt auch davor, dass die elektronische Unterschrift für „unbedarfte“ Nutzer weitere Schwachpunkte besäße. So könne nicht davon ausgegangen werden, dass ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussehe. (c) pcwelt.de

Und was sagt die Regierung dazu? Na, wie immer: Die Leute vom CCC sind doch alles „Gespensterseher im Tunnel“ …

BSI weist Sicherheitsbedenken des CCC zurück

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die vom Chaos Computer Club geäußerten Sicherheitsbedenken zum elektronischen Personalausweis zurück.
Das BSI räumt ein, dass – wie vom Chaos Computer Club (CCC) geschildert – Schadsoftware wie Trojaner die PIN-Eingabe des neuen Personalausweises (nPA), wie der elektronische Personalausweis offiziell heißt, bei der Verwendung von Basislesegeräten mitschneiden kann. Während das aus Sicht der Hacker ein großes Sicherheitsrisiko darstellt, wiegelt das BSI ab.

Die Behörde argumentiert, dass im Gegensatz zum bisher üblichen Authentifizierungsverfahren mittels Benutzername und Passwort beim neuen Personalausweis die PIN nur in Kombination mit der Ausweiskarte selbst genutzt werden kann. Daher rät das BSI: „Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden.“ Der CCC hatte zuvor darauf hingewiesen, dass ein Angreifer mit Kenntnis der PIN den Ausweis, so lange er auf dem Lesegerät liegt, missbrauchen und die fremde Identität nutzen kann. Das bestätigt das BSI damit weitgehend.

Allerdings weist das BSI darauf hin, dass dies nur für die Ausweisfunktion des nPA gelte, und nicht für dessen Signaturfunktion: So diene die Onlineausweisfunktion nur der gegenseitigen Authentifizierung von Dienstanbieter und Ausweisinhaber. Es handle sich nicht um eine rechtsverbindliche Unterschrift, der Dienstanbieter habe keinen Nachweis gegenüber Dritten über die Verwendung der Ausweisfunktion.

Signaturfunktion des nPA nur mit Komfortlesegerät
Die optional nutzbare rechtsverbindliche Signaturfunktion könne hingegen ausschließlich mit einem Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden.

Auch die Bedenken der Hacker, Angreifer könnten so die Ausweis-PIN ändern, bestätigt das BSI. Doch auch hier gehen die Bewertungen auseinander: „Eine Änderung der Ausweis-PIN durch den Angreifer wäre nach Erspähen der alten PIN und Zugriff auf die Karte zwar grundsätzlich möglich, würde aber zu einer wahrscheinlichen Entdeckung des Angriffs durch den Inhaber führen, da dessen PIN nicht mehr funktioniert“, heißt es in einer offiziellen Stellungnahme.

So kommt das BSI zu dem Schluss: Die vom CCC beschriebenen Szenarien seien auszuschließen, so lange die Ausweisinhaber die vom Bundesministerium des Innern und vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis befolgen. Dazu zählen die Verwendung einer Personal Firewall und eines leistungsfähigen, stets aktualisierten Virenscanners und regelmäßige Sicherheitsupdates für Betriebssystem und Browser. Zudem sollte der Ausweis nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden. Wer das Gefühl hat, seine PIN sei ausspioniert oder manipuliert worden, sollte diese an einem nicht infizierten PC oder in der Personalausweisbehörde ändern oder den Ausweis sperren lassen, was auch über eine telefonische Hotline möglich sei.

Den Vergleich zwischen nPA und SuisseID weist das BSI ebenfalls zurück: Die Funktionen des deutschen Personalausweises und der Schweizer SuisseID seien technisch grundlegend verschieden gestaltet und nicht miteinander vergleichbar. Aussagen über die SuisseID ließen sich nicht auf das deutsche System übertragen, heißt es weiter in Richtung CCC. (ji) (c) golem.de

Wann begreifen eigentlich die Minister und deren Versallen mal, dass nicht einmal 10% von dem wissen, was die Leute vom CCC wissen? Die glauben heute noch, die Erde ist eine Scheibe, um die die Sonne kreist.

Na dann mal gute Nacht ihr BSI-Minister.

Achja, da gibts ja auch noch GOOGLE. Na wenn die man nicht dieses Ausspähen für sich nutzen. NEIN, dass werden die doch nicht machen – oder?

Advertisements

Kommentar verfassen

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: