Update: Erhebliche Sicherheitsprobleme bei elektronischem Personalausweis (ePA)

Der CCC hat gestern auf seinen Seiten einen Artikel veröffentlicht, der in Hinsicht des elektronischen Personalausweises (ePA) kaum Gutes erkennen lässt. Im Hinblick der unter Erfolgsdruck leidenden Bundesregierung, sind, wie auch in meinem Blog mehrfach darauf hingewiesen (hier, hier, hier), massive Mängel dargelegt worden, wo ich f?r mich den ePA persönlich nur ablehnen kann.

Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß sich schon mit einfacher, f?r jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der elektronische Personalausweis (ePA) ferngesteuert benutzen lassen. Die daf?r ausgenutzten Sicherheitsl?cken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen.

Mittels Sicherheitsl?cken (zB. Skripte, ActiveX, Keylogger am heimischen PC) ist das Ganze also fernsteuerbar?

„Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen“, kommentiert CCC-Sprecher Dirk Engling.

Also doch keine theoretische Sammlung von Angriffsmöglichkeiten, sondern auf Grund der Hektik der Regierung ist das Projekt systematisch falsch angegangen und verkackt worden.

„Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die ?bereilte Einf?hrung eines sowohl konzeptionell schwachen als auch technisch fragw?rdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zuk?nftig wichtigsten Dokuments eines jeden B?rgers vom Kinderzimmer-Computer aus möglich, sagt CCC-Sprecher Dirk Engling.

Der ePA wurde immer als das Dokument propagiert, welches sicher ist – mit dem sicher mittels einer QES (qualifizierte elektronische Signatur) sicher eingekauft, sich ausgewiesen, Identität festgestellt werden kann. Nun, zu aller Schwarzmalerei auch auf diesem Blog zum Trotz, muss man feststellen, dass es mit der Sicherheit nicht so rosig aussieht, wenn man Lesen muss, dass

Beim digitalen Signieren mit der SuisseID gelang es den Angreifern, mit einer fremden Identität eine rechtsg?ltige Unterschrift abzugeben. Auch der elektronische Ausweis hat vergleichbare Schwächen.

Wozu brauche ich eine QES, wenn die „rechtsg?ltigen“ Unterschrift nicht so leicht get?rkt werden kann? Man kann sich doch nicht im Entferntesten sicher sein, dass das, was ich „unterschrieben“ habe auch das ist, was ich „unterschreiben“ wollte. Und an die Haftbarkeiten, wie im Text auch aufgef?hrt, möchte gar nicht erst denken. Man glaubt, man unterschreibt eine Bestellung f?r Hardware, aber letztendlich landet die Unterschrift auf einen Kreditvertrag … wer weiß, was findigen Kriminellen so alles einfällt. Macht man es ihnen mit dieser Technik mehr als leicht ..

Besonders die einfachen Lesegeräte lassen eine Manipulation und Fremdnutzung des ePA erst recht gewähren. Bereits im April 2009 habe ich, wenn auch in meiner ?berspitzten Art und Weise, darauf hingewiesen. Es bedarf nur einen „?bernommen“ PC mit Lesegerät. Der ePA in der Nähe und schwupps kann mittels Keylogger die PIN erfasst und ohne Wissen des Anwenders benutzt werden, wenn der ePA in der Nähe des Lesegerätes ist. Die Risiken werden heruntergespielt, die Kosten f?r den B?rger sich solche Geräte anzuschaffen steigen je nach „Sicherheit“ immens – nur, um das Ding zu benutzen. Zu Benutzen f?r eine Sache, die mitunter auch mit Medienkompetenz und etwas Sachverstand auch so realisierbar wäre.

Aber selbst die „teuren“ Geräte helfen nicht sonderlich:

Doch selbst der Einsatz von teureren Lesegeräten mit eigener PIN-Tastatur bietet nur begenzten Schutz. Denn der aus dem Online-Banking bekannte Angriff „Man-In-The-Browser“ benötigt keine PIN. Hierbei wird der Inhalt von Transaktionen modifiziert, ohne daß der Benutzer dies bemerkt. Deshalb tendieren die meisten Online-Banking-Applikationen zur Endbeg?nstigtenverifikation bzw. Transaktionssignierung, bei der nicht ausschließlich die Identität des Kunden, sondern auch der Inhalt der Transaktion validiert und bestätigt wird. Obwohl die meisten Banken diese Probleme erkannt haben und durch den Einsatz eines sicheren Zweitkanals den Schwachstellen entgegenwirken, scheinen all diese Erfahrungen an den Designern des ePA vorbeigegangen zu sein.

Aber es ist alles sicher, alles wird gut, es gibt höheren Kosten und auf jeden Fall wird alles besser und schneller … so zumindest unsere Regierung. Hierzu passt das Zitat vom CCC:

„Was die da rauchen, hätten wir auch gern mal“

Schönen guten Abend …

Update: Wie auch N24 berichtet, ist es ebenso möglich die geheime PIN „ferngesteuert“ zu ändern. Viel Spaß an alle …

Das könnte Dich auch interessieren...

1 Antwort

  1. 25. September 2010

    […] Update: Erhebliche Sicherheitsprobleme bei elektronischem Personalausweis (ePA)22. September 2010 […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.