|
|
Erneut Sicherheitslücke beim elektronischen Personalausweis aufgedeckt Angreifer greifen auf das Lesegerät zu und können die Identität des Inhabers missbrauchen (11.08.11) - Betrügerische Webseiten können Zugriff auf elektronische Personalausweise erlangen und diese missbrauchen, um sich bei anderen Seiten auszuweisen. Dies ermöglicht eine jetzt neu aufgedeckte Sicherheitslücke zusammen mit einer bereits bekannten Angriffstaktik.
Anzeige
Jan Schejbal, Mitglied der Piratenpartei Deutschland, wies bereits im November 2010 kurz nach Einführung des ePerso die Unsicherheit der dazugehörigen AusweisApp nach (siehe: http://www.itseccity.de/content/markt/nachrichten/101111_mar_nac_piratenpartei.html ). Im Januar dieses Jahres demonstrierte er dann eine Möglichkeit, wie Angreifer die PIN des neuen Personalausweises ausspähen können (siehe: http://www.itseccity.de/content/markt/nachrichten/110120_mar_nac_piratenpartei.html ). Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis jedoch noch nicht missbraucht werden. Nun hat Schejbal eine Möglichkeit entdeckt, wie ein Angreifer gleichzeitig zum PIN-Diebstahl auch auf das Lesegerät und somit direkt auf den Ausweis eines Nutzers zugreifen kann. Dadurch könnte der Angreifer die Identität des Inhabers missbrauchen und sich im Internet als der Inhaber, sein Opfer, ausgeben. Wegen der über den ePerso erfolgten Identifizierung wäre es für das Opfer sehr schwer, den Betrug vor Gericht nachzuweisen. Der Angriff nutzt eine Funktion des Browser-Plugins "OWOK", das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. "Das Plugin gehört zu einem der so genannten 'Starter-Kits', mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden", sagt Jan Schejbal. "Ich gehe aber davon aus, dass auch andere Plugins betroffen sind." Die Piratenpartei befürchtet, dass der ePerso genutzt werden könnte, um eine Klarnamenpflicht im Internet durchzusetzen. Innenminister Friedrich (CSU) forderte eine solche Pflicht gegenüber dem SPIEGEL. Axel E. Fischer (CDU), Vorsitzender der Enquête-Kommission Internet und digitale Gesellschaft, erhob im November 2010 dieselbe Forderung und schlug explizit vor, sie mit Hilfe des ePersos durchzusetzen. "Wir halten die Möglichkeit, sich anonym oder pseudonym zu äußern, für einen wichtigen Pfeiler der Meinungsfreiheit", erklärt Sebastian Nerz, Vorsitzender der Piratenpartei Deutschland. "Wie die neue Sicherheitslücke des ePersos erneut beweist, wäre ein Klarnamengebot aber nicht nur politisch gefährlich, sondern auch unsinnig. Technisch versierte Nutzer werden immer Möglichkeiten finden, den Behörden einen Schritt voraus zu sein. Statt Meinungsfreiheit für alle hätten wir dann eine Klassengesellschaft: Wer die Lücken findet, benutzt die Identität anderer, wer sich nicht gut genug auskennt, ist der Dumme. Oder man veröffentlicht einfach im Ausland: Das Internet kennt keine klassischen Landesgrenzen." (Piratenpartei: ma) |
