Hacker des Chaos Computer Clubs demonstrierten im WDR-Magazin „Bericht aus Brüssel“ erneut einen Angriff auf den Heimcomputer eines Ausweisbesitzers. Dieses Mal zeigten sie, dass man so auch die PIN des elektronischen Personalausweises ändern kann.
Wie schon in dem Beitrag der ARD-Sendung Plusminus infizieren die Hacker den Computer des Ausweisbesitzers mit einer Spionagesoftware, einem sogenannten Keylogger, der alle Eingaben, die über die Computertastatur getätigt werden, mitschneiden kann. Tippt man seine Ausweis-PIN also über die Computertastatur ein, weil das Lesegerät keine eigene Zahlentastatur besitzt, so kann ein Keylogger die PIN mitlesen und speichern. So lange der Ausweis auf dem Lesegerät liegt, kann ein Hacker ihn mitbenutzen, indem er den Computer des Ausweisbesitzers mit einer Schadsoftware fernsteuert.
Neu ist, dass es dem CCC dieses Mal auch gelungen ist, die mitgelesene PIN dann aus der Ferne zu ändern.
Darüber hinaus haben Schweizer Sicherheitsexperten gezeigt, dass sich die sogenannte SuisseID ebenfalls fernsteuern lässt. Bei der SuisseID handelt es sich um einen elektronischen Identitätsnachweis der Schweiz, mit dem unter anderem eine qualifizierte elektronische Signatur möglich ist. Den Hackern gelang es, ein PDF-Dokument mit einer fremden Signatur zu signieren. Es stellt sich allerdings die Frage, ob sich dieser Angriff auf das deutsche System übertragen lässt.
Reaktion des BSI
Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) hat die Sicherheitsbedenken in einer Pressemitteilung zurückgewiesen. Ein Krimineller könne beim neuen Personalausweis allein durch Kenntnis der Ausweis-PIN der Angreifer den Personalausweis nicht missbrauchen, da er zur Nutzung der Online-Ausweisfunktion zudem Zugriff auf die Ausweiskarte selbst benötigt.
Das BSI empfiehlt daher, den Ausweis nur so lange wie unbedingt notwendig auf dem Lesegerät liegen zu lassen, damit Hacker ihn nicht mittels Schadsoftware mitbenutzen können.
Darüber hinaus handele es ich bei der Online-Ausweis-Funktion (im Gegensatz zur optionalen Signaturfunktion) nicht um eine rechtsverbindliche Unterschrift
. Außerdem zerstreut das BSI die Bedenken um die Signaturfunktion der SuisseID:
Die Funktionen des deutschen Personalausweises und der Schweizer SuisseID sind technisch grundlegend verschieden gestaltet und nicht miteinander vergleichbar, insbesondere lassen sich Aussagen über die SuisseID nicht auf das deutsche System übertragen.
Ist der neue Personalausweis also unsicher?
Die Verschlüsselung des elektronischen Personalausweises ist auf dem aktuellen Stand der Technik. Constanze Kurz vom Chaos Computer Club hat das neue Ausweisdokument in einem Interview mit dem Newsletter „Flaschenpost“ der Piratenpartei als datenschutzfreundlich und kryptographisch durchdacht
bezeichnet. Ähnlich bewertet Pavel Mayer die Sicherheit der Kryptographie in seinem Blog:
Was also die eingesetzten kryptographischen Verfahren angeht, gibt es nichts auszusetzten, und die Schlüssellängen sind pragmatisch gewählt – nicht paranoid, aber nach bestem Wissen derzeit und wohl für die nächsten Jahre sicher.
Aus diesem Grund ist es auch bisher weder gelungen, elektronische Personalausweise zu klonen oder zu fälschen, noch darauf gespeicherte Daten auszulesen.
Das eigentliche Problem liegt an anderer Stelle: Wenn die Online-Ausweis-Funktion auf einem schlecht abgesicherten Heimcomputer und mit einem sogenannten „Basis-Kartenlesegerät“ ohne eigene Tastatur betrieben wird, könnten Hacker den PC mit Schadsoftware infizieren und diese zum Ausspähen unter anderem der PIN verwenden. Dieser Angriff ist jedoch nicht neu. Auch vor dem neuen Personalausweis verursachten Kriminelle mit derartigen Angriffen hohe Schäden. Eines der Hauptangriffsziele ist und war das Online-Banking. Auch der Chaos Computer Club schreibt in seiner Pressemitteilung:
Die dafür ausgenutzten Sicherheitslücken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen.
Es handelt sich also nicht um ein Sicherheitsproblem des elektronischen Personalausweises, sondern vielmehr um das allgemeine Problem zu schlecht gegen Malware abgeschirmter Heimcomputer.
Problematisch ist dies insbesondere deshalb, weil viele Computerbenutzer nicht das notwendige Fachwissen besitzen, wie ein Computer wirkungsvoll vor Angriffen aus dem Internet geschützt werden kann. Im neuen Personalausweisgesetz werden sie jedoch zur Ergreifung von Sicherheitsmaßnahmen nach den aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) verpflichtet. In §27 Abs. 3 PAuswG heißt es:
Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.
Kritiker sind der Meinung, das Sicherheitsmanagement des neuen Personalausweises werde auf die Benutzer abgewälzt.
Funktioniert der Angriff auf die elektronische Signatur auch mit dem elektronischen Personalausweis?
Im Fernsehbeitrag behaupteten die Hacker, sie könnten auch mit dem elektronischen Personalausweis Dokumente mit fremden elektronischen Signaturen signieren. Ob das nach dem selben Prinzip wie bei dem in dem Beitrag gezeigten Angriff auf die SuisseID funktioniert, ist allerdings fraglich. Auf remote-exploit.org erklären sie die Hintergründe des Angriffsszenarios. Zur besseren Verständlichkeit ist auch ein Video verfügbar. Dabei wird deutlich, dass die Angreifer mit Hilfe eine Software die Kontrolle über am Computer des Opfers angeschlossene USB-Geräte – in diesem Fall über den Schweizer Signatur-USB-Stick – übernehmen. Nachdem sie die Signatur-PIN des Opfers ausgespäht haben, lösen sie die Signaturfunktion der SuisseID aus der Ferne aus.
Dieser Angriff kann nicht eins zu eins auf den elektronischen Personalausweis übertragen werden. Da für die qualifizierte elektronische Signatur ein Lesegerät der Klasse 3 notwendig ist, welches ein eigenes PIN-Pad zur Eingaber der Geheimzahl besitzt, ist ein Ausspähen der PIN über einen einfachen Keylogger nicht möglich. Das Auslösen der Signaturfunktion erfordert die Eingabe der PIN direkt am Lesegerät. Dieser Vorgang kann (sofern die Firmware des Lesegeräts nicht manipuliert wurde) nicht über Malware auf dem Computer vorgenommen werden.
Es ist also unvorstellbar, dass die Hacker die Signaturfunktion des elektronischen Personalausweises auf die gleiche Weise wie die SuisseID missbrauchen können.
Andere Angriffsszenarien sind jedoch denkbar. Beispielsweise kann der Inhalt von zu signierenden Objekten durch Malware verändert werden, bevor die Daten zum Signieren an das Lesegerät übertragen werden, meint Sicherheitsexperte Gunnar Porada. Allerdings ist auch das nur auf schlecht abgesicherten Computern möglich.
Wie kann ich mich vor den Angriffen schützen?
Das gezeigte Sicherheitsproblem kann umgangen werden, indem nur sogenannte „Komfort-Kartenlesegeräte“ verwendet werden, die eine eigene Zahlentastatur besitzen. So muss die PIN nicht über die Computertastatur eingegeben werden und kann nicht von einem Keylogger mitgelesen werden. Darüber hinaus sollte man regelmäßig alle verfügbaren Sicherheitsupdates für Betriebssystem und installierte Software einspielen.
Das BSI empfiehlt darüber hinaus den Einsatz einer Personal Firewall und aktueller Antivirensoftware.
Die Nutzung der Online-Ausweis-Funktion ist übrigens freiwillig. Sie können bei der Beantragung eines neuen Personalausweises wählen, ob die Online-Ausweis-Funktion aktiviert werden soll. Sie kann auch nachträglich jederzeit in der Personalausweisbehörde aktiviert und deaktiviert werden. (Eine nachträgliche Aktivierung kostet 6 €.)