Das Magazin Plusminus und der CCC wollten gestern den Fernsehzuschauern der ARD demonstrieren, dass der neue Personalausweis nicht sicher sei. Doch das ist gewaltig misslungen. Eine echte Schwachstelle wurde nicht aufgezeigt.
Das „Knacken“ des neuen Personalausweises ist laut CCC völlig einfach: Man installiert eine Spionagesoftware auf dem PC des Opfers, die Bildschirm, Tastatur und Maus übernimmt und eine Keylogger-Funktion einschließt. Dann wartet man ab, bis der Nutzer den neuen Personalausweis auf das Lesegerät legt, seine PIN eingibt und den Raum verlässt, ohne den Personalausweis mitzunehmen. Schon kann man unter der Identität des Opfers Geschäfte tätigen und außerdem seine Daten auslesen. Die PIN bekommt man aus dem Keylogger.
Es steht außer Zweifel, dass Trojaner wie Gh0st RAT dazu geeignet sind, einen fremden Rechner zu übernehmen und sogar Webcam und Mikrofon als Wanze zu nutzen.
Mit dem neuen Personalausweis hat das allerdings nichts zu tun. Im Gegenteil: Wer sich tatsächlich die Mühe macht, einem Opfer einen Trojaner wie Gh0st RAT unterzujubeln, dürfte wenig Interesse daran haben, den Personalausweis zu hacken. Die persönlichen Daten finden sich meist irgendwo auf der Festplatte. Wenn der PC noch einen schlecht gemachten Fingerabdruckleser besitzt, bekommt der Angreifer sogar die Fingerabdrücke, die auf dem Personalausweis eventuell gar nicht gespeichert sind.
Der CCC hat gezeigt, dass es wirklich gefährliche Trojaner gibt, die einen fremden Rechner übernehmen können und einem Angreifer ermöglichen, das Opfer nachhaltig zu schädigen und auszuspionieren. Dieses Problem ist nicht neu und auch der elektronische Personalausweis kann es nicht lösen. Wer sich in einen fremden PC hackt, kann Authentifizierungsmechanismen wie Session-Cookies, Key-Dateien oder eben auch den neuen Personalausweis nutzen.
Das bedeutet jedoch nicht, dass der Ausweis an sich unsicher ist. Die Tatsache, dass Lesegeräte ohne Tastatur über einen Keylogger ermöglichen, die PIN abzugreifen, ist längst bekannt. Nicht ohne Grund wird für die Funktion elektronische Signatur ein Lesegerät mit Tastatur verlangt.
Ein elektronischer Personalausweis kann eine Person nicht identifizieren. Er kann im Internet lediglich bestätigen, dass die Gegenstelle ein Computer ist, der irgendeine Verbindung zu einem Personalausweis hat und die richtige PIN übermittelt wurde. Personalausweis und Computer können sich dabei auf verschiedenen Kontinenten befinden. Remote-USB-Programme ermöglichen, dass ein PC ein Lesegerät nutzt, das an einem anderen Rechner im Internet hängt.
Die Sicherheit des Personalausweises und der mit ihm verbundenen Infrastruktur wird man wohl erst ab November auf den Prüfstand stellen können. Ein mögliches Problem liegt darin, dass die Zertifikate für sogenannte „hoheitliche“ Lesegeräte in die Hände von Kriminellen gelangen können. Der „Diebstahl“ eines Zertifikats wird meist gar nicht bemerkt.
Mit einem solchen Zertifikat kann statt der PIN die „CAN“ zum Auslesen aller Daten inklusive Fingerabdrücke eingegeben werden. Die CAN ist praktischerweise rechts neben dem Geburtsdatum auf dem Personalausweis aufgedruckt.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…