Lücke in der Software für neuen Personalausweis

Sicherheitslücken Kurz nachdem die Software für den elektronischen Personalausweis veröffentlicht wurde, war es Jan Schejbal laut einem Blogbeitrag bereits möglich, eine kritische Schwachstelle darin ausfindig zu machen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ein Grund mehr, diesen Ausweis nicht haben zu wollen. Ich bleibe bei meinen alten Lappen.
 
@devastator: Man kann den Ausweis schlecht finden. Du bist aber nicht gezwungen diese Funktionen zu nutzen, also kann es egal sein ob die Software dafür einen Fehler hat.
 
@wieselding: wieso hast du ne andere farbe wie die normalen kommentarersteller?
 
@O-Saft: Weil wieselding ein Moderator ist ;)
 
@XChrome: Ist aber genau so wenig vor Minii (Minussen, was zum Henker) sicher wie die anderen. Obwohl ichs seltsam finde dass beide Meinungen im minus sind...
 
@O-Saft: Moderatoren der Startseite sind seit neuestem auch als solche zu erkennen.
 
@wieselding: naja,besteht sogar die Möglichkeit freiwillig Fingerabdruck zu geben (noch freiwillig) bist dann in bester Gesellschafft von tausenden Kriminellen und bei jeden Scheiß wird dein Name mit verglichen....DNS wird sicher auch noch kommen auf dem geilen Teil sind handwerklich nur noch nicht in der Lage......
 
@wieselding: Nätürlich ist man nicht gezwungen diese Funktionen zu nutzen aber wenn ich mir den aktuellen Preis von über 28 EUR in Relation zum Alten vor Augen halte und hier einen unsicheren Perso sehe, dann kann sich nur jeder mit der Hand vor den Kopf schlagen, was man uns da wieder andrehen will.
 
@john-vogel: Damit ist der Personalausweis dann ungültig. Wäre das gleiche wenn Du auf dem alten Perso dein Foto oder sonstige Daten darauf unkenntlich machst! Fakt ist, in spätestens 10 Jahren muss jeder den neuen haben, das ist Gesetz und da kommt niemand drum herum. Nur die Zusatzfunktionen, da kannst Du dich frei entscheiden. Und in 2-3 Jahren sind auch da die Lücken verschwunden.
@LaBeliby: So was paranoides wie dich braucht die Welt echt nicht! Wir haben immer noch eine Verfassung an die sich auch die Politiker halten müssen. Solltest dich mehr als nur auf BILD.de informieren.
@Hellbend: Die News richtig gelesen? Durch die Software kann Schadecode eingefügt werden. Dafür muss man aber 1. Experte sein und 2. kann man so vielleicht Daten auf dem PC ausspionieren (wie mit 80% aller Software!), aber nicht die Daten des neuen Perso (steht sogar im Artikel!).
 
@Scaver: Eigentlich haben wir ein Grundgesetz. Solltest dich mehr als nur bei CSI informieren.
 
@Slurp: wenn ich jetzt behaupte in dutschland findest du sowohl grundgesetz als auch verfassung(en)?
 
@0711: Dann würde ich entgegnen, dass es "Deutschland" heißt *fg* Nein, Spaß. Dann würde ich entgegnen, dass das auf Länderebene durchaus stimmen mag, man dem Kontext von Scaver aber entnehmen kann, dass er an ein Pendant der US Verfassung denkt. Und diese heißt bei uns nunmal Grundgesetz ;)
 
@Scaver: "Wir haben immer noch eine Verfassung an die sich auch die Politiker halten müssen. Solltest dich mehr als nur auf BILD.de informieren." LOL, dann sollte sich der Herr Jura Student mal ganz genau mit dem "Grundgesetz" vertraut machen und es nicht nur oberflächlich mal durchlsen, spätestens dann wird dir klar werden, dass unsere Regierung diese grundgesetzt tagtäglich mit FÜßen tritt und sich einen Scheiß um das GG schert. ___ Btw. möchte ich mit dir wetten das im Zuge der Terrorbekämpfung bald eine Pflicht zur Abgabe von Biometrischen Daten erlassen wird. Mit dem Argument: Die persönlichen Freiheiten und Rechte einzelner müssen nun mal hinter der Sicherheit aller zurückstehen. Lässt sich ja so ziemlich alles todschlagen.
 
@fieserfisch: Erstens ist das Grundgesetz unsere Verfassung, zweitens sind es (wer wohl?) unsere Politiker, die das Grundgesetz (mit 2/3 Mehrheit der Abgeordneten) den Bedürfnissen anpassen.
 
@rallef: Knick in der Optik? Hab ich mich irgendwo aufgeregt, das das GG keine Verfassung ist? Auch weiß ich nicht wie dein Post sonst etwa smit den meinen zu tun hat...
 
@rallef: Das GG ist erst seit 21 Jahren die Verfassung und das - aus meiner Sicht - auf eine zweifelhafte Art geworden. Es gab mal einen Artikel (ich glaube, es war Art. 146), der eine Abstimmung des Volkes über seine Verfassung als Möglichkeit einräumte und auch in der Präambel stand ein in diese Richtung interprätierbarer Satz. Wäre so eine Verfassung entstanden, so würde ich sie besser als unsere Verfassung akzeptieren können (was nicht bedeutet, dass ich das Grundgesetz nicht akzeptierte).
Und was die GG-änderung angeht, da steht wohl gelegentlich die Frage wessen Bedürfnissen dieses nun angepasst wird. Wobei beim GG Lobyismus glücklicherweise nicht so einfach ist wie bei der normalen Gesetzgebung, da durch die 2/3 im Bundestag und -rat die Opposition meist mit eigebunden werden muss und die meist andere Lobyisten mit unterstützt.
Nunja.
 
@fieserfisch: 1. Fortsetzung Deiner Diskission mit Scaver zum Thema Grundgesetz / Verfassung; 2. ich zitiere Dich: "spätestens dann wird dir klar werden, dass unsere Regierung diese grundgesetzt tagtäglich mit FÜßen tritt und sich einen Scheiß um das GG schert" - es ist genau die Regierung bzw des sie stützenden Parlaments, die das GG anpassen. Keep cool...
 
@Hellbend: der perso ansich ist zumindest was ich bisher gelesen habe nicht unsicher...
 
@devastator: Wieselding hat vollkommen Recht, niemand muss die neuen Funktionen aktivieren. Einziger Unterschied ist dann für dich das neue Format und die Speicherung der biometrischen Daten auf dem Chip. Und wenn Du davor Angst hast, musst Du den Perso einfach in die Mikrowelle legen und der Chip ist hin. Das ist die Lösung für die ganz Paranoiden unter uns.
 
@john-vogel: Das ist wohl eher nicht die Lösung der Paranoiden Probleme ;) . Biometrische Daten werden trotzdem erfasst und falls das Argument bei Dir nicht zieht weil du viell. "nichts zu verbergen hast" dann sind es viell. die Kosten die die Entwicklung gekostet hat.
 
@john-vogel: Mit der Mikrowelle wär ich vorsichtig, die dürfte Brandspuren hinterlassen und da der Perso nicht der Person gehört, die draufsteht, sondern dem Staat, wird dieser auch wenig erfreut reagieren, wenn das festgestellt wird (z.B. bei einer Kontrolle).
 
@john-vogel: Ahja? Ein 30€ Perso in die Mikrowelle, später wirds dann Pflicht den mist Aktiviert zu haben, bei Banken, Versicherungen etc..
 
Damit hatte ja nun keiner gerechnet.....
 
@LaBeliby: Software eben von Menschenhand geschrieben. Leider wird nur beschrieben, dass möglich sein könnte...
 
@Wohlstandsmüll: Wie wär's, einfach mal dem oben genannten Link zu folgen? Da steht ganz genau beschrieben, was das Problem ist, wie es zustande kommt und wie man es ausnutzen kann...
 
@LaBeliby
Also es war mir eigentlich klar, dass es nicht lange dauert...
Es gibt genügend schlaue Köpfe, die unseren "Fachleuten & Experten" das Wasser reichen können...
 
Ich will eigentlich auch den alten Perso haben... Für so etwas unausgereiftes möchte ich eigentlich kein Risiko eingehen und auch nicht mein monatliches Taschengeld ausgeben ... Na ja, nun ist es zu spät, aber vielleicht wird der ja noch verbessert, was ich sehr hoffe!
 
@Yannick1995: Die neuen Funktionen sind ja kein Zwang. Die sind optional. Wenn Du nen neuen Hast, dann benutze ihn wie den alten, dann kann Dir die Software für Deinen Computer (bzw die Sicherheitslücken) relativ egal sein.
 
@wieselding: Total richtig. Ich möcht ja keine Werbung machen, aber wer die Funktionen doch nutzen möchte, soll wohl in der Computerbild mit Heft-DVD, welche ab dem 4.12. verfügbar sein wird, ein Lesegerät vorhanden sein. Ich persönlich find die neuen Funktionen gar nicht schlecht, aber anderen würde ich definitiv nicht dazu raten, die neuen Funktionen aktivieren zu lassen, aber würde auch nicht 100%ig abraten. PS: Wieselding... Warum ist dein Kommentar orange hinterlegt?
 
@TheBNY: Der Computerbild ab dem 4.12. liegt was bei? Höchsten die Kartonage, zum falten und ab in die Blaue Tonne.
 
@TheBNY: Moderatoren der Startseite sind seit neuestem auch als solche zu erkennen.
 
@wieselding: Nochmals, warum dann die Mehrkosten im Gegensatz zum Alten? Das ist doch die Mogelpackung schlechthin. Besch... am Bürger.
 
@Hellbend: Wegen der enormen Entwicklungskosten wird der wohl teurer sein.

@TheBNY
Diesem Magazin liegt aber maximal die Grundversion von Lesegerät bei. Dieses ist aber von der Sicherheit her das anfälligste von den drei Typen. Prinizipiell sollte es auch anderswo erhältlich sein, zumindest hab ihc mal vor einer Weile gehört, dass mit der Einführung noch etliche Geräte des Grundtyps kostenlos verteilt werden sollen. Eine Quelle habe ihc dazu aber leider nicht, sonst hätt ich das dort auch nochmal näher nachgelesen (also wer dazu mehr weiß, bitte ergänzen).
 
@Ramose: Bei der CHIP mit CD im Abo ist das Basislesegerät auch mit dabei. Eine Bekannte fragte mich am Wochenende was das für ein Gerät sei, welches da bei ihrer "Computerzeitschrift" mit drin ist. ;-)
 
@yf2hu67: Leider hab ich Chip nicht im Abo, aber schön zu Wissen, dass Bild kein Monopol auf Gratisgeräte hat:)
 
@Hellbend: Es geht doch gar nicht um den Preis oder das schlechte Image, beides geht mir auch aufn Zeiger, Wer das Ding weiter nur als Perso nutzt, dem kann Software egal sein.
 
@wieselding: Ja, da hast Du auch Recht, daran hab ich in dem Moment gar nicht gedacht. Aber ich hab gehört, dass es sogar Möglich ist den Chip im Perso auslesen zu lassen, ohne das der Besitzer das merkt.
 
@Yannick1995: Ich will den neuen haben, weil dieser einfach ein deutlich schöneres Format hat. Ob ich die neuen Funktionen nutze weiß ich nicht. Weiß nicht, wieso einige unbedingt den großen alten haben wollen.
 
@Wohlstandsmüll: Ja, da stimmt ihr Dir zu, der passt perfekt ins Portemonnaie.
 
Aber es ist ja alles so sicher ^^
Ich sag nur gute Nacht armes Deutschland.
Ich sehe schon die Schlagzeilen in der Bild, wenn die ersten armen Bürger im Internet mit ihrem schicken, sicheren, neuen Perso abgezockt wurden.

Wann kommt eigentlich der, per Gesetz erzwungene, Implantat-Chip für die totale Kontrolle? :p
http://www.spiegel.de/netzwelt/tech/0,1518,575235,00.html

Der liegt doch bestimmt schon irgendwo in einer Schublade als Prototyp rum;)
 
@Laserman: Dokument nicht gefunden...
 
@Laserman: Danke für die hilfreiche Antwort.
 
@Laserman: Sorry, aber das ist doch Quatsch. Jeder hetzt gegen den neuen Perso, weil er nicht 100% sicher ist. Natürlich nicht - nichts ist 100% sicher. Aber selbst wenn er sagen wir mal nur 80% sicher wäre - das ist immer noch viel sicherer als die Sicherungsmethoden die es jetzt gibt, z.B. wenn man sich irgendwo per Benutzername+Passwort einloggt. In Zukunft kann man sich mit seinem Perso einloggen, was wie gesagt natürlich auch keine 100%ige Sicherheit bringt, was aber immer noch viel, viel schwerer zu knacken ist als Benutzername+Passwort.
 
habe nun dummerweise den neuen bekommen. wollte am letzten tag noch den alten beantragen, aber da hatte unser amt geschlossen wegen umstellungsarbeiten. nunja. früher oder später wäre ich eh nicht drum rum gekommen. der große nachteil is auch der preis. mehr als das doppelte und wieso zum teufel ein neuer ausweis... war der alte nicht mehr gut genug?
 
@Mezo: Auch muss künftig nicht jeder den Preis von 28,80 Euro bezahlen. Bedürftige profitieren von einer Reduzierung beziehungsweise von einer Gebührenbefreiung. Ich finde auch 30€ sind viel Geld, aber einen Ausweis hat man ja auch viele Jahre. Sind deutsche echt so Technikmuffel??
 
@Wohlstandsmüll: Nicht Technikmuffel, aber nicht sehr erfreut über den Zwang dies annehmen zu _müssen_.
 
schön Abend noch mal paar Heisenews gepostet :D kommen aber ziemlich spät ...
 
Nun ja, es ist eben Software und die hat nun mal Fehler, jedoch ist das System, das dahinter steckt nicht ausgehebelt. Außerdem ist auch eines anzubringen: wer hat denn den Ausweis schon? Wenn ihn einer schon hat, so solle er sich melden (keinen Testausweis!). Solange die Software nicht aktiv genutzt werden kann, mangels Ausweis, solange können Fehler auch noch verbessert werden.
 
Ich sehe es schon: Personalausweis 1.1 im 3. Quartal 2011, nur im Bürgerbüro Ihres Vertrauens :-D Ungeduldige erhalten den RC1 bereits schon am 1. April 2011 ...
 
Naja, er scriebt aber auch, dass der Fehler haeufig gemacht wird, und das Problem bei Java liegt; man kann einfach programmieren dass das SSL-Zertifikat ueberprueft wird. Wird es dann auch richtig, allerdings fehlt bei dieser Ueberpruefung die Ueberpruefung des Hostnamen, ergo Sicherheitsluecke.
Ich sag jetzt nicht, dass das Javas Shculd ist, ich sagg nur, dass das kein seltener Fehler ist..
 
Mensch mensch die Kommentare immer. Ja klar 99.9 % will bei den alten Lappen bleiben, weil A preiswerter ist und B "sicherer". Meiner Meinung sind beides witzlose Angelegenheiten was man wieder mal nur in der BRD findet. Wenn woanders noch dann mir bis dato nicht bekannt.

Und mit den Aussagen, dass man ihn in die Mikrowelle legen soll und sicher ist. Ist ja schön und gut der Kaninchentrick, aber den Anschaffungsaufwand und den Preis hatte ich dann dennoch auf dem Buckel. Naja hoffentlich gab es genug "Personal", die sich vor inkrafttreten , nochmals den alten "Ausweis" besorgt haben, mit dem Vorwand ihren verloren zu haben oder einem anderen Grund. Die haben erstmal 10 Jahre Ruhe.

Und seien wir doch alle mal ehrlich, wenn man wirklich bei einen solchen riesen Unterfangen das Volk demokratisch fragen würde und abstimmen lassen würde, dann wäre die Geschichte schon zuende erzählt, bevor sie überhaupt geschrieben worden wäre.

Schönen Abend euch noch.
 
@Siva: einen ausweis kannst du ohne vorwand jederzeit neu machen lassen...
 
@Siva: Richtig. Lasst das Volk entscheiden und wir hätten schon lange den "Neuen" Perso. Lasst am Besten bei allem das Volk entscheiden und spätestens in 1 Jahr die gleiche Sache nochmal entscheiden, weil es halt doch Mist war. Ne ne ne... lass den Volksentscheid mal lieber bei denen die ihn und die ganzen Probleme damit haben. Ich kann weitesgehend darauf verzichten.
 
Das wird der ABSOLUTE SUPER-GAU ! Es ist wie mit Kernkraftwerken: Es muss nur EINMAL etwas schief gehen - NUR EINMAL und wir haben die Hölle auf Erden ! Nur eine noch unendeckte Sicherheitslücke. die KONSEQUENT ausgenutzt wird ... ! Nicht einmal MILLIARDENSCHWERE Unternehmen schaffen es, ihre Software sicher zu machen. Und da will uns diese Amateur-Regierung weiß machen, der Perso wäre sicher ? JEDE Wette: In einigen Jahren werden Fingerabsrücke Pflicht und schwupps: Noch mehr Daten von den Bürgern ...
 
@holom@trix: Vielleicht solltest du mit den anderen Paranoikern hier ne Selbsthilfegruppe gründen. Außerdem: Schrei nicht dauernd so...
 
@holom@trix: Selbst wenn es so schlimm kommt, wie du schreibst (wovon ich nicht annähernd ausgehe), so übertreibst du dennoch. Die Hölle auf Erden dürfte doch noch einiges schlimmer sein, ein Reaktorunglück dürfte dies schon eher bedeuten (und selbst da müssten mehrere her und davor möge uns Gott bewahren).
btw: GAU bedeutet Größter Anzunehmender Unfall. Größter ist schon die maximale Steigerung und somit ist das "Super" davor nicht notwendig bzw. sprachlich nicht möglich.;)
 
Ich frag mich nur ob man prinzipiell das Programm editieren kann um dann die Daten die ausgelesen werden an sich zu schicken. Oder werden die Daten so verschlüsselt dass die das Programm nicht mitkriegt, sondern nur der Anbieter?
 
Begreift hier eigentlich niemand, dass die Nutzung der Perso Daten in dem Moment beginnt, indem ich ihn aus der Hand gebe?
Überlegt doch einmal, bei welchen Gelegenheiten das der Fall ist.
Das Computergedöns mit dem Ding ist doch nur das Licht auf das die Motten fliegen (sollen)!
 
@h23: Du sollst ihn ja nicht mehr aus der Hand geben, eben weil du damit die Kontrolle über die Daten verlierst. Ich vermute mal, dass ich es bei Tagesschau.de las (denn mehr Nachrichtenseiten nutz ich nicht), dort stand, dass der gesetzliche Ramen so geändert werden soll, dass es illegal ist den Perso z.B. als Pfand (wie es heute leider hin und wieder der Fall ist) zu verlangen. Du darfst den neuen Ausweis niemandem mehr überlassen und auch Kopien sind nur noch wenigen Institutionen wie Kreditinstituten erlaubt. Alle anderen müssen sihc deine digitalen Daten von dir geben lassen.
 
@Ramose: Als Pfand solltest du schon den "Alten" nicht abgeben. Deswegen schrieb ich ja auch "aus der Hand geben", gemeint war der physische Akt des Handverlassens, nicht das abgeben, aber was ist bei Personenkontrollen durch Polizei, Zoll, ...???
Und was ist im Ausland? So oft wie bei meinem letzten Flug nach GB hab den alten Perso noch nie vorzeigen resp. hergeben müssen. Diskutiere mal mit einem ausländischen zB Polizisten in einer Sprache, die du nicht einmal verstehst darüber, ob er darf oder nicht!
 
@h23: Hm, an Auslandsreisen hab ich nicht gedacht, da fehlt mir auch selbst die Erfahrung dazu.
Mehr als ein Auge auf den Ausweis zu haben fällt mir dazu auch nicht ein und selbst das - vermute ich - ist in der Realität nicht wirklich umsetzbar.
Bei einer Passkontrolle in GB würde ich sicherlich noch ein gewisses Vertrauen haben, dass das schon klappt, aber es gibt auch Länder, wo ich gewisse Zweifel hätte, dass der Beamte nicht doch noch von jemand anderem Geld erhält dafür, dass er dann vllt. mal schnell eine Kopie anfertigt ...
 
Ich habe selten so viel geistigen Schwachsinn, wie hier gelesen.
Der neue Personalausweis ist nicht sicherer oder unsicherer als der alte bei gleicher Benutzung.
Das Problem sind derzeit die Programme/Rechner für die, freiwilligen möglichen Erweiterungen.
Wer die nicht möchte braucht sie nicht zu beantragen und zu nutzen.
 
Im TV wurde gestern auch von den billigst Lesegeräten von Profis abgeraten. Wer das nutzt sollte ein Lesegerät mit eigener Eingabetastatur nutzen. Es ist teuerer aber sicherer als die Eingabe per PC Tastatur.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles