CCC zeigt weitere Lücken im e-Personalausweis

Sicherheitslücken Der Chaos Computer Club (CCC) hat weitere Schwachstellen im neuen elektronischen Personalausweis aufgedeckt. Diese lassen sich auch in der schweizerischen SuisseID finden. Gemeinsam mit Schweizer Sicherheitsexperten hat der CCC die Sicherheitslücken nun demonstriert. Demnach sei es Angreifern möglich, die Identitätsnachweise mit einfachen Mitteln zu nutzen, ohne direkten Zugang zu ihnen zu haben.

"Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", sagte CCC-Sprecher Dirk Engling. "Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert."

Mit dem elektronischen Personalausweis sei der Diebstahl des wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich, fasste Engling die Erkenntnisse der Untersuchung zusammen. Dafür genügt den Angaben zufolge Software, die jedermann im Internet frei zur Verfügung steht.

Am Beispiel der SuisseID, die dem deutschen Personalausweis weitgehend ähnelt, konnten unter anderem Probleme mit der digitalen Signatur demonstriert werden. Beim digitalen Signieren mit der SuisseID gelang es den Angreifern dabei, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben.

Die elektronische Unterschrift habe für den unbedarften Nutzer weitere Schwachpunkte. So könne nicht davon ausgegangen werden, daß ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht, hieß es. Es gebe weder klare Richtlinien noch Empfehlungen.

So war es möglich, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven JavaScript-Inhalten zu signieren, ohne dass die Applikation selber dieses Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation, beispielsweise dem Adobe Reader, sieht das Dokument anders aus, was Raum für Manipulationen öffnet.

"Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht einmal sicher sein kann, dass das, was ich vermute zu unterschreiben, auch tatsächlich dem dargestellten Inhalt entspricht?", so der Schweizer Sicherheitsexperte Max Moser. Hinzu komme, dass der Benutzer in vollem Umfang dafür haftbar gemacht werden kann, da die Unterschrift ja rechtsgültig ist.
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:25 Uhr Sunlu 3D-Drucker-Gehäuse, konstante 3D-Drucktemperatur für ABS 3D-Drucker-FilamentSunlu 3D-Drucker-Gehäuse, konstante 3D-Drucktemperatur für ABS 3D-Drucker-Filament
Original Amazon-Preis
43,99
Im Preisvergleich ab
?
Blitzangebot-Preis
37,39
Ersparnis zu Amazon 15% oder 6,60
Video-Empfehlungen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!