Report München: Alter Angriff auf neuen Personalausweis

Die Sendung will nach eigenen Angaben auf eine Sicherheitslücke beim nPA aufmerksam machen, die noch immer nicht geschlossen wurde: Auf mit Trojanern infizierten PCs kann die Eingabe der PIN mitgelesen werden, wird ein Basis-Kartenleser genutzt.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
Von
  • Detlef Borchers

In der am heutigen Dienstagabend ausgestrahlten Folge des TV-Magazins Report München wird der klassische Angriff auf den "neuen" Personalausweis (nPA) über einen Basisleser wiederholt. Die Sendung will damit nach eigenen Angaben auf eine Sicherheitslücke aufmerksam machen, die noch immer nicht geschlossen wurde.

Das Angriffsszenario ist bekannt: Ist ein Rechner mit einem Keylogger infiziert, kann die notwendige PIN-Eingabe bei der Nutzung des nPAs mit einem sogenannten Basis-Lesegerät abgefangen werden, weil sie auf der PC-Tastatur erfolgen muss. Dieser Angriff funktioniert auch mit der "virtuellen Tastatur" der derzeitig aktuellen AusweisApp, sofern ein Screenshot-Programm die Arbeit am PC aufzeichnet.

Die von "Report München" angesprochene Sicherheitslücke soll dramatisch sein: Die Sendung zitiert den Datenschutz-Aktivisten Volker Birk vom Chaos Computer Club. Seiner Meinung nach dürfte jeder vierte Windows-Rechner schon geknackt sein und auf diese Weise abgehört werden können. Auch Bundesinnenminister Hans-Peter Friedrich soll in der Sendung nach Darstellung der Macher zu Worte kommen und den Basisleser verteidigen: "Man muss eben auch dafür sorgen, dass man versucht, seinen Computer so gut wie möglich zu schützen. Insofern kann man nicht sagen, dass automatisch dieses Basismodell weniger Sicherheit bietet."

Diese Aussage des Innenministers steht im Gegensatz zu den Empfehlungen von nPA-Experten, die den Einsatz von Standard- und Komfort-Lesegeräten empfehlen. Diese besitzen eine eigene Tastatur und können einen sicheren Kommunikations-Kanal unabhängig vom eventuell kompromittierten PC aufbauen. Die BSI-Richtlinie TR-03119 lässt drei Kategorien von Lesegeräten für die Funktionen zur Internet-Authentifizierung mittels des elektronischen Personalausweises zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC.

Gegenüber der Basisversion bieten Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates und verfügeb über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen. (jk)