Wie heise online berichtet, ist es einem Hacker namens Colibri gelungen, die Firmware eines Kartenlesers der Sicherheitsklasse 3 durch eine manipulierte Version zu ersetzen. Ein Angreifer könnte auf diese Weise gefälschte Daten auf dem Display anzeigen oder sogar die PIN, die für das Signieren verwendet wird, auslesen.
Zwar werden derartige Geräte vor ihrer Zulassung einer strengen Sicherheitsüberprüfung unterzogen. Auch das BSI kam zu dem Schluss, dass das betroffene Gerät den Anforderungen des sehr strengen deutschen Signaturgesetzes genügen würde.
Dieser Fall wirft laut heise Security ein schlechtes Licht auf Sicherheitszertifizierungen von Systemen und Software
. Darüber hinaus lässt er Zweifel an der Sicherheit der neuen Anwendungsmöglichkeiten des elektronischen Personalausweises aufkommen.
Außerdem scheint der vom Hacker Kolibri demonstrierte Angriff für einen geübten Hacker keine unüberwindbare Hürde zu sein:
Gegenüber heise Security schätzte Colibri den Schwierigkeitsgrad seines Hacks als mittelmäßig ein.
