Sicherheitsproblem: Personalausweis

25. August 2010, 8:11 Uhr | Archiv

Aktuellen Medienberichten zu folge, hat der Chaos Computer Club in Zusammenarbeit mit dem Fernsehmagazin Plusminus die Basis-Lesegeräte für den neuen elektronischen Personalausweis erhebliche Mängel festgestellt. Möglich wäre ein Abfangen der Daten sowie der geheimen PIN.

Der neue, elektronische Personalausweis (Quelle: BMI/Hans-Joachim M. Rickel)

Am gestrigen Abend wurde im Fernsehen in einer Demonstration gezeigt, dass der elektronische Personalausweis unsicher ist. Vorab informierte man bereits, dass man Mängel festgestellt, die den neuen Ausweis unsicher werden lassen: „In Zusammenarbeit mit dem Chaos Computerclub e.V. hat die Plusminus-Redaktion Testversionen der Basis-Lesegeräte geprüft. Für Betrüger ist es demnach problemlos möglich, sensible Daten abzufangen – inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren.“

Bei den beanstandeten Basis-Lesegeräten handelt es sich um einfache USB-Lesegeräte mit einem RFID-Empfänger. Über eine Software am PC werden die PIN-Eingaben getätigt, wobei ein installiertes Trojaner oder andere Schadsoftware hiermit Tor und Tür für Mitschreiben der Nummer geöffnet ist. Die PIN wird zum Beispiel benötigt, wenn man sich mit seinem Ausweis im Internet über das Lesegerät identifizieren will.

Das Problem ist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt, weshalb man schon lange in technischen Richtlinien vor den Basis-Lesegeräten warnt und stattdessen angibt, Geräte mit eigener PIN-Tastatur zu nutzen. Eingaben darüber können nicht so leicht mitgelesen werden.

Problem an der Sache ist nun: Für die ersten 1,5 Millionen Antragssteller des neuen elektronischen Personalausweises sollen zwischen November 2010 und Dezember 2011 1,5 Millionen Starterkits kostenlos mitgegeben werden. Diese Kits beinhalten jedoch nur ein Basis-Lesegerät, wodurch das Bundesinnenministerium wissentlich nicht die sichersten Geräte an Besitzer der neuen elektronischen Personalausweise vergibt. In einer Stellungnahme erklärte das BSI, dass man mit der vorgestellten Methode zwar den PIN mitlesen, aber nicht auf die Daten zugreifen könnte. (Daniel Schürmann | Quelle: heise.de)

Über den Autor

Bernd Zipper
Gründer und CEO von zipcon consulting GmbH, einem der führenden Beratungsunternehmen für die Druck- und Medienindustrie in Mitteleuropa. In den unterschiedlichsten Kundenprojekten begleiten der Technologie- und Strategieberater und sein Team aktiv die praktische Umsetzung. Er entwickelt Visionen, Konzepte und Strategien für die im Printerstellungsprozess beteiligten Akteure der unterschiedlichsten Branchen. Bernd Zipper ist Initiator der E-Business Print Online Studie (EPOS) und neben seiner Beratertätigkeit auch Autor, Dozent sowie gefragter Referent, Redner und Moderator. Seine visionären Vorträge gelten weltweit als richtungsweisende Managementempfehlungen. (Profile auch bei Xing, LinkedIn und GooglePlus).

0 Kommentare


Was meinen Sie zu diesem Thema?

Wir freuen uns über Ihren Kommentar.

Schreibe einen Kommentar

* Pflichtangaben; Ihre E-Mail-Adresse wird nicht veröffentlicht.
 

Copyright

Copyright 2015 Bernd Zipper, zipcon consulting GmbH

Archiv