Einem Team des Informatik-Lehrstuhls der Universität Bonn ist es gelungen, bei der Übertragung einer digitalen Signatur mit der Software Etrust Mail 1.01 von Signtrust, die PIN abzufangen. Das berichtet das Nachrichtenmagazin „Der Spiegel“ in seiner neuesten Ausgabe. Damit erscheint die flächendeckende Einführung der digitalen Signatur, wie sie für die zweite Jahreshälfte von zahlreichen Banken angestrebt wird (ZDNet berichtete), ernsthaft in Gefahr.
Das Gesetz zur digitalen Signatur war Ende Mai in Kraft getreten. Das Paket, das von mittlerweile acht authorisierten Zertifizierungsstellen an die Endkunden bereit gestellt wird, besteht aus Hardware in Form einer Chipkarte, auf der der persönliche Code gespeichert ist, sowie einer Software, die die private PIN enthält. Die digitale Signatur wird aus dem Code und der PIN gebildet. Das Programm wurde von verschiedenen offiziellen Stellen geprüft und für sicher befunden.
Laut dem Spiegel-Bericht hat das Informatiker-Team die Etrust Mail 1.01-Software des Post-Tochterunternehmens Signtrust bereits im Februar überlistet und anschließend die Behörden informiert. Dort jedoch soll sich niemand recht zuständig fühlen. Das Magazin zitiert die Behörden, die Regulierungsbehörde (RegTP) prüfe derzeit den Vorgang. Auf deren Site heißt es momentan: „Aus gegebenem Anlass weist die RegTP darauf hin, dass Anwenderkomponenten, welche zum Beispiel zur Erzeugung beziehungsweise Verifikation digitaler Signaturen eingesetzt werden, nur auf vertrauenswürdigen IT-Systemen betrieben werden sollten.“
Indirekt bestätigt die Regulierungsbehörde somit die Bonner Informatiker: Ausspähen der PIN, Manipulation der Anzeige zu signierender oder signierter Daten und die Veränderung der Anzeige von Prüfergebnissen sei in schlecht gesicherten Systemen möglich. Die digitale Signatur könne somit manipuliert, verfälscht oder ungültig gemacht werden, schreibt die RegTP.
Bei einem Kongress des Bundesamtes für Sicherheit in der Informationstechnik stellten die Autoren nicht nur die Unsicherheit des bisherigen Systems dar, sondern zeigten auch mit dem von ihnen entwickelten Troyan Resistant Secure Signing-Verfahren Lösungsansätze. Nicht zuletzt berichtete sie über die rechtlichen Konsequenzen für die Endanwender. So stehe der Verbraucher in der Beweispflicht zu zeigen, dass ein Eindringling seine Daten manipuliert hat.
Kontakt: RegTP, Tel.: 0228/149921 (günstigsten Tarif anzeigen)
Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…
ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…
Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.