Einem Team des Informatik-Lehrstuhls der Universität Bonn ist es gelungen, bei der Übertragung einer digitalen Signatur mit der Software Etrust Mail 1.01 von Signtrust, die PIN abzufangen. Das berichtet das Nachrichtenmagazin „Der Spiegel“ in seiner neuesten Ausgabe. Damit erscheint die flächendeckende Einführung der digitalen Signatur, wie sie für die zweite Jahreshälfte von zahlreichen Banken angestrebt wird (ZDNet berichtete), ernsthaft in Gefahr.
Das Gesetz zur digitalen Signatur war Ende Mai in Kraft getreten. Das Paket, das von mittlerweile acht authorisierten Zertifizierungsstellen an die Endkunden bereit gestellt wird, besteht aus Hardware in Form einer Chipkarte, auf der der persönliche Code gespeichert ist, sowie einer Software, die die private PIN enthält. Die digitale Signatur wird aus dem Code und der PIN gebildet. Das Programm wurde von verschiedenen offiziellen Stellen geprüft und für sicher befunden.
Laut dem Spiegel-Bericht hat das Informatiker-Team die Etrust Mail 1.01-Software des Post-Tochterunternehmens Signtrust bereits im Februar überlistet und anschließend die Behörden informiert. Dort jedoch soll sich niemand recht zuständig fühlen. Das Magazin zitiert die Behörden, die Regulierungsbehörde (RegTP) prüfe derzeit den Vorgang. Auf deren Site heißt es momentan: „Aus gegebenem Anlass weist die RegTP darauf hin, dass Anwenderkomponenten, welche zum Beispiel zur Erzeugung beziehungsweise Verifikation digitaler Signaturen eingesetzt werden, nur auf vertrauenswürdigen IT-Systemen betrieben werden sollten.“
Indirekt bestätigt die Regulierungsbehörde somit die Bonner Informatiker: Ausspähen der PIN, Manipulation der Anzeige zu signierender oder signierter Daten und die Veränderung der Anzeige von Prüfergebnissen sei in schlecht gesicherten Systemen möglich. Die digitale Signatur könne somit manipuliert, verfälscht oder ungültig gemacht werden, schreibt die RegTP.
Bei einem Kongress des Bundesamtes für Sicherheit in der Informationstechnik stellten die Autoren nicht nur die Unsicherheit des bisherigen Systems dar, sondern zeigten auch mit dem von ihnen entwickelten Troyan Resistant Secure Signing-Verfahren Lösungsansätze. Nicht zuletzt berichtete sie über die rechtlichen Konsequenzen für die Endanwender. So stehe der Verbraucher in der Beweispflicht zu zeigen, dass ein Eindringling seine Daten manipuliert hat.
Kontakt: RegTP, Tel.: 0228/149921 (günstigsten Tarif anzeigen)
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…