Neulich fragte mich ein Kollege, ob ich schon gehört habe, dass der Chaos Computer Club schon wieder eine Sicherheitslücke beim neuen Personalausweis gefunden hat und ob diesmal etwas dran sei. Die Antwort ist schnell gefunden: Nein, es gibt keine Lücke, und schon gar keine neue. Dementsprechend hat auch das BSI die Kritik am neuen Ausweis erneut zurückgewiesen.
Die CCC-Sicherheitsexperten haben ihr altes Szenario mit zwei ungepatchten Windows-Rechnern, die am selben Switch angeschlossen sind, einem zweiten ARD-Magazin vorgeführt. Nach Plusminus hat jetzt die WDR-Sendung „Bericht aus Brüssel“ dieselbe Story gebracht.
Der Hack ist relativ einfach: Man nutzt irgendeine Lücke, um mit einem Programm wie Metasploit einen „Payload“ auf den zweiten Rechner zu spielen. Als Payload nimmt man ein Spionageprogramm wie Gh0st RAT, das die Kontrolle über den fremden PC übernimmt und eine Keylogger-Funktion beinhaltet.
Zugegeben, mit Gh0st RAT haben es mutmaßlich aus China stammende Hacker geschafft, die Rechner im Büro des Dalai Lama zu infizieren. Sie konnten sogar Webcam und Mikrofon als Wanze einsetzen.
Dennoch ist das Ganze nicht so einfach, wie es der CCC glauben machen will. Da ist zum einen die fehlende NAT-Grenze. Einen Rechner mit der IP-Adresse 192.168.0.1 von einem anderen mit der Adresse 192.168.0.2 im selben Netz anzugreifen ist um ein Vielfaches leichter als über das Internet von 192.0.2.171 auf 192.168.0.1 zu gelangen. Zum anderen gibt es noch Personal Firewalls und sonstige Antimalware-Programme.
Grundsätzlich muss ein Angreifer aus dem Internet den Nutzer überreden, eine Schadsoftware wie einen Loader für Gh0st RAT selbst zu installieren. Das ist alles andere als unmöglich. Aber eigentlich hat das Ganze mit dem Personalausweis wenig zu tun. Wer sich in einem fremden System eines ahnungslosen Nutzers eingenistet hat, kann diesem eine Menge Schaden zufügen, ganz gleich, ob er einen neuen Personalausweis benutzt oder nicht. Hinzu kommt, dass man Zugang zum Ausweis benötigt und die PIN kennen muss. Nimmt der Nutzer seinen Personalausweis vom Lesegerät, ist die PIN alleine wertlos.
Das BSI hat im Übrigen keine Chancen, sich zu wehren und die Dinge klarzustellen. Beim Bürger kommen Sicherheitsratschläge nur stark gefiltert an. So kann man beispielsweise in der Augburger Allgemeinen nachlesen, dass BSI habe gesagt, der einzige Weg sich vor Angriffen zu schützen, sei nach wie vor die Schadsoftware bei seinem Computer stets auf dem aktuellen Stand zu halten.
Zwar wirkt das BSI manchmal recht hilflos bei seinen Sicherheitsratschlägen, die oft lauten, man soll bestimmte Programme wie den Internet Explorer nicht mehr verwenden, aber von einer Empfehlung, alte Viren durch aktuelle zu ersetzen, habe ich noch nie gehört.
Die ganze Personalweisdebatte benötigt mehr Kompetenz und mehr Sachlichkeit. Sicherlich werden Hacker in dem neuen High-Tech-Dokument früher oder später Schwachstellen entdecken. Bis es soweit ist, sollte man sich darauf konzentrieren, sie zu finden und nicht von ARD-Magazin zu ARD-Magazin ziehen, um einen Angriff zu zeigen, der mit dem Personalausweis eigentlich nichts zu tun hat.
Neueste Kommentare
5 Kommentare zu Sicherheit beim Personalausweis: Alter Wein in neuen Schläuchen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Rechtschreibfehler
Wer hat diesen Beitrag geschrieben?
Ein 5. Klässler?
Mehr Kompetenz und mehr Sachlichkeit.
Stimme ich Ihnen zu, fangen Sie am besten selbst schonmal an :) Ich frage mich ja, woher Sie diese ganzen Detailinformationen bzgl. des technischen Aufbaus hatten. Ist das im Fernsehbericht ersichtlich? Auch die Informationen bzgl des Patchlevels der hier involvierten Systeme – können Sie da bitte Quellen nennen?
Ferner würde mich noch interessieren woher Sie genau wissen, ob NAT nun ein Hindernis sei oder nicht. Sie schreiben ja, die Systeme hingen am selben Switch – können Sie Quellen nennen, die Ihre Thesen stützen? Und selbst wenn die Rechner am selben Switch hängen würden: Worauf stützt sich Ihre Annahme, das Setup sei nicht in der Lage via Internet zu kommunizieren?
Vielen Dank für die Infos schonmal im voraus!
Schadsoftware aktualisieren
„…der einzige Weg sich vor Angriffen zu schützen, sei nach wie vor die Schadsoftware bei seinem Computer stets auf dem aktuellen Stand zu halten. “
Sicherheit des Kartenlesers
Es wird vom CCC auch nicht die Sicherheit des nPA an sich angekreidet. Das BSI könnte aber darauf hinweisen, dass mind. Klasse 2 Kartenleser mit eigenem Tastenfeld zu verwenden sind. Die dann erforderliche Man-in-the-middle Angriffsmethode ist um ein vielfaches komplexer. Bei Klasse 3 Lesern, deren Anzeigefeld auch noch eine unabhängige Rückmeldung gibt, erhöht sich die Sicherheit nochmals.
Aber nein, die ersten nPA-Besitzer sollen sogar noch ein Billig-Klasse-1-Leser gestellt bekommen.
Herzlichen Glückwunsch zu soviel Sicherheitsignoranz.
Nicht nur Fernsehen gucken
Aufgrund der Komplexität hat der WDR nur Teile davon gesendet, was die Hacker gezeigt haben. Einem technischen Redakteur ist (anders als dem Durchschnittsbürger) allerdings zuzumuten, die technischen Ausführungen auf ccc.de zu verstehen und nicht nur einen vereinfachenden Fernsehbeitrag anzusehen.
Auch die weiterführenden Links dort zu lesen, hätte ich von einem Journalisten wohl erwarten können.