Massive Schwachstelle bei elektronischem Personalausweis

Der Chaos Computer Club (CCC) und Schweizer Sicherheitsexperten haben Sicherheitsmängel des im November kommenden deutschen elektronischen Personalausweises (ePA) und der in der Schweiz eingesetzten SuisseID aufgezeigt, berichtet Golem.de. Die Experten demonstrierten, wie die Daten der Ausweise mit frei verfügbarer Software aus dem Internet ausgelesen werden können. Mit den abgefangenen Informationen könne man Identitäten fälschen.

Ausspioniert

Um an die benötigten Infos zu gelangen, machten sich die Spezialisten den Angaben nach eine hausgemachte Schwachstelle zunutze. Denn günstigere Smartcard-Lesegeräte, die zur Nutzung des elektronischen Ausweises für Online-Behördengänge von zuhause aus benötigt werden, setzen oftmals voraus, dass die Anwender ihren PIN-Code über die Computertastatur eingeben. Bei ihrer Demonstration nutzten die Sicherheitsspezialisten einfache Schadsoftware, die die Tastatureingaben protokolliert, um so an den PIN-Code zu gelangen.

Gefahr vor Trojanern

Das Problem sei praxisrelevant, weil heutzutage nicht garantiert werden könne, dass jeder Nutzer die Kontrolle über den eigenen PC habe. Ein Computer sei online nun einmal einer Vielzahl an Gefahren ausgesetzt und so könne nicht ausgeschlossen werden, dass eingeschlichene Trojaner brisante Daten wie Passwörter abfangen. (zw)

Link zu Artikel von Zsolt Wilhelm vom 23. September 2010 auf derstandard.at