Heute stellen wir einen sehr lesenswerten Artikel der Website computerwoche.de vor. Dieser Artikel beleuchtet sehr detailliert die möglichen Sicherheitsrisiken bei der Verwendung des neuen Personalausweises und kann dabei auch mit Beispielszenarien für das Ausnutzen der Sicherheitslücken aufwarten.
Zunächst wird Frank Rosengart vom CCC zitiert, der die Verschlüsselung der Daten auf dem RFID-Chip als auf dem aktuellen Stand der Technik
bezeichnet. Allerdings wird auch die lückenlose biometrische Erfassung der Bevölkerung
angeprangert, welche durch die digitale Speicherung des biometrischen Gesichtsbilds und (auf freiwilliger Basis) auch der Fingerabdrücke möglich wird.
Nach einem kurzen Exkurs über neue äußerliche Sicherheitsmerkmale, welche die Fälschungssicherheit erhöhen sollen geht es um die Sicherheitslücken bei der Online-Ausweis-Funktion und der Signaturfunktion.
Sicherheitsexperte Gunnar Porada erläutert, dass der größte Schwachpunkt hinsichtlich der Sicherheit der Heimcomputer des Ausweisbesitzers ist:
Das Problem liegt hier darin, dass die vom BMI als „Basis-Lesegeräte“ bezeichneten Ausweis-Lesegeräte der Sicherheitsklasse 1 entsprechen, d.h. sie haben keine eigene Tastatur, auf der man die Ausweis-PIN eingeben kann. Die Eingabe der PIN muss daher über die Computertastatur erfolgen. Allerdings kann ein sogenannter Key-Logger (eine Art von Schadsoftware) diese Eingabe mitlesen.
Dieses Problem ist zwar schon länger bekannt. Allerdings hat man sich lange Zeit damit beruhigt, dass eine ausgespähte PIN alleine ja nicht reicht, um Schaden anzurichten. Ein Krimineller müsste zusätzlich den Personalausweis stehlen.
Porada hat jedoch ein Angriffsszenario entwickelt, das ohne den Diebstahl des Ausweises funktioniert und sich zu allem Übel auf dem heimischen Computer des arglosen Ausweisbesitzer abspielt, ohne dass dieser es bemerkt. Dabei wird zunächst die PIN durch den Key-Logger ausgespäht. Anschließend identifiziert sich ein Trojaner gegenüber einer Website mit dem Ausweis, der noch auf dem Lesegerät liegt, und der eben ausgespähten PIN. Der Bürgerclient (die für die Online-Identifikation notwendige Software) wird praktisch von dem Trojaner bedient.
Der jeweilige Web-Server geht davon aus, dass „ich mich als Person korrekt identifiziert habe“. Tatsächlich aber habe der Anwender nur seinen Personalausweis auf dem Reader liegen lassen. […] Jedes Mal, wenn ich dann meinen Personalausweis für irgendeine Aktion im Internet nutze, protokolliert der Trojaner mit und kann darüber hinaus Dinge machen, die ich gar nicht kontrollieren kann.
Dann kommt ein weiteres Problem auf: Als Benutzer steht man nun in der Beweispflicht. Es dürfte aber schwierig werden, nachzuweisen, dass eine Schadsoftware ohne Zutun des Nutzers seine Daten missbraucht hat. Darüber hinaus ist der Ausweisinhaber verpflichtet, seinen Computer nach Vorgaben des BSI abzusichern. Ihm wird damit eine gesetzliche Eigenverantwortung für die Sicherheit seines Heimcomputers zugeschrieben.
Für die Signaturfunktion, mit der man rechtsgültige Verträge abschließen können soll, hat Porada ein ähnliches Szenario entwickelt. Will der Benutzer ein Dokument signieren, so wird dieses durch den Bürgerclient an den Personalausweis geschickt, dort signiert und dann zusammen mit einer Signaturprüfsumme zurück übermittelt.
Der Trojaner unterbricht bei diesem Vorgang den Kommunikationskanal (durch DLL-Hooking) zwischen dem Reader des Personalausweises und dem PC und unterlegt heimlich seine eigenen Daten. Die werden dann signiert.
Mit anderen Worten: Der Anwender möchte beispielsweise ein Word-Dokument signieren und benutzt dazu die entsprechende Funktion im Bürgerclient. Der auf dem PC vorhandene Trojaner ersetzt das Word-Dokument aber kurz vor der Übermittlung durch eine Banküberweisung. Diese wird dann durch den Ausweis signiert.
Die Behörden kennen das Problem, für das es noch keine Lösungen gibt.
Und wieder hat hier der Nutzer das Problem, dass eine Signatur zu einem rechtsgültigen Vertrag führt und er nicht nachweisen kann, einen Vertrag nicht selbst signiert zu haben.
Pingback: Staat.de » Blog Archive » Bundeskabinett plant Eckpunkte für Geo-Dienste im Herbst
Pingback: Roth Audio FatFones II – In-Ear-Ohrhörer -Test und Infos | TECH.de
Pingback: Der neue Personalausweis – schon geknackt » Personalausweis, Neuer, German, Sicherheit, Daten, Thomas » Smirne's Blog
Pingback: WDR Bericht aus Brüssel am 22.09.2010 « Der Elektronische Personalausweis