Viren, Spyware, Datenschutz 11.021 Themen, 91.070 Beiträge

News: Chaos Computer Club warnt

Elektronischer Personalausweis löchriger als gedacht

Michael Nickles / 16 Antworten / Baumansicht Nickles

Ab 1. November 2010 wird der elektronische Personalausweis eingeführt. Dadurch kann sich beispielsweise jeder im Internet eindeutig identifizieren (siehe Elektronischer Personalausweis dringend gefordert), was unter anderem bei Geschäftsabwicklungen und Online-Banking bessere Sicherheit bringen soll.

Bei Datenschützern ist der neue Ausweis sehr umstritten, der Chaos Computer Cclub (CCC) heizt die Diskussion um die Sicherheit des Ausweises jetzt erneut mit einer Mitteilung an. In Zusammenarbeit mit Schweizer Sicherheitsexperten wurden erhebliche Schwachstellen beim in der Schweiz bereits verbreiteten Ausweis entdeckt.

Die finden sich auch bei der SuisseID. Das ist ein in der Schweiz verfügbarer elektronischer Identitätsnachweis, der auf Chipkarte oder als USB-Stick erhältlich ist. Laut CCC existiert im Internet eine für jedermann leicht erhältliche Software, mit der sich der elektronische Ausweis sowie die SuisseID ferngesteuert benutzen lassen. Und die Sicherheitslücken werden angeblich bereits hunderttausendfach von Kriminellen ausgenutzt.

CCC-Sprecher Dirk Engling : "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen".

Da die technische Angriffsmethode teils sehr simpel sei, soll sie sich von Online-Kriminellen problemlos einsetzen lassen. Und im Fall des deutschen elektronischen Personalausweises drohe das gleiche Risiko. Eine der Hauptschwachstelle sind laut CCC billige Ausweis-Lesegeräte, die am PC angeschlossen werden und die über keine eigene Tastatur verfügen.

Wird die PIN über die PC-Tastatur eingegeben können Kriminelle das über einen Trojaner ermitteln und den elektronischen Personalausweis dann nach Belieben nutzen, so lange er im Lesegerät eingesteckt ist beziehungsweise drauf liegt (der Ausweis ist kontaktlos). Auch teure Lesegeräte mit eigener Tastatur reichen aus Sicht des CCC nicht aus.

Auch hier können "Transaktionen" per "Schadsoftware" überwacht und missbraucht werden. Auch mit dem Ausweis durchführbare "digitale Unterschriften" auf Dokumenten sind fälschbar.

Sicherheitsexperte Thorsten Schröder, der die Sicherheitsprobleme gemeinsam mit Max Moser in der Praxis demonstriert hat, fordert:

"Die an der Einführung und am Betrieb der Systeme beteiligten Unternehmen und staatlichen Stellen können nicht oft genug an ihre Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden.

Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren.

Die bestehenden Gefahren dürfen nicht hinter Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Missbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."

Was auf jeden Fall jeder wissen sollte: digitale Unterschriften mit dem elektronischen Personalausweis sind rechtsgültig und der Ausweisbesitzer ist somit in vollem Umfang haftbar.

bei Antwort benachrichtigen
reader Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

solange politiker millionen euros für dies gesetz bekommeen, vllt sogar beteiligung am erbe der nigeriansichen könige, sind chancen für verbraucherschutz gleich null.
ich meine - würden sie lieber das volk oder das eigebne konto schützen? plus die tatsache, dass die alten säcke ja damit rechnen können an hedonismus zu erliegen lang bevor die konsequenzen eintreten?

bei Antwort benachrichtigen
Conqueror Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

Zitat:
Auch teure Lesegeräte mit eigener Tastatur reichen aus Sicht des CCC nicht aus.

Ich wusste bis dato nicht, dass HBCI fähige Leser nach Klasse 3 unsicher sind.

bei Antwort benachrichtigen
olliver1977 Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

Ich habe bei den IT und Sicherheitsfachmännern und Frauen die dieses Land regieren, nichts anderes Erwartet.
Mal im ernst, Angie und ihre wilde 13 loben das alles so hoch wie die Stopschilder für die KiPoseiten und beweisen wieder wie wenig Ahnung sie selbst haben und wie gut sie die Warnungen von Fachleuten bewerten, in diesem Fall mal wieder garnicht.

Zu meinem Bedauern stell ich fest, dass du nichts hinterlässt. Und was du sagst,ist nutzlos wie die Hoden vom Papst
bei Antwort benachrichtigen
Vagabund olliver1977

„Ich habe bei den IT und Sicherheitsfachmännern und Frauen die dieses Land...“

Optionen

So ist das... aber was soll man tun? Am besten sich selber bestmöglich schützen, was anderes bleibt uns ja nicht übrig... vlt. sollte jmd. mal eben solche Attacken auf die Politiker loslassen... Spambomben, Trojaner Angriffe usw. - die kennen das Ärgernis nicht und Verträge mit deren Namen hat sicher auch noch nie einer abgeschlossen.

Menschen die etwas nicht kennen, beurteilen es IMMER SO, dass es für sie selbst am Besten ist... aber was soll man tun, die denken ja, dass sie was besseres sind nur weil es Leute gibt die denen den Arsch lang hoch lecken...

bei Antwort benachrichtigen
Ma_neva olliver1977

„Ich habe bei den IT und Sicherheitsfachmännern und Frauen die dieses Land...“

Optionen

Tag schön,

wie gut sie die Warnungen von Fachleuten bewerten doch die kamen ja noch rechtzeitig :-),
ich habe heute meinen "neuen PA" abgeholt, gültig bis 2020 :-) , was bis dahin ist (ob man dann noch auf Erden wandelt:-)) und das für 8,- .
Habe auch meine Verwandten und Bekannten dazu informiert, wenn viele das machen sitzen sie wohl lange auf den neuen "Chips" und wissen was der Bürger davon hält.

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
mono Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

...jeder, der sich ein wenig mit IT & Co. auskennt, weiß, dass kein System, egal wer es entwickelt, auch nur annähernd Sicher sein kann. Systeme können immer nur sicherer gemacht werden; aber niemals absolut sicher sein!

Um die 100%ige Sicherheit zu garantieren können, dafür dürfte man das System dann nicht verwenden...
...was ja wohl nicht im Sinne des Erfinders dann wäre... :)

cya, mono

bei Antwort benachrichtigen
|dukat| Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

Wenn ich diesen elektronischen Personalausweis bekomme, werde ich ihn im Schrank einschliessen. Hoffe nur, dass ihn dann keiner durch die Wand von draußen auslesen kann.

bei Antwort benachrichtigen
REPI Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

Wer sagt nun nicht die ganze Wahrheit?
Die Computerxperten der Bundesregierung oder die Mitglieder des CCC?
http://www.google.com/hostednews/afp/article/ALeqM5htEtcSo1699mY81Fv78vL8MxVzXQ

Ich tippe ja mal auf Erstere, da es ja Poltiker schon immer so an sich haben Gegenargumente, selbst mit schlüssigen Beweisen, mit der lapidaren Antwort, "das stimme nicht" bzw. "das träfe so nicht zu", zurück zu weisen.
Warum sollten es also ihre Beamten anders machen?
Ist das nicht schlimm, wenn man so gar kein Vertrauen mehr in die politischen und staatlichen Institutionen hat. Woran mag dies nur liegen? *grübel*

Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
mono REPI

„Wer sagt nun nicht die ganze Wahrheit?“

Optionen
http://www.google.com/hostednews/afp/article/ALeqM5htEtcSo1699mY81Fv78vL8MxVzXQ

...interesanter Artikel: Da hat das BSI nicht ganz Unrecht. Mit einer optimalen Konfiguration und Handhabung, könnte es vermutlich annähernd sicher sein. Aber das gewisse Restrisiko wird natürlich nicht erwähnt!? Oder die eine eindeutige Definition, was ein Leistungfähiger Virenscanner im Sinne des BSI ist!?

Das ist doch wie immer nur wischi waschi Geschwätz. Keiner macht eine klare Aussage, weil keiner wirklich Verantwortung übernehmen will...

cya, mono
bei Antwort benachrichtigen
REPI mono

„ ...interesanter Artikel: Da hat das BSI nicht ganz Unrecht. Mit einer optimalen...“

Optionen

Da ja wohl die meisten Bürger, welche den Ausweis mal an iherm Rechner nutzen werden, erwartbar mit einem Windowssystem unterwegs sind (Virenscanner) und wohl kaum in der Lage sind, ihr System vom Standpunkt der Sicherheit optimal zu konfigurieren, muss der Ausweis in sich so sicher sein, dass selbst mit dem löchrichsten System nichts passieren sollte. Alles Andere ist Zweckoptimismus und Augenwischerei.

Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
Olaf19 Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

Nicht dass ich hier klugscheißen möchte, aber etwas anderes als total durchlöchert hatte ich von Anfang an nicht erwartet.

CCC-Sprecher Dirk Engling : "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen" - das sagt eigentlich schon alles. Und auch das hier macht mich nicht eben glücklich: digitale Unterschriften mit dem elektronischen Personalausweis sind rechtsgültig und der Ausweisbesitzer ist somit in vollem Umfang haftbar.

Ich bin in der privilegierten Situation, dass mein PA sowieso Ende Januar ausläuft. Wenn ich ihn schon im Oktober um 10 Jahre verlängere, verliere ich also nicht viel, und genau das werde ich auch machen.

Ab November gibt es nur noch die Neuen!

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Ma_neva Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

Hallo Olaf,

siehe mal nach oben :-), : 23.09.2010, 17:57 ich habe den Alten neu geholt und der ist bis 2020 nun gültig. Ich hoffe das es nicht so lange dauert bis die durch "Mißbräuche" aufwachen und doch einen sicheren PA mal ausgeben.
Aber Geld habe ich auch gespart, haben nämlich auch für meine Frau das so gemacht, gemeinsam gestern abgeholt, rechnet sich schon :-).

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
Olaf19 Ma_neva

„Hallo Olaf, siehe mal nach oben :- , ich habe den Alten neu geholt und der ist...“

Optionen

Danke für deinen Erfahrungsbericht, Manfred.

Schön zu lesen, dass das bei dir so rund gelaufen ist. Ich glaube, man sollte sich beeilen mit der Aktion, sonst wird der Andrang bei den Ämtern irgendwann riesengroß.

Wobei... längst nicht jeder ist so gut informiert wie die Nickles-Leserschaft. Und wenn mein alter Ausweis noch etliche Jahre gültig wäre, würde ich mir auch überlegen, ob ich das machen soll. Aber wenn der schon im Januar ausläuft, ist das natürlich optimal, da verschenke ich nur wenig.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
dr_rock1 Michael Nickles

„Elektronischer Personalausweis löchriger als gedacht“

Optionen

Ich möchte noch drauf hinweisen, dass die SuisseID nichts mit der Identitätskarte (Personalausweis) zu tun hat.

Das ganze ist also in der Schweiz entkoppelt und kann nicht durch zwangsweise Erneuerung (Ablauf des PA) der Regierung eingeführt werden.

bei Antwort benachrichtigen
MHA dr_rock1

„Ich möchte noch drauf hinweisen, dass die SuisseID nichts mit der...“

Optionen

Wer sagt denn, das man den neuen Perso unbedingt braucht und auch benutzt?

Ich kann mich auch mit meinem Reisepass ausweisen, benötige dann aber eventuell mal eine Meldebestätigung (Polizei, Ämter), da die Adresse im Reisepaß nicht drin steht.

bei Antwort benachrichtigen
MHA

Nachtrag zu: „Wer sagt denn, das man den neuen Perso unbedingt braucht und auch benutzt? Ich...“

Optionen

Bundespersonalausweisgesetz, § 1 Ausweispflicht
(1) Deutsche im Sinne des Artikels 116 Abs. 1 des Grundgesetzes, die das 16. Lebensjahr vollendet haben und nach den Vorschriften der Landesmeldegesetze der allgemeinen Meldepflicht unterliegen, sind verpflichtet, einen Personalausweis zu besitzen und ihn auf Verlangen einer zur Prüfung der Personalien ermächtigten Behörde vorzulegen; dies gilt nicht für Personen, die einen gültigen Pass besitzen und sich durch diesen ausweisen können. Der Ausweispflicht kann auch durch Vorlage eines vorläufigen Personalausweises genügt werden.

bei Antwort benachrichtigen