Sicherheitslücke Software zum neuen E-Ausweis gehackt
Nur einen Tag, nachdem die Software zum neuen Personalausweis verfügbar ist, wurde sie von einem Hacker manipuliert. Die Behörden bemühen sich um Schadensbegrenzung.
Einkaufen, eine neue Versicherung abschließen, sich bei den Behörden registrieren: Der neue elektronische Personalausweis (nPA) sollte die Ausweispflicht in Deutschland mit dem Internet-Zeitalter verbinden. Seit diesem Monat bekommt jeder Antragsteller den neuen biometrischen Ausweis in Scheckkartenformat und seit zwei Tagen ist nun auch die dazugehörige Software "AusweisApp" online abrufbar. Zusammen mit einem entsprechenden Lesegerät und einer PIN kann man damit alle Online-Funktionen nutzen.
Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) verspricht sich von dem nPA auch eine verbesserte Sicherheit für Online-Dienstleistungen des Bundes oder für Geschäfte im Internet, die immer populärer werden. Diese Hoffnung könnte sich allerdings als Trugschluss erweisen: Denn die Software zum Ausweis, die AusweisApp, hat eine Sicherheitslücke.
Anzeige
Schon der Chaos Computer Club (CCC) hatte auf ein Sicherheitsproblem hingewiesen: Er wies nach, dass Hacker an die PIN der Ausweis-Benutzer komme könnten. Auch wenn der neue Personalausweis von den neuen Manipulationen selbst nicht angegriffen wird, bedeuten sie für die BSI schlechte Nachrichten – vor allem, weil die Hacker darauf hinweisen, dass die Sicherheitslücken auf "zwei dummen Fehlern" basieren, die der Behörde hätten auffallen müssen.
Verantwortlich für den neuen Hack ist Jan Schejbal von der Piratenpartei, der darüber in seinem Blog berichtet hatte. Demnach wies er in seinem Experiment nach, dass über die Aktualisierungsfunktion der Software schädliche Programme auf einen Personal Computer eingeschleust werden können.
Die Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der Software. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt. Über eine Manipulation der Netzwerk-Verbindung (DNS-Server) könnten aber Update-Anfragen der Software an den Bundes-Server auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort könnten dann schädliche Programme auf den PC mit der AusweisApp gelangen. Die Angaben Schejbals wurden von Experten des Fachportals heise.de bestätigt.
Das BSI erklärte, man prüfe derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig seien. "Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren", sagte BSI-Sprecher Tim Griese.
- Datum 10.11.2010 - 08:13 Uhr
- Quelle dpa
- Kommentare 49
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Ist es überhaupt schon gesetzlich geregelt wer im Schadensfall den schaden übernimmt ? die Bank oder die örtliche Kommune ?
Im Schadenfall haften Sie, es sei denn Sie können nachweisen, daß der Schaden nicht von Ihnen verursacht wurde und das könnte äußerst schwierig werden.
wer Bedenken hat, diese Funktion zu nutzen, kann die Lesespur mit einem Magneten am Ausweis zerstören. Unwiderruflich.
Denn, wer glaubt schon, dass irgendjemand, wenn nicht der Bürger selbst, die Kosten irgendwelcher Manipulationen übernimmt. - Ich habe noch rechtzeitig einen "alten" neuen Ausweis erhalten. Sollen doch andere zum Beta-Tester avancieren.
Im Schadenfall haften Sie, es sei denn Sie können nachweisen, daß der Schaden nicht von Ihnen verursacht wurde und das könnte äußerst schwierig werden.
wer Bedenken hat, diese Funktion zu nutzen, kann die Lesespur mit einem Magneten am Ausweis zerstören. Unwiderruflich.
Denn, wer glaubt schon, dass irgendjemand, wenn nicht der Bürger selbst, die Kosten irgendwelcher Manipulationen übernimmt. - Ich habe noch rechtzeitig einen "alten" neuen Ausweis erhalten. Sollen doch andere zum Beta-Tester avancieren.
die mängel bestätigt werden, kann ich dann vom "kaufvertrag" zurück treten? eine quittung hab ich vom amt erhalten :)
denn ich zweifel immer mehr daran dass die probleme gelöst werden-im gegenteil, es werden bestimmt immer wetere aufgedeckt
der betroffene ist selbst dafuer verantwortlich :D, da uebernimmt niemand irgendeine verantwortung. wurde im vorfeld auch häufig darueber berichtet, dass der benutzer immer selbst dafuer sorgen muss es alle sicher ist.
klingt komisch, ist aber so. :D
mir gefällt das genauso wenig. also ich werde den neuen ausweis nicht fuer internet geschaefte nutzen. so weiss ich wenigstens das es unsicher ist und man gauckelt mir nicht vor das es doch sicher sei.
ich finde es auch einen sauerei, das die leute die den nPA rausbringen, die ganze zeit gebetsmuehlen artig wie ein mantra wiederholen das er sicher sei.
Im Schadenfall haften Sie, es sei denn Sie können nachweisen, daß der Schaden nicht von Ihnen verursacht wurde und das könnte äußerst schwierig werden.
Rechtlich gesehen muss der Nutzer selbst sich um die sicherheit kümmern und bleibt dann auch erstmal selbst auf dem Schaden sitzen. Also am besten gar nicht nutzen. Warum auch?
gar nicht erst fürs Online shopping nutzen macht Sinn. Was aber besonders ärgerlich ist, sind die hohen Gebühren für diese dann sinnlosen Zusatzfunktionen des neuen Personalausweises. Es sollte daher die Möglichkeit geben, einen günstigeren Personalausweis ohne digitale Unterschrift und "shopping Funktionalität" zu erwerben. Im Gegensatz zum unverschämt teuren Reisepass ist der Erwerb dieses Dokumentes ja nicht freiwillig!
gar nicht erst fürs Online shopping nutzen macht Sinn. Was aber besonders ärgerlich ist, sind die hohen Gebühren für diese dann sinnlosen Zusatzfunktionen des neuen Personalausweises. Es sollte daher die Möglichkeit geben, einen günstigeren Personalausweis ohne digitale Unterschrift und "shopping Funktionalität" zu erwerben. Im Gegensatz zum unverschämt teuren Reisepass ist der Erwerb dieses Dokumentes ja nicht freiwillig!
Zuerst
> Schon der Chaos Computer Club (CCC) hatte auf ein Sicherheitsproblem hingewiesen: Er wies nach, dass Hacker an die PIN der Ausweis-Benutzer komme könnten. <
und dann
> Verantwortlich für den neuen Hack ist Jan Schejbal von der Piratenpartei ... Demnach wies er in seinem Experiment nach, .... <
und dann
> Das BSI erklärte, man prüfe derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar sei .... <
Zwei Beweise von absoluten Experten reichen nicht. Diese Arroganz und Verleugnung von Tatsachen ist kaum noch zu überbieten.
Das ist eigentlich ein Grund für de Maizière zurückzutreten. Er hat dafür geworben dass der neue Ausweis sicher vor Manipulation ist und hat intensiv dafür geworben. Der Ausweis sollte über Jahre hinweg sicher sein - ich erinnere mich an sein intensives Werben.
Nun hat sich herausgestellt, dass er uns entweder wissentlich belogen hat oder tatsächlich keine Ahnung hatte, beides darf nicht sein. Dass es nur Stunden gedauert hat zeigt den Scherbenhaufen, den de Maizière angerichtet hat.
Einen solchen Minister darf sich Deutschland nicht leisten. Ich hoffe, die Opposition leistet nun gute Arbeit und erhöht den Druck.
Solange der Ausweis nicht von den Bürgern akzeptiert ist, wir er sich auch nicht durchsetzen. Natürlich könnte das Ministerium auch Millionen für eine „Find ich gut“ - Kampagne ausgeben. Doch in Zeiten leerer Kassen, ist davon nicht auszugehen. ;)
Bitte melden Sie sich an, um zu kommentieren