Neue Sicherheitslücken beim elektronischen Personalausweis (Update)

Der Chaos Computer Club hat heute wieder über eine neue Möglichkeit aufgeklärt, die Sicherheit des neuen ePersos in Frage zu stellen: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis.

„Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen“, kommentiert CCC-Sprecher Dirk Engling. „Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen. „[…] „Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich“, sagt CCC-Sprecher Dirk Engling. Die Angriffsflächen, die sich durch die Einführung und Verwendung der digitalen Identitäten bieten, sind weitaus umfangreicher als bislang öffentlich thematisiert. „Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet“, sagt Sicherheitsforscher Thorsten Schröder.

Unser Bundesinnenminister Thomas de Maiziere konnte dann auch noch zu den neuen Sicherheitsbedenken Stellung nehmen. Davon gibt es praktischerweise eine Videoaufnahme:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin "Embed Privacy" einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Irgendwelche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.

Fefe verweist noch auf die neue Kommunikationsstrategie der ePerso-Befürworter:

BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer „den großen Fehler“ mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.

Dann warten wir mal auf eine Extra-Aufklärungs-Kampagne der Regierung, damit der unbedarfte Bürger mal lernt, auch ganz schnell den ePerso wieder aus dem Lesegerät zu ziehen. Sonst scheint ja alles in Ordnung zu sein, oder?

Immer noch aktuell ist unser Interview mit Frank Rosengart vom CCC zum Thema elektronischer Personalausweis: “Kaufe nie die Version 1.0″.

Update: Christiane Schultzki-Haddouti weist bei Kooptech noch auf ein interessantes Detail hin:

im Sinne des Prozessjournalismus sei noch der Link zu dem heute entstandenen Artikel für “Die Welt” nachgereicht. Er verweist im letzten Absatz auf ein rechtliches Problem: So ist es aufgrund eines Konflikts mit einer Technischen Richtlinie der Bundesnetzagentur, die im Nachgang zum Signaturgesetz erstellt wurde, im Moment noch gar nicht möglich qualifizierte digitale Signaturen zu erstellen (und damit die eigentlich doch intendierten rechtskräftigen Online-Unterschriften – bitte nicht verwechseln mit der einfachen digitalen Signatur (ohne Rechtsfolgen). Die ist natürlich schon möglich.). Die Lösung: Entweder muss die sicherheitstechnische Vorgabe umgeschrieben werden oder der Pass mit einem Kontaktchip versehen werden. Mal sehen, was schneller geht.

Und hier ist der 20 Uhr Tagesschau-Beitrag dazu:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin "Embed Privacy" einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

28 Ergänzungen

  1. Als ob „aus dem Lesegerät nehmen“ da wirklich helfen würde. Diese Dinger haben RFIDs, sind also via Funk ausles- und nutzbar. Mit entsprechendem Equipment auch aus mehr als nur einem Meter Entfernung soweit ich weiß.

    Was ich bis heute nicht weiß, ist warum da nun unbedingt RFID rein mußte. Mal abgesehen von der Wirtschaftssubventionierung natürlich.

  2. Tenor ist wohl: Der ePerso ist ziemlich sicher, Schwachstellen sind nicht zu vermeiden. Das Risiko trägt der Inhaber.
    Vor diesem Hintergrund bin ich froh, dass mein alter Ausweis noch Jahre läuft. Schaun‘ mer mal, was noch passiert.
    Wenn mich in Zukunft im internet jemand auffordert, meine Bestellung per ePerso zu authorisieren, lasse ich es eben. Ich nehme an, so werden viele Leute handeln.
    Bedenken habe ich im Augenblick Richtung internet-Zugang. Hoffentlich kommt niemand auf die Idee, den Zugang nur noch via ePerso zu erlauben.

  3. Und irgendwelche Politiker geben geben ihren Senf immer zu irgendwelchen Sachen ab, von denen sie absolut keine Ahnung haben.

    Da stellt sich DE-Misere vor die Kamera und behauptet allen Ernstes, der neue Perso sei sicher.

    Der hat doch (genauso wie der Rest der Bande) nicht den Hauch einer Ahnung von solchen Sachen.
    Wenn der verletzungsfrei seinen Rechner einschalten kann, dann ist das schon eine Leistung.

    Unfassbar :-(

  4. RFID-Chip der verbaut werden wird, der ist nur auf 10 cm auslesbar.

    Die Sicherheitslücke von der da berichtet wird ist jetzt schon länger bekannt und wäre dadurch zu beheben, wenn der E-Perso nach jeder Transaktion wieder die Verbindung trennt und sich für jede weitere Transaktion neu authentifizieren müsste. Zudem müsste man dafür sorgen, dass eine weitere Authentifizierung nur möglich ist, wenn der e-perso entfernt und wieder mit dem Kartenleser verbunden wird.
    Ich hoffe, dass man da noch etwas macht….

    Bis dann

  5. Mir will nicht in den Kopf, warum der CCC schlicht übersieht, dass die SuisseID ein simpler USB-Stick ist und damit der Kritik an den Billiglesern entspricht. Es ist völliger Unfug, dieses privatwirtschaftlicher Signatursystem mit dem ePerso zu vergleichen. Auf diesem Niveau ist es Getrolle mit ein paar geschickt gesetzten Fußnoten. –Detlef

  6. Der lebt wahrscheinlich nach dem Prinzip: \Was ich nicht sehe sieht mich auch nicht\. Ungefähr dasselbe intellektuelle Niveau als würde man mit einem dreijährigen Verstecken spielen. Ich glaube das kennen die meisten, da rennt so ein kleiner Mensch in die Ecke eines Zimmers, schlägt die Hände vor das Gesicht und ruft: „Such mich!“

  7. „Ja, Schatz, ich denk dran, ihn früh genug rauszuziehen, mach Dir keine Sorgen!“

    Mit diesem Satz nahmen viele Unfälle ihren Lauf…

  8. Hab die Woche nen neuen „alten“ Perso beantragt. Bis 2020 hab ich also Ruhe.

    Das Irre ist: Mir hat die Dame im Photoladen erzählt, dass es echt Leute zu geben scheint, die den neuen Perso wollen, weil se das 0815-Lesegerät umsonst bekommen!?

    Kopf -> Tisch

  9. Tjaja, Detlef nennt es trollen. So richtig längere Texte lesen, ist wohl auch nicht mehr beliebt bei den gestressten Journalisten.

    Ich finde, der Punkt, den viele übersehen: Wer setzt heute denn der Marketing-Propaganda mal irgendwas entgegen? Hat Journalist Detlef sich mal die Mühe gemacht, einer der hunderte Informatik-Profs nach der sachlichen Meinung zum Perso zu fragen und für ein Interview zu gewinnen?

    Nun, wenn er es täte, würde er schnell einiges merken: Es ist was faul im Staate Dänemark. Da äussert sich einfach keiner. Die kritische Funktion der Wissenschaft läuft ins Leere, und diejenigen Informatiker an der Unis, die sich mit dem Perso auskennen, sind schlicht gekauft worden. Ihr ganzen schönen Mitarbeiter werden nämlich vom Perso-Projekt bezahlt.

    Ich für meinen Teil bin dankbar, dass sich jemand unabhängiges dieses Perso-Ding mal anschaut und auch wirklich durchführbare Hacks vorführt. Wenn sie die Verschlüsselung und den Chip später noch brechen, es wär nur ein kleiner Zusatz, der viel Mühe macht. Die wirklichen Angriffe werden sich gegen den Rechner der Benutzer richten.

    Und an Detlef: Wo ist denn dein kritischer Artikel, der sich mit der Technik der SuisseID auseinandersetzt? Was da gezeigt wurde und gut dokumentiert ist, wusste vorher kein Schweizer. Dass die das im Fernsehen nicht adäquat darstellen, wen wundert das?

    Es ist ein Stick, ja und?

  10. @Tharben (#17)

    Wenigstens kann man uns anhand unserer Ausdrucksweise unterscheiden.

    Was ist eigentlich der Kern deines Kommentars? Auch inhaltlich ergibt er für mich keinen Sinn. Warum tippst du nicht ein paar Zeilen 0 und 1? Ich bin mir sicher, dass Experten wie du dich verstehen werden.

  11. Da fehlt ja eigentlich nur noch, dass die CCC’ler oder vllt. auch jemand anderes einen Virus programmiert, der sich auf Lesegeräte und Host-PC überträgt…
    Langsam habe ich das Gefühl, die Bundesregierung hat den „neuen Personalausweis“ als Spielzeug für den CCC entwickelt ;)

  12. Sollte es mit meinem neuen Perso zum Mißbrauch kommen, und ich bin der Geschädigte dann muß ich meine Unschuld beweisen. Denn beim Perso ist die politische Vorgabe dass dieser zu hundert Prozent sicher ist, daran wird sich dann auch jedes Gericht halten. Wenn ich also nicht einige Zehntausend Euro für unabhängige Gutachter und Prozesse übrig habe um alle Instanzen zu durchlaufen dann werde ich keine Chance haben zu beweisen dass ich mich völlig korrekt verhalten habe. Tja und da ich nicht soviel Knete muß ich auf eine Gerichtskostenbeihilfe hoffen. Die gibt es jedoch nur für Prozesse mit Erfolgsaussicht aber die sind aus politischen Gründen natürlich nicht vorhanden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.