Spenden

Dieser Artikel ist mehr als 15 Jahre alt.

Neue Sicherheitslücken beim elektronischen Personalausweis (Update)

Der Chaos Computer Club hat heute wieder über eine neue Möglichkeit aufgeklärt, die Sicherheit des neuen ePersos in Frage zu stellen: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis.

„Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen“, kommentiert CCC-Sprecher Dirk Engling. „Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen. „[…] „Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich“, sagt CCC-Sprecher Dirk Engling. Die Angriffsflächen, die sich durch die Einführung und Verwendung der digitalen Identitäten bieten, sind weitaus umfangreicher als bislang öffentlich thematisiert. „Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet“, sagt Sicherheitsforscher Thorsten Schröder.

Unser Bundesinnenminister Thomas de Maiziere konnte dann auch noch zu den neuen Sicherheitsbedenken Stellung nehmen. Davon gibt es praktischerweise eine Videoaufnahme:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

video direkt öffnen

Irgendwelche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.

Fefe verweist noch auf die neue Kommunikationsstrategie der ePerso-Befürworter:

BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer „den großen Fehler“ mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.

Dann warten wir mal auf eine Extra-Aufklärungs-Kampagne der Regierung, damit der unbedarfte Bürger mal lernt, auch ganz schnell den ePerso wieder aus dem Lesegerät zu ziehen. Sonst scheint ja alles in Ordnung zu sein, oder?

Immer noch aktuell ist unser Interview mit Frank Rosengart vom CCC zum Thema elektronischer Personalausweis: “Kaufe nie die Version 1.0″.

Update: Christiane Schultzki-Haddouti weist bei Kooptech noch auf ein interessantes Detail hin:

im Sinne des Prozessjournalismus sei noch der Link zu dem heute entstandenen Artikel für “Die Welt” nachgereicht. Er verweist im letzten Absatz auf ein rechtliches Problem: So ist es aufgrund eines Konflikts mit einer Technischen Richtlinie der Bundesnetzagentur, die im Nachgang zum Signaturgesetz erstellt wurde, im Moment noch gar nicht möglich qualifizierte digitale Signaturen zu erstellen (und damit die eigentlich doch intendierten rechtskräftigen Online-Unterschriften – bitte nicht verwechseln mit der einfachen digitalen Signatur (ohne Rechtsfolgen). Die ist natürlich schon möglich.). Die Lösung: Entweder muss die sicherheitstechnische Vorgabe umgeschrieben werden oder der Pass mit einem Kontaktchip versehen werden. Mal sehen, was schneller geht.

Und hier ist der 20 Uhr Tagesschau-Beitrag dazu:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

video direkt öffnen

  • Markus Beckedahl
Markus Beckedahl
28

Der Chaos Computer Club hat heute wieder über eine neue Möglichkeit aufgeklärt, die Sicherheit des neuen ePersos in Frage zu stellen: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis.

„Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen“, kommentiert CCC-Sprecher Dirk Engling. „Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen. „[…] „Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich“, sagt CCC-Sprecher Dirk Engling. Die Angriffsflächen, die sich durch die Einführung und Verwendung der digitalen Identitäten bieten, sind weitaus umfangreicher als bislang öffentlich thematisiert. „Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet“, sagt Sicherheitsforscher Thorsten Schröder.

Unser Bundesinnenminister Thomas de Maiziere konnte dann auch noch zu den neuen Sicherheitsbedenken Stellung nehmen. Davon gibt es praktischerweise eine Videoaufnahme:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

video direkt öffnen

Irgendwelche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.

Fefe verweist

noch auf die neue Kommunikationsstrategie der ePerso-Befürworter:

BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer „den großen Fehler“ mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.

Dann warten wir mal auf eine Extra-Aufklärungs-Kampagne der Regierung, damit der unbedarfte Bürger mal lernt, auch ganz schnell den ePerso wieder aus dem Lesegerät zu ziehen. Sonst scheint ja alles in Ordnung zu sein, oder?

Immer noch aktuell ist unser Interview mit Frank Rosengart vom CCC zum Thema elektronischer Personalausweis: “Kaufe nie die Version 1.0″.

Update: Christiane Schultzki-Haddouti weist bei Kooptech noch auf ein interessantes Detail hin:

im Sinne des Prozessjournalismus sei noch der Link zu dem heute entstandenen Artikel für “Die Welt” nachgereicht. Er verweist im letzten Absatz auf ein rechtliches Problem: So ist es aufgrund eines Konflikts mit einer Technischen Richtlinie der Bundesnetzagentur, die im Nachgang zum Signaturgesetz erstellt wurde, im Moment noch gar nicht möglich qualifizierte digitale Signaturen zu erstellen (und damit die eigentlich doch intendierten rechtskräftigen Online-Unterschriften – bitte nicht verwechseln mit der einfachen digitalen Signatur (ohne Rechtsfolgen). Die ist natürlich schon möglich.). Die Lösung: Entweder muss die sicherheitstechnische Vorgabe umgeschrieben werden oder der Pass mit einem Kontaktchip versehen werden. Mal sehen, was schneller geht.

Und hier ist der 20 Uhr Tagesschau-Beitrag dazu:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

video direkt öffnen

Über die Autor:innen

  • Markus Beckedahl
    Darja Preuss
    Markus Beckedahl

    Markus Beckedahl hat schon 2003 in der Ur-Form von netzpolitik.org gebloggt und hat zwischen 2004 bis 2022 die Plattform als Chefredakteur entwickelt. Seit 2024 ist er nicht mehr Teil der Redaktion und schreibt einen Newsletter auf digitalpolitik.de. Kontakt: Mail: markus (ett) netzpolitik.org, Presseanfragen: +49-177-7503541 Er ist auch auf Mastodon, Facebook, Twitter und Instagram zu finden.

Veröffentlicht

Kategorie

Schlagwörter

, , , , ,

Weiterlesen

Thema

Datenschutz

Thema

CCC

Thema

Datenschutz

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

28 Kommentare zu „Neue Sicherheitslücken beim elektronischen Personalausweis (Update)“

  1. datenschützer

    ,

    Als ich das heute im TV gesehen habe, dachte ich mir „Dazu wirds sicher was auf netzpolitik geben“ :D
    Ich fand es auch erstaunlich, wie oft der CCC erwähnt wurde.

  2. Geralt

    ,

    Als ob „aus dem Lesegerät nehmen“ da wirklich helfen würde. Diese Dinger haben RFIDs, sind also via Funk ausles- und nutzbar. Mit entsprechendem Equipment auch aus mehr als nur einem Meter Entfernung soweit ich weiß.

    Was ich bis heute nicht weiß, ist warum da nun unbedingt RFID rein mußte. Mal abgesehen von der Wirtschaftssubventionierung natürlich.

  3. Jo

    ,

    http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa

    Sehr schön:

    „Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den elektronischen Personalausweis in seinem aktuellen Jahresbericht.

    „Was die da rauchen, hätten wir auch gern mal“, kommentierte CCC-Sprecher Engling.

  4. oqpie

    ,

    Gibt es konkretere Angaben, bis wann man den alten Personalausweis noch beantragen kann, als Ende Oktober?

  5. Jo

    ,

    Bis Ende Oktober halt. Also ausschließlich 1. November.

  6. GustavMahler

    ,

    Tenor ist wohl: Der ePerso ist ziemlich sicher, Schwachstellen sind nicht zu vermeiden. Das Risiko trägt der Inhaber.
    Vor diesem Hintergrund bin ich froh, dass mein alter Ausweis noch Jahre läuft. Schaun’ mer mal, was noch passiert.
    Wenn mich in Zukunft im internet jemand auffordert, meine Bestellung per ePerso zu authorisieren, lasse ich es eben. Ich nehme an, so werden viele Leute handeln.
    Bedenken habe ich im Augenblick Richtung internet-Zugang. Hoffentlich kommt niemand auf die Idee, den Zugang nur noch via ePerso zu erlauben.

  7. ambee

    ,

    zum 27C3 soll das ding ja „geliefert, gehackt und gefrostet“ präsentiert werden, scheinen wohl im zeitplan zu liegen :D

    http://bit.ly/b9ci6T

  8. Splitter 27 « … Kaffee bei mir?

    ,

    […] Der neue ePerso ist sicher – wie einst die Renten Der CCC hat zum wiederholten Mal Sicherheitsmängel beim neuen elektronischen Personalausweis aufgedeckt. Fefe hatte zu einem anderen Thema ein hübsches Zitat von August Hanning, das auch hier gut passt: „Industriepolitisch ergibt die Karte eine Menge Sinn. Derjenige, der zuerst kommt, setzt die Standards. Und der Sicherheitsbereich ist eine große Wachstumsindustrie.“ Money quote. Update: Fefe hat noch einen. kooptech hat sich mit den Einzelheiten beschäftigt: Innenministerium legt sich ein Ei, und Netzpolitik hat Wort und Bild. […]

  9. Matthias

    ,

    Und irgendwelche Politiker geben geben ihren Senf immer zu irgendwelchen Sachen ab, von denen sie absolut keine Ahnung haben.

    Da stellt sich DE-Misere vor die Kamera und behauptet allen Ernstes, der neue Perso sei sicher.

    Der hat doch (genauso wie der Rest der Bande) nicht den Hauch einer Ahnung von solchen Sachen.
    Wenn der verletzungsfrei seinen Rechner einschalten kann, dann ist das schon eine Leistung.

    Unfassbar :-(

  10. YoungSocialist

    ,

    RFID-Chip der verbaut werden wird, der ist nur auf 10 cm auslesbar.

    Die Sicherheitslücke von der da berichtet wird ist jetzt schon länger bekannt und wäre dadurch zu beheben, wenn der E‑Perso nach jeder Transaktion wieder die Verbindung trennt und sich für jede weitere Transaktion neu authentifizieren müsste. Zudem müsste man dafür sorgen, dass eine weitere Authentifizierung nur möglich ist, wenn der e‑perso entfernt und wieder mit dem Kartenleser verbunden wird.
    Ich hoffe, dass man da noch etwas macht.…

    Bis dann

  11. Detlef Borchers

    ,

    Mir will nicht in den Kopf, warum der CCC schlicht übersieht, dass die SuisseID ein simpler USB-Stick ist und damit der Kritik an den Billiglesern entspricht. Es ist völliger Unfug, dieses privatwirtschaftlicher Signatursystem mit dem ePerso zu vergleichen. Auf diesem Niveau ist es Getrolle mit ein paar geschickt gesetzten Fußnoten. –Detlef

  12. Rainer Verspohl

    ,

    Der lebt wahrscheinlich nach dem Prinzip: \Was ich nicht sehe sieht mich auch nicht\. Ungefähr dasselbe intellektuelle Niveau als würde man mit einem dreijährigen Verstecken spielen. Ich glaube das kennen die meisten, da rennt so ein kleiner Mensch in die Ecke eines Zimmers, schlägt die Hände vor das Gesicht und ruft: „Such mich!“

  13. christian

    ,

    „Ja, Schatz, ich denk dran, ihn früh genug rauszuziehen, mach Dir keine Sorgen!“

    Mit diesem Satz nahmen viele Unfälle ihren Lauf…

  14. Meine 5 Cent für 2010-09-22 ft. Lovestoned! | I ♥ electru.de

    ,

    […] Neue Sicherheitslücken beim elektronischen Personalausweis “Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich [..]“ […]

  15. Volker

    ,

    Hab die Woche nen neuen „alten“ Perso beantragt. Bis 2020 hab ich also Ruhe.

    Das Irre ist: Mir hat die Dame im Photoladen erzählt, dass es echt Leute zu geben scheint, die den neuen Perso wollen, weil se das 0815-Lesegerät umsonst bekommen!?

    Kopf -> Tisch

  16. Elektronischer Personalausweis – Die Sicherheitslücke | volkerdaschner.de

    ,

    […] via http://www.netzpolitik.org/ […]

  17. Tharben

    ,

    Tjaja, Detlef nennt es trollen. So richtig längere Texte lesen, ist wohl auch nicht mehr beliebt bei den gestressten Journalisten.

    Ich finde, der Punkt, den viele übersehen: Wer setzt heute denn der Marketing-Propaganda mal irgendwas entgegen? Hat Journalist Detlef sich mal die Mühe gemacht, einer der hunderte Informatik-Profs nach der sachlichen Meinung zum Perso zu fragen und für ein Interview zu gewinnen?

    Nun, wenn er es täte, würde er schnell einiges merken: Es ist was faul im Staate Dänemark. Da äussert sich einfach keiner. Die kritische Funktion der Wissenschaft läuft ins Leere, und diejenigen Informatiker an der Unis, die sich mit dem Perso auskennen, sind schlicht gekauft worden. Ihr ganzen schönen Mitarbeiter werden nämlich vom Perso-Projekt bezahlt.

    Ich für meinen Teil bin dankbar, dass sich jemand unabhängiges dieses Perso-Ding mal anschaut und auch wirklich durchführbare Hacks vorführt. Wenn sie die Verschlüsselung und den Chip später noch brechen, es wär nur ein kleiner Zusatz, der viel Mühe macht. Die wirklichen Angriffe werden sich gegen den Rechner der Benutzer richten.

    Und an Detlef: Wo ist denn dein kritischer Artikel, der sich mit der Technik der SuisseID auseinandersetzt? Was da gezeigt wurde und gut dokumentiert ist, wusste vorher kein Schweizer. Dass die das im Fernsehen nicht adäquat darstellen, wen wundert das?

    Es ist ein Stick, ja und?

  18. Samuel

    ,

    Hier ist noch das Video von gestern aus dem „Bericht aus Brüssel“ vom WDR, wo der Ausweis behandelt wird und der CCC interviewt wurde: http://www.youtube.com/watch?v=3su5cwTZUr0

  19. Quick & Dirty « monstropolis

    ,

    […] beschließt Gesundheitsreform: Bürokratisch, teuer, ungerecht Weiterbetrieb von Biblis A illegal? Neue Sicherheitslücken beim elektronischen Personalausweis Fragwürdige Speicherung von Millionen EC-Kartendaten Zeltlager […]

  20. Jens

    ,

    Soso, der ePA ist sicher.
    Hat das vor einigen Jahren nicht auch mal jemand über die deutschen Renten gesagt?

  21. Mit dem elektronischen Personalausweis ist es wie mit dem Sex | aktuelles | XSBlog2.0beta

    ,

    […] die Sicherheit des neuen elektronischen Personalausweises wird so einiges geschrieben in diesen Tagen, im Augenblick mag ich da auf Details gar nicht groß […]

  22. sicherheit, keine « blubberfisch

    ,

    […] daten droht – das interessiert keine sau. lesenswertes dazu findet sich auch bei netzpolitik. […]

  23. Der neue Perso und die Sicherheit | Technikjargon

    ,

    […] Wunderbar weiter lesen kann man bei Basic Thinking und Netzpolitik. […]

  24. t3n-Linktipps: Facebook-Phone, Wikipedia-Feedback, E-Perso-Probleme, Photoshop, TYPO3-4.5-Backend » t3n News

    ,

    […] Der Chaos Computer Club hat weitere Sicherheitsprobleme beim elektronischen Personalausweis ausfindig gemacht, was den Bundesinnenminister zu der denkwürdigen Aussage bringt: „Irgendwelche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.“ Na dann ist ja alles prima. Weitere Infos bei netzpolitik.org. […]

  25. Tharben

    ,

    @Tharben (#17)

    Wenigstens kann man uns anhand unserer Ausdrucksweise unterscheiden.

    Was ist eigentlich der Kern deines Kommentars? Auch inhaltlich ergibt er für mich keinen Sinn. Warum tippst du nicht ein paar Zeilen 0 und 1? Ich bin mir sicher, dass Experten wie du dich verstehen werden.

  26. genodeftest

    ,

    Da fehlt ja eigentlich nur noch, dass die CCC’ler oder vllt. auch jemand anderes einen Virus programmiert, der sich auf Lesegeräte und Host-PC überträgt…
    Langsam habe ich das Gefühl, die Bundesregierung hat den „neuen Personalausweis“ als Spielzeug für den CCC entwickelt ;)

  27. Freitags Links Abbiegen | ikusei Blog

    ,

    […] auf ganzer Linie zu sein. Liest man die Ausführungen des Chaos Computer Club, Basic Thinking Blog, Netzpolitik und Fefe´s Blog (1. Link Kommentar zu Schadensbegrenzung BSI, 2. Artikel zu Kommentar […]

  28. SEODEPP

    ,

    Sollte es mit meinem neuen Perso zum Mißbrauch kommen, und ich bin der Geschädigte dann muß ich meine Unschuld beweisen. Denn beim Perso ist die politische Vorgabe dass dieser zu hundert Prozent sicher ist, daran wird sich dann auch jedes Gericht halten. Wenn ich also nicht einige Zehntausend Euro für unabhängige Gutachter und Prozesse übrig habe um alle Instanzen zu durchlaufen dann werde ich keine Chance haben zu beweisen dass ich mich völlig korrekt verhalten habe. Tja und da ich nicht soviel Knete muß ich auf eine Gerichtskostenbeihilfe hoffen. Die gibt es jedoch nur für Prozesse mit Erfolgsaussicht aber die sind aus politischen Gründen natürlich nicht vorhanden.

Dieser Artikel ist älter als 15 Jahre, daher sind die Ergänzungen geschlossen.