CCC zeigt weitere Lücken im e-Personalausweis
Gemeinsam mit Schweizer Sicherheitsexperten hat der CCC die Sicherheitslücken nun demonstriert. Demnach sei es Angreifern möglich, die Identitätsnachweise mit einfachen Mitteln zu nutzen, ohne direkten Zugang zu ihnen zu haben.
"Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", sagte CCC-Sprecher Dirk Engling. "Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert."
Mit dem elektronischen Personalausweis sei der Diebstahl des wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich, fasste Engling die Erkenntnisse der Untersuchung zusammen. Dafür genügt den Angaben zufolge Software, die jedermann im Internet frei zur Verfügung steht.
Am Beispiel der SuisseID, die dem deutschen Personalausweis weitgehend ähnelt, konnten unter anderem Probleme mit der digitalen Signatur demonstriert werden. Beim digitalen Signieren mit der SuisseID gelang es den Angreifern dabei, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben.
Die elektronische Unterschrift habe für den unbedarften Nutzer weitere Schwachpunkte. So könne nicht davon ausgegangen werden, daß ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht, hieß es. Es gebe weder klare Richtlinien noch Empfehlungen.
So war es möglich, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven JavaScript-Inhalten zu signieren, ohne dass die Applikation selber dieses Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation, beispielsweise dem Adobe Reader, sieht das Dokument anders aus, was Raum für Manipulationen öffnet.
"Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht einmal sicher sein kann, dass das, was ich vermute zu unterschreiben, auch tatsächlich dem dargestellten Inhalt entspricht?", so der Schweizer Sicherheitsexperte Max Moser. Hinzu komme, dass der Benutzer in vollem Umfang dafür haftbar gemacht werden kann, da die Unterschrift ja rechtsgültig ist.
Neueste Downloads
Beliebt im Preisvergleich
- Backup & Datenrettung:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Dr.Parted Live 26.07: eine bootfähige GNU/Linux-Distri
d-hubs - Gestern 19:10 Uhr -
Intenret nicht gefunnden
Doodle - Gestern 17:08 Uhr -
LibreOffice-Community Update: Die News im Juni 2026
d-hubs - Vorgestern 23:24 Uhr -
Foren Software Software Allgemein immich: high performance se
d-hubs - 02.07. 23:22 Uhr -
CachyOS kommt mit Neuem :: schneller, performanter u. mehr Sicherheit
d-hubs - 01.07. 13:51 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen