Sicherheitslücken bei österreichischer Bürgerkarte trotz Zertifizierung

Seit Jahren versucht die österreichische Regierung, ihre Bürgerkarte und damit elektronische Signaturen für Amtswege, Bankgeschäfte und andere Anwendungen zu fördern. Vertrauen und Akzeptanz der Bürger sind gering. Nun stellt sich heraus, dass Regierungsstellen und Hersteller ihnen seit 2006 bekannte Implementierungsfehler der "Bürgerkartenumgebung" genannten Software nicht veröffentlicht haben. Auch die Zertifizierungsstelle A-SIT, die die Software zuvor als sicher bescheinigte, hatte dazu nichts mitgeteilt.

Am Wochenende bekannt gewordene Forschungsergebnisse (PDF-Datei) der Technischen Universität Wien, die den Verantwortlichen 2006 übermittelt worden waren, beschreiben erfolgreiche Angriffe: Eine mit Hilfe einer Bürgerkarte hergestellte verschlüsselte Verbindung mit dem Dienst FinanzOnline des Finanzministeriums, der von Unternehmen für Steuererklärungen und Anträge verwendet werden muss, konnte 2006 entführt und auf einem anderen Rechner fortgesetzt werden. Der Inhalt verschlüsselter E-Mails wurde ausgetauscht und signiert, sodass Empfänger den Unterschied nicht bemerken konnten.

Am schwerwiegendsten ist aber die dritte Sicherheitslücke: Dem signierenden User wurde erfolgreich eine fremde Datei untergeschoben, am Bildschirm aber weiterhin das originale Dokument angezeigt. Dadurch wurde ein anderer Inhalt gültig signiert, als vom Nutzer beabsichtigt.

Ob alle Fehler behoben wurden, ist unklar. Angaben der Verantwortlichen wie öffentliche Quelltexte und Versionsinformationen fehlen ebenso. Der Verein quintessenz, der sich für Bürgerrechte im digitalen Zeitalter einsetzt, schließt, dass auch Zertifizierungen wie jene von A-SIT keine Garantie für sichere Software darstellten.

A-SIT ist ein von Finanzministerium, Nationalbank und Technischer Universität Graz gebildeter Verein. Wissenschaftlicher Leiter und Vorstandsmitglied ist Reinhard Posch, der im Bundeskanzleramt angesiedelte Chief Information Officer der Bundesregierung. A-SIT hat auch jene Software zertifiziert, die für das heute beginnende E-Voting für die Österreichische Hochschülerschaft (ÖH) eingesetzt wird.

Den drei 2006 erfolgreichen Attacken ist gemein, dass sie mittels eines Trojaners an den Schnittstellen zwischen der Bürgerkartenumgebung und anderen Softwarekomponenten ansetzen. Ihre Angriffe unternahmen die Forscher auf die kostenlos, aber nicht als Quelltext erhältliche Bürgerkartenumgebung trustDesk basic der IT Solution GmbH. Die Software war damals nur für Windows XP verfügbar. Die Experten hielten aber auch das damals einzige Konkurrenzprodukt BDC hotsign für unsicher.

Die trustview-Komponente von trustDesk basic soll sicherstellen, dass der Nutzer weiß, was er signiert. Der Inhalt soll daher vor und nach der PIN-Eingabe angezeigt werden. Das Dokument wurde aber als Temporärdatei auf der Festplatte abgelegt. Mit Hilfe von detours wurden die Zugriffe der Bürgerkarten-Software auf eine andere Datei umgeleitet, welche dann signiert wurde.

Die Anzeige des zu signierenden Dokuments auf dem Bildschirm erfolgte mittels HTML. Die Angreifer nutzten eine in Windows enthaltene Funktion (IHTMLDocument2), um den HTML-Body so zu verändern, dass das Originaldokument angezeigt wurde, während aber die untergeschobene Datei verschlüsselt wurde. Die Forscher betonten jedoch, dass auch Anzeigemethoden ohne HTML verwundbar seien: Man müsse nur über das von der Bürgerkartenumgebung erzeugte Fenster zeichnen, was etwa durch einen Eingriff in den Grafiktreiber oder die Simulation des Desktops möglich wäre.

Die Entführung einer Verbindung mit FinanzOnline war relativ einfach: Nach dem Login mit der Bürgerkarte übermittelte FinanzOnline ein Cookie, mit welchem alle weiteren Anforderungen gekennzeichnet wurden. Der Server überprüfte aber nicht, ob die Cookie-Daten auch immer vom selben Rechner kamen. Ein Angreifer musste daher nur das Cookie auf ein anderes System kopieren und konnte von dort unter der fremden Identität auf FinanzOnline zugreifen. Die Entführung des Cookies und damit der ganzen Sitzung wurde mit einem Plugin für Internet Explorer (browser helper object) bewerkstelligt. Dieses könnte etwa über einen Trojaner installiert werden.

Mit den Bürgerkarten (ausgenommen der E-Card) können mit einem einfachen Zertifikat auch E-Mails mit gängigen Mailclients signiert werden. A-Trust, einziger Anbieter qualifizierter Bürgerkarten-Zertifikate in Österreich, stellt dafür etwa ein Thunderbird-Plugin bereit. An diesem Beispiel demonstrierten die Forscher, wie man den Inhalt einer Nachricht ändern und trotzdem eine dafür gültige Signatur erzeugen kann. Ein lokaler SMTP-Proxy und die Umleitung der Hash-Befehle, wiederum mit detour, reichten aus. Dem User wäre die Manipulation nur aufgefallen, wenn er bei bereits abgeschickten Nachrichten seine eigenen Signaturen überprüft hätte. (Daniel AJ Sokolov) / (anw)