CCC zeigt Sicherheitsprobleme beim elektronischen Personalausweis auf [Update]
Laut Chaos Computer Club können Angreifer durch Schadsoftware auf dem PC des Benutzers die eID-Funktion des elektronischen Personalausweises einfach fernsteuern. Außerdem sei die optionale Signaturfunktion unsicher.
- Axel Kossel
Der Chaos Computer Club (CCC) erneuert seine Kritik am neuen elektronischen Personalausweis. In Verbindung mit dem Basisleser, von dem 1 Million Geräte kostenlos abgegeben werden sollen, sei das System unsicher. Bereits am 24. August hatten Mitglieder des CCC im Fernsehmagazin Plusminus demonstriert, dass Angreifer über Schadsoftware auf dem PC die Eingabe der PIN des Ausweises abhören können. Denn der Basisleser besitzt keine Tastatur, über die man die PIN abhörsicher eingeben könnte.
Eine ähnliche Demonstration soll heute Abend im WDR in der Sendung "Bericht aus Brüssel" ab 21.55 Uhr gezeigt werden. Demnach sei es mit für jedermann problemlos im Netz erhältlicher Software möglich, den Ausweis mit Hilfe der belauschten PIN fernzusteuern: "Mit dem Wissen um die PIN kann ein Angreifer den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweises ausgeben, ohne dabei auf die übertragenden Daten Zugriff zu nehmen. Problemlos kann der Angreifer sogar die 'geheime' PIN des Ausweises ändern", schreibt der CCC in einer Mitteilung.
Auch Tricks wie die virtuelle Tastatur, die mit der Maus bedient wird, brächten keine Sicherheit. Selbst Lesegeräte mit eigener PIN-Tastatur böten nur begrenzten Schutz. Durch Man-in-the-Browser-Attacken könnte der Inhalt von Transaktionen modifiziert werden, ohne dass der Benutzer dies wahrnimmt. Nur wenn das Lesegerät vor der PIN-Eingabe die wichtigsten Transaktionsdaten anzeigt, beim Online-Banking sind das beispielsweise Empfängerkonto und Betrag, kann der Benutzer prüfen, welche Transaktion er auslöst.
Darüber hinaus kritisiert der CCC die optionale Signierfunktion des neuen Ausweises zum rechtsverbindlichen Unterzeichnen von digitalen Dokumenten. So sei es Angreifern mit der Schweizer SuisseID-Karte, bereits gelungen, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben. Auch der elektronische Personalausweis habe vergleichbare Schwächen.
Insbesondere bemängelt der CCC, dass es keine Richtlinien für den Aufbau der Dokumente gebe, die signiert werden dürfen. Es sei grundsätzlich eine schlechte Idee, komplexe Formate digital zu unterzeichnen. Denn der Benutzer habe dabei keine Gewissheit, dass das Dokument in verschiedenen Anwendungen immer gleich angezeigt wird. So sei es möglich gewesen, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven JavaScript-Inhalten zu signieren, ohne dass die Applikation das Dokument korrekt darstellen konnte. Etwa im weitverbreiteten Acrobat Reader sah es anders aus. Dennoch habe die qualifizierte Signatur unter gewissen Bedingungen einer Überprüfung als intakt standgehalten.
Update: BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten. Allerdings könne ein Online-Krimineller dabei keine Geschäfte im Internet abschließen, weil dafür eine separate Signatur-Funktion aktiviert werden müsse. Die Signatur sei durch eine zweite PIN geschützt, die ausschließlich direkt an einem Lesegerät mit integrierter Tastatur eingegeben werden kann.
Unter keinen Umständen könne ein Angreifer Einblick in die persönlichen Daten des Ausweis-Inhabers bekommen, da sie verschlüsselt übermittelt würden, betonte Bender. Allerdings sei es tatsächlich möglich, bei einem Angriff eine bekannte PIN zu verändern. Das sei jedoch ein wenig wahrscheinliches Szenario, "da der Besitzer damit sofort merkt, dass etwas nicht stimmt".
Das BSI betont, dass auch mit den bekannten Schwächen einfacher Lesegeräte das Authentifizierungsverfahren mit einem elektronischen Personalausweis deutlich sicherer sei als heute Kombinationen aus Benutzername und Passwort. (ad)