Software des neuen ab 1.11.10 gültigen Personalausweises gehackt
Seit dem 1.11.2010 gibt es nur noch den neuen elektronischen Personalausweis in Scheckkartenform.
Schon vor Einführung wurde kontrovers über die Sicherheit dieses elektronischen Personalausweises disskutiert, mit dem man u.a. Online-Geschäfte angeblich sicherer machen kann.
Nur einen Tag, nachdem die Software zum neuen Personalausweis verfügbar ist, wurde sie von einem Hacker manipuliert. Die Behörden mühen sich um Schadensbegrenzung.
Quelle h i e r
Software zum neuen E-Ausweis gehackt
Nur einen Tag, nachdem die Software zum neuen Personalausweis verfügbar ist, wurde sie von einem Hacker manipuliert. Die Behörden mühen sich um Schadensbegrenzung.
Der neue Personalausweis im Scheckkartenformat soll Online-Identifizierung und digitale Unterschriften erleichtern.
Einkaufen, eine neue Versicherung abschließen, sich bei den Behörden registrieren: Der neue elektronische Personalausweis (nPA) sollte die Ausweispflicht in Deutschland mit dem Internet-Zeitalter verbinden. Seit diesem Monat bekommt jeder Antragsteller den neuen biometrischen Ausweis in Scheckkartenformat und seit zwei Tagen ist nun auch die dazugehörige Software "AusweisApp" online abrufbar. Zusammen mit einem entsprechenden Lesegerät und einer PIN kann man damit alle Online-Funktionen nutzen.
Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) verspricht sich von dem nPA auch eine verbesserte Sicherheit für Online-Dienstleistungen des Bundes oder für Geschäfte im Internet, die immer populärer werden. Diese Hoffnung könnte sich allerdings als Trugschluss erweisen: Denn die Software zum Ausweis, die AusweisApp, hat eine Sicherheitslücke.
Neu ist dies zwar nicht; schon der Chaos Computer Club (CCC) hatte davor gewarnt, dass Hacker an die PIN der Ausweis-Benutzer komme könne. Auch wenn der neue Personalausweis von den neuen Manipulationen selbst nicht angegriffen wird, bedeuten sie für die BSI schlechte Nachrichten – vor allem, weil die Hacker darauf hinweisen, dass die Sicherheitslücken auf "zwei dummen Fehlern" basieren, die der Behörde hätten auffallen müssen.
Verantwortlich für die neuen Hack ist Jan Schejbal von der Piratenpartei, der darüber in seinem Blog berichtet hatte. Demnach wies er in seinem Experiment nach, dass über die Aktualisierungsfunktion der Software schädliche Programme auf einen Personal Computer eingeschleust werden können.
Die Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der Software. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt.
Über eine Manipulation der Netzwerk-Verbindung (DNS-Server) könnten aber Update-Anfragen der Software an den Bundes-Server auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort könnten dann schädliche Programme auf den PC mit der AusweisApp gelangen. Die Angaben Schejbals wurden von Experten des Fachportals heise.de bestätigt.
Das BSI erklärte, man prüfe derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig seien. "Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren", sagte BSI-Sprecher Tim Griese.
... ich gehe dann davon aus, dass sich die Auslieferung der erste neuen E-Ausweise sicherlich dadurch verzögert. Vorerst wurde ja mit einer Bearbeitungszeit von ca. 4 Wochen gerechnet.
Gut dass ich noch rechtzeitig meinen alten Ausweis hab verlängern lassen.
Zitieren
