Sicherheitslücke beim neuen Personalausweis

By On 24. August 2010 · Leave a Comment

»Schön, dass sie es sind«: Das Innen­mi­nis­te­rium ver­spricht sich vom neuen elek­tro­ni­schen Per­so­nal­aus­weis einen Quan­ten­sprung, was die Iden­ti­fi­zier­bar­keit im Online-Geschäftsverkehr betrifft. Doch der neue Aus­weis hat bei den Lese­ge­rä­ten offen­bar eine rie­sige Sicher­heits­lü­cke — Betrü­ger kön­nen sogar die PIN ausspionieren.

So sehen Vorder- und Rückseite des neuen elektronischen Personalausweises aus. Bild: Bundesministerium des Innern

So sehen Vor­der– und Rück­seite des neuen elek­tro­ni­schen Per­so­nal­aus­wei­ses aus. Bild: Bun­des­mi­nis­te­rium des Innern

Im Novem­ber soll er kom­men, Innen­mi­nis­ter Tho­mas de Mai­zière hält große Stü­cke auf ihn: der elek­tro­ni­sche Per­so­nal­aus­weis. Kern­stück des scheck­kar­ten­gro­ßen Plas­tik­stücks soll dabei die Online-Ausweisfunktion oder auch eID (für elek­tro­ni­sche Iden­ti­fi­zie­rung) sein, mit der sich der Bür­ger bei Online-Behördengängen, Alters­kon­trol­len oder beim Abschluss von Geschäf­ten aus­wei­sen kön­nen soll.

Für letz­te­res wurde die Unter­schrifts­funk­tion ein­ge­führt, genauer gesagt die Qua­li­fi­zierte Elek­tro­ni­sche Signa­tur (QES). Dann benö­tigt man ein Signa­tur­zer­ti­fi­kat, eine sechs­stel­lige Signatur-PIN und ein Lese­ge­rät mit PIN-Pad. Genau hier gibt es nun aber eine große Sicher­heits­lü­cke, wie das ARD-Magazin »Plus­mi­nus« mel­det, das zusam­men mit dem Chaos Com­pu­ter­club Test­ver­sio­nen der Basis-Lesegeräte geprüft hat. »Für Betrü­ger ist es dem­nach pro­blem­los mög­lich, sen­si­ble Daten abzu­fan­gen — inklu­sive der gehei­men PIN-Nummer«, heißt es in der Vorab-Pressemeldung zur Plusminus-Sendung am 24. August um 21.50 Uhr.

DeMai­zière sieht keine Probleme

Genaue tech­ni­sche Details gibt es noch nicht, laut Futu­re­zone tritt das Sicher­heits­leck bei Chipkarten-Lesegeräten der nied­rigs­ten Sicher­heits­stufe — ohne eigene Tas­ta­tur und Dis­play — auf. Da bei die­sen Model­len die Ein­gabe der PIN über den eige­nen Rech­ner erfolgt, kön­nen Tas­ta­tur­ein­ga­ben unter Umstän­den durch Schad­soft­ware abge­fan­gen und an Angrei­fer über­mit­telt werden. Bundesinnenminister Tho­mas de Mai­zière sieht laut »Plus­mi­nus«, das ihn zu der Sicher­heits­lü­cke befrgate, kei­nen unmit­tel­ba­ren Handlungsbedarf.

Soll­ten sich die Tests von ARD  und CCC bestä­tig­ten, wäre größte Vor­sicht bei der Anschaf­fung die­ser ein­fa­chen Lese­ge­räte gebo­ten, von denen eine Mil­lion kos­ten­los als soge­nannte »Star­ter Kits« an die Bür­ge­rin­nen und Bür­ger ver­teilt wer­den sol­len. Bes­ser bera­ten ist man, wenn man zu einem teu­re­ren Lese­ge­rät mit eige­ner PIN-Eingabemöglichkeit greift.

Getagged mit
 
If you enjoyed this article, please consider sharing it!
Facebook Twitter Delicious Digg

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>