CCC zeigt weitere Lücken im e-Personalausweis

Sicherheitslücken Der Chaos Computer Club (CCC) hat weitere Schwachstellen im neuen elektronischen Personalausweis aufgedeckt. Diese lassen sich auch in der schweizerischen SuisseID finden.
Gemeinsam mit Schweizer Sicherheitsexperten hat der CCC die Sicherheitslücken nun demonstriert. Demnach sei es Angreifern möglich, die Identitätsnachweise mit einfachen Mitteln zu nutzen, ohne direkten Zugang zu ihnen zu haben.

"Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", sagte CCC-Sprecher Dirk Engling. "Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert."

Mit dem elektronischen Personalausweis sei der Diebstahl des wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich, fasste Engling die Erkenntnisse der Untersuchung zusammen. Dafür genügt den Angaben zufolge Software, die jedermann im Internet frei zur Verfügung steht.

Am Beispiel der SuisseID, die dem deutschen Personalausweis weitgehend ähnelt, konnten unter anderem Probleme mit der digitalen Signatur demonstriert werden. Beim digitalen Signieren mit der SuisseID gelang es den Angreifern dabei, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben.

Die elektronische Unterschrift habe für den unbedarften Nutzer weitere Schwachpunkte. So könne nicht davon ausgegangen werden, daß ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht, hieß es. Es gebe weder klare Richtlinien noch Empfehlungen.

So war es möglich, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven JavaScript-Inhalten zu signieren, ohne dass die Applikation selber dieses Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation, beispielsweise dem Adobe Reader, sieht das Dokument anders aus, was Raum für Manipulationen öffnet.

"Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht einmal sicher sein kann, dass das, was ich vermute zu unterschreiben, auch tatsächlich dem dargestellten Inhalt entspricht?", so der Schweizer Sicherheitsexperte Max Moser. Hinzu komme, dass der Benutzer in vollem Umfang dafür haftbar gemacht werden kann, da die Unterschrift ja rechtsgültig ist.
Diese Nachricht empfehlen
Kommentieren49
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 07:40 Uhr AUKEY Wlan USB Stick 2 in 1 mit Bluetooth 4.0 Empfänge 150Mbps für Windows 7 / 8 / 8.1 / 10, Ihre PC, Laptop und andere Geräte, die ohne Wireless oder Bluetooth 4.0 Funktion
AUKEY Wlan USB Stick 2 in 1 mit Bluetooth 4.0 Empfänge 150Mbps für Windows 7 / 8 / 8.1 / 10, Ihre PC, Laptop und andere Geräte, die ohne Wireless oder Bluetooth 4.0 Funktion
Original Amazon-Preis
15,99
Im Preisvergleich ab
?
Blitzangebot-Preis
11,99
Ersparnis zu Amazon 25% oder 4
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden