CCC zeigt weitere Lücken im e-Personalausweis

Der Chaos Computer Club (CCC) hat weitere Schwachstellen im neuen elektronischen Personalausweis aufgedeckt. Diese lassen sich auch in der schweizerischen SuisseID finden. Gemeinsam mit Schweizer Sicherheitsexperten hat der CCC die Sicherheitslücken nun demonstriert. Demnach sei es Angreifern möglich, die Identitätsnachweise mit einfachen Mitteln zu nutzen, ohne direkten Zugang zu ihnen zu haben.

"Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", sagte CCC-Sprecher Dirk Engling. "Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert."

Mit dem elektronischen Personalausweis sei der Diebstahl des wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich, fasste Engling die Erkenntnisse der Untersuchung zusammen. Dafür genügt den Angaben zufolge Software, die jedermann im Internet frei zur Verfügung steht.

Am Beispiel der SuisseID, die dem deutschen Personalausweis weitgehend ähnelt, konnten unter anderem Probleme mit der digitalen Signatur demonstriert werden. Beim digitalen Signieren mit der SuisseID gelang es den Angreifern dabei, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben.

Die elektronische Unterschrift habe für den unbedarften Nutzer weitere Schwachpunkte. So könne nicht davon ausgegangen werden, daß ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht, hieß es. Es gebe weder klare Richtlinien noch Empfehlungen.

So war es möglich, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven JavaScript-Inhalten zu signieren, ohne dass die Applikation selber dieses Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation, beispielsweise dem Adobe Reader, sieht das Dokument anders aus, was Raum für Manipulationen öffnet.

"Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht einmal sicher sein kann, dass das, was ich vermute zu unterschreiben, auch tatsächlich dem dargestellten Inhalt entspricht?", so der Schweizer Sicherheitsexperte Max Moser. Hinzu komme, dass der Benutzer in vollem Umfang dafür haftbar gemacht werden kann, da die Unterschrift ja rechtsgültig ist.