ePerso: Besser mit Standard- oder Komfort-Leser

Das SIZ Informatikzentrum der Sparkassenorganisation hat nach eigener Aussage die XSS-Lücke behoben, die für das am gestrigen Montag gemeldete Sicherheitsproblem beim neuen Personalausweis (nPA oder ePerso) mit verantwortlich war. Matthias Stoffel, Leiter S-CERT, erklärte gegenüber heise security, die Experten hätten bei einer ersten Sichtung einen Fehler im zugrundeliegenden Content Management System gefunden und behoben. Der Hersteller des CMS sei über diese Lücke informiert worden.

Die Piratenpartei hatte die Entdeckung ihres Mitglieds Jan Schejbal gemeldet, dass auf einen Basisleser, der an einem fremden PC angeschlossen ist, über das Internet zugegriffen werden kann. Somit könnte ein Angreifer nicht nur durch einen Phishing-ähnlichen Trick in Besitz der Ausweis-PIN gelangen, sondern auch den Ausweis des Opfers missbräuchlich nutzen, solange dieser auf dem Lesegerät liegt.

Schejbal nutzte zum Ansteuern das OWOK-Plug-in von Reiner SCT, das zur loginCard gehört, die zusammen mit den Basis-Lesern der Firma verbreitet wurde. Carsten Sommer von Reiner SCT betonte in einer Stellungnahme, dass es sich bei der Möglichkeit, über das OWOK-Plug-in auf den Chipkartenleser zuzugreifen, nicht um einen Fehler, sondern die Grundfunktion der Software handle. OWOK sei exakt dafür entwickelt worden. Ähnliche Funktionen wie OWOK stelle beispielsweise auch Java ab Version 6 zur Verfügung – da sei für den Zugriff auf die Chipkarte gar kein Plug-in mehr notwendig.

Reiner SCT biete das OWOK-Plug-in und die zugehörigen Serverkomponenten als Freeware an, um eine nachgewiesen sicherere Alternative zum herkömmlichen Identifikationsvorgang via "Benutzername/Passwort" zu schaffen. Anders als von der Piratenpartei vermutet, könne das beschriebene Szenario bei der GeldKarte nicht auftreten, da hier keine PIN-Eingabe notwendig sei. Sommer betonte, dass das Konzept bereits länger bekannt und bei Verwendung von Chipkartenlesern der Kategorien Standard und Komfort zu vermeiden sei. (ad)