elektronischer Personalausweis offensichtlich mit einfachen Mitteln angreifbar

Der Chaos Computer Club hat einen Artikel veröffentlich in welchem er die Sicherheitslücken des neuen Personalausweises, welcher ab November 2010 den bisherigen Personalausweis ersetzen soll, aufzeigt.

http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa

Laut der Sendung “markt” im WDR ist es Schülern einer neunten Gymnasialklasse im Physikunterricht gelungen den auf dem neuen Personalausweis befindlichen Chip zu deaktivieren. Dafür sind nach eigenen Aussagen einfachste Mittel zum Einsatz gekommen.

http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis.jsp

Auch im Internet kursieren bereits Anleitungen um den Chip zu deaktivieren und auch auf YouTube gibt es bereits Videos dazu in denen das gezeigt wird.

Interessant finde ich dass Herr Bender vom Bundesamt für Sicherheit in der Informationstechnik (BSI), in dem oben verlinkten Beitrag des WDR, behauptet dass der Chip sicher sein und schon gar nicht mit einer handelsüblichen Einwegkamera zu manipulieren sei..

Wenn der Besitzer eines solchen Ausweises ein so genanntes “Basislesegerät” nutzt, welches auch vom Bundesministerium in einem Starterkit ausgegeben werden soll, ist es möglich mittels Malware den eigegeben Pin abzufangen und die karte damit zu nutzen solange sie an dem kompromittierten Rechner angeschlossen ist.

Selbst die Nutzung von teuren Lesegeräten, welche das Pinpad integriert haben, schützt nicht vor Missbrauch der Daten. Es existieren Angriffsszenarien bei denen der Inhalt der Transaktion, welche ja bereits durch die eingegebene Pin bestätigt wurde, manipuliert wird.

Hier wird von offiziellen Stellen aus eine Sicherheit vorgegaukelt welche so nicht existiert. Der neue Ausweis soll auch dazu dienen, verbindliche Rechtsgeschäfte im Internet zu unterzeichnen.

Wenn hier nicht gewährleistet werden kann dass meine Unterschrift, welche ich mit dem neuen Personalausweis abgeben kann, auch wirklich von mir kommt und die Transaktion so gewollt war, frage ich mich wo der Gewinn an Sicherheit sein soll. Ich sehe eher eine geringere Sicherheit da dem Nutzer hier in einer Sicherheit vorgegaukelt wird die so nicht vorhanden ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.