Dass der neue Personalausweis (nPa) schon öfter wegen möglicher Sicherheitslücken im Gespräch war, ist kein Geheimnis mehr. Jan Schejbal, Sicherheitsexperte, hat erneut auf eine Schwachstelle hingewiesen, durch die es Angreifern unter Umständen möglich sei, auf den Personalausweis zuzugreifen.
Durch ein bestimmtes Browser-Plugin namens „OWOK“ können Webseiten auf die jeweiligen Lesegeräte der Nutzer zugreifen. Dadurch wäre es Angreifern unter Umständen möglich, an die Daten des Personalausweises zu gelangen und sich dann als andere Person auszugeben. Eine gefälschte Ausweis-Anwendung könnte unwissenden Nutzern damit zum Verhängnis werden.
Laut Schejbal könnten auch weitere Plugins von den Sicherheitsrisiken betroffen sein. Eine spezielle Website, auf dem Schejbal die Lücke demonstriert, gibt es bereits. Dabei müssen Nutzer, um in einen speziellen FSK-21-Bereich der Website zu gelangen, ihre Einwilligung erteilen, dass die Website auf den Chipkartenleser zugreifen darf. Ist diese Einwilligung erfolgt, soll angeblich eine Altersverifikation erfolgen.
Stattdessen aber bekommen die Nutzer ein Bild zu Gesicht, auf dem darauf hingewiesen wird, dass man auf einen Angriff hereingefallen ist. Zwar ist das ganze auf der von Schejbal erstellten Website kein wirklicher Angriff, doch zeigt es, wie leicht man auf so einen Trick hereinfallen kann.
Ein tatsächlicher Angriff würde den Nutzern die PIN kosten, da über das OWOK-Plugin ohne große Umwege ein Zugriff auf den Kartenleser und damit auf den Personalausweis der Nutzer selbst möglich ist. Der Experte ist der Meinung, dass Webseiten nicht einfach so uneingeschränkten Zugriff auf Chipkarten erhalten sollten – besonders nicht bei unsicheren Lesegeräten.
Jan Schejbal ist Mitglied der Piratenpartei und machte schon in der Vergangenheit oft auf die Sicherheitsprobleme in Bezug auf den neuen Personalausweis aufmerksam. Bereits kurz nachdem entsprechende Software veröffentlicht wurde, fand er unter anderem eine kritische Schwachstelle.
Was meinen Sie zu dem Thema? Tauschen Sie sich über die Kommentarfunktion mit unseren anderen Lesern aus. Zudem können Sie sich täglich über unsere Facebook-Seite auf dem neuesten Stand halten oder dort unsere Beiträge kommentieren.
(Marco Schürmann | Quelle: winfuture.de)
