Elektronischer Personalausweis: Leicht zu knacken
Chaos-Computer Club: „Was die da rauchen, hätten wir auch gern mal.“
Von Karl Weiss
Ab 1. November soll der neue elektronische Personalausweis (ePA) eingeführt werden. Nun haben Spezialisten vom Chaos Computer Club (CCC) praktisch demonstriert, dass der Ausweis mit längst bekannten Mitteln ganz einfach geknackt und ferngesteuert missbraucht werden kann. „Es geht um praxisrelevantes systemisches Versagen. Es ist ein Alltagsrisiko, Schadsoftware des heimischen PC!“ erklärte CCC-Sprecher Dirk Engling.
Die für jedermann problemlos im Netz erhältliche Software wurde bereits hunderttausendfach von Kriminellen benutzt, um an Kontendaten zu kommen. Engling erklärte weiter:
"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich"
Das Hauptproblem ist, mit dem Ausweis kann man rechtsgültig Verträge und anderes unterschreiben. Kann ein Außenstehender diese Unterschrift nutzen, so ist man zum Beispiel plötzlich verpflichtet, 100.000 Euro an jemanden zu zahlen, weil man dies (ohne eigenes Wissen) mit dem Ausweis unterschrieben hat. Man wird dann beweispflichtig, das nicht gewesen zu sein, was aber fast unmöglich zu beweisen ist.
Auf der Website des CCC heißt es:
„Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er gezwungen, seine geheime PIN über die Tastatur seines Rechners einzugeben. Lauscht nun eine versteckte Software-Komponente wie etwa ein sogenannter "Trojaner" auf dem Rechner diese Tastatureingaben mit, ist die PIN nicht mehr als vertraulich zu betrachten. Auch Taschenspielertricks, wie etwa mit der Maus anzuklickende virtuelle Tastaturen, bieten keinen ernstzunehmendem Schutz bei einem kompromittierten Computer. Mit dem Wissen um die PIN kann ein Angreifer nun den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweise ausgeben, ohne dabei auf die übertragenen Daten Zugriff zu nehmen.“
Das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) sieht das naturgemäß anders: "Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen" heißt es von dort.
Das kommentierte CCC-Sprecher Engling so: „Was die da rauchen, hätten wir auch gern mal.“
Veröffentlicht am 29. September 2010 in der Berliner Umschau
Von Karl Weiss
Ab 1. November soll der neue elektronische Personalausweis (ePA) eingeführt werden. Nun haben Spezialisten vom Chaos Computer Club (CCC) praktisch demonstriert, dass der Ausweis mit längst bekannten Mitteln ganz einfach geknackt und ferngesteuert missbraucht werden kann. „Es geht um praxisrelevantes systemisches Versagen. Es ist ein Alltagsrisiko, Schadsoftware des heimischen PC!“ erklärte CCC-Sprecher Dirk Engling.
Die für jedermann problemlos im Netz erhältliche Software wurde bereits hunderttausendfach von Kriminellen benutzt, um an Kontendaten zu kommen. Engling erklärte weiter:
"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich"
Das Hauptproblem ist, mit dem Ausweis kann man rechtsgültig Verträge und anderes unterschreiben. Kann ein Außenstehender diese Unterschrift nutzen, so ist man zum Beispiel plötzlich verpflichtet, 100.000 Euro an jemanden zu zahlen, weil man dies (ohne eigenes Wissen) mit dem Ausweis unterschrieben hat. Man wird dann beweispflichtig, das nicht gewesen zu sein, was aber fast unmöglich zu beweisen ist.
Auf der Website des CCC heißt es:
„Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er gezwungen, seine geheime PIN über die Tastatur seines Rechners einzugeben. Lauscht nun eine versteckte Software-Komponente wie etwa ein sogenannter "Trojaner" auf dem Rechner diese Tastatureingaben mit, ist die PIN nicht mehr als vertraulich zu betrachten. Auch Taschenspielertricks, wie etwa mit der Maus anzuklickende virtuelle Tastaturen, bieten keinen ernstzunehmendem Schutz bei einem kompromittierten Computer. Mit dem Wissen um die PIN kann ein Angreifer nun den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweise ausgeben, ohne dabei auf die übertragenen Daten Zugriff zu nehmen.“
Das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) sieht das naturgemäß anders: "Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen" heißt es von dort.
Das kommentierte CCC-Sprecher Engling so: „Was die da rauchen, hätten wir auch gern mal.“
Veröffentlicht am 29. September 2010 in der Berliner Umschau
Karl Weiss - 30. Sep, 00:15
