Sicherheit beim Personalausweis: Alter Wein in neuen Schläuchen

Neulich fragte mich ein Kollege, ob ich schon gehört habe, dass der CCC schon wieder eine Sicherheitslücke beim neuen Personalausweis gefunden hat und ob diesmal etwas dran sei. Die Antwort ist schnell gefunden: Nein, es gibt keine Lücke, und schon gar keine neue.

Neulich fragte mich ein Kollege, ob ich schon gehört habe, dass der Chaos Computer Club schon wieder eine Sicherheitslücke beim neuen Personalausweis gefunden hat und ob diesmal etwas dran sei. Die Antwort ist schnell gefunden: Nein, es gibt keine Lücke, und schon gar keine neue. Dementsprechend hat auch das BSI die Kritik am neuen Ausweis erneut zurückgewiesen.

Die CCC-Sicherheitsexperten haben ihr altes Szenario mit zwei ungepatchten Windows-Rechnern, die am selben Switch angeschlossen sind, einem zweiten ARD-Magazin vorgeführt. Nach Plusminus hat jetzt die WDR-Sendung „Bericht aus Brüssel“ dieselbe Story gebracht.

Der Hack ist relativ einfach: Man nutzt irgendeine Lücke, um mit einem Programm wie Metasploit einen „Payload“ auf den zweiten Rechner zu spielen. Als Payload nimmt man ein Spionageprogramm wie Gh0st RAT, das die Kontrolle über den fremden PC übernimmt und eine Keylogger-Funktion beinhaltet.

Zugegeben, mit Gh0st RAT haben es mutmaßlich aus China stammende Hacker geschafft, die Rechner im Büro des Dalai Lama zu infizieren. Sie konnten sogar Webcam und Mikrofon als Wanze einsetzen.

Dennoch ist das Ganze nicht so einfach, wie es der CCC glauben machen will. Da ist zum einen die fehlende NAT-Grenze. Einen Rechner mit der IP-Adresse 192.168.0.1 von einem anderen mit der Adresse 192.168.0.2 im selben Netz anzugreifen ist um ein Vielfaches leichter als über das Internet von 192.0.2.171 auf 192.168.0.1 zu gelangen. Zum anderen gibt es noch Personal Firewalls und sonstige Antimalware-Programme.

Grundsätzlich muss ein Angreifer aus dem Internet den Nutzer überreden, eine Schadsoftware wie einen Loader für Gh0st RAT selbst zu installieren. Das ist alles andere als unmöglich. Aber eigentlich hat das Ganze mit dem Personalausweis wenig zu tun. Wer sich in einem fremden System eines ahnungslosen Nutzers eingenistet hat, kann diesem eine Menge Schaden zufügen, ganz gleich, ob er einen neuen Personalausweis benutzt oder nicht. Hinzu kommt, dass man Zugang zum Ausweis benötigt und die PIN kennen muss. Nimmt der Nutzer seinen Personalausweis vom Lesegerät, ist die PIN alleine wertlos.

Das BSI hat im Übrigen keine Chancen, sich zu wehren und die Dinge klarzustellen. Beim Bürger kommen Sicherheitsratschläge nur stark gefiltert an. So kann man beispielsweise in der Augburger Allgemeinen nachlesen, dass BSI habe gesagt, der einzige Weg sich vor Angriffen zu schützen, sei nach wie vor die Schadsoftware bei seinem Computer stets auf dem aktuellen Stand zu halten.

Zwar wirkt das BSI manchmal recht hilflos bei seinen Sicherheitsratschlägen, die oft lauten, man soll bestimmte Programme wie den Internet Explorer nicht mehr verwenden, aber von einer Empfehlung, alte Viren durch aktuelle zu ersetzen, habe ich noch nie gehört.

Die ganze Personalweisdebatte benötigt mehr Kompetenz und mehr Sachlichkeit. Sicherlich werden Hacker in dem neuen High-Tech-Dokument früher oder später Schwachstellen entdecken. Bis es soweit ist, sollte man sich darauf konzentrieren, sie zu finden und nicht von ARD-Magazin zu ARD-Magazin ziehen, um einen Angriff zu zeigen, der mit dem Personalausweis eigentlich nichts zu tun hat.

Themenseiten: Analysen & Kommentare

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Sicherheit beim Personalausweis: Alter Wein in neuen Schläuchen

Kommentar hinzufügen
  • Am 28. September 2010 um 18:28 von Mathias

    Nicht nur Fernsehen gucken
    Aufgrund der Komplexität hat der WDR nur Teile davon gesendet, was die Hacker gezeigt haben. Einem technischen Redakteur ist (anders als dem Durchschnittsbürger) allerdings zuzumuten, die technischen Ausführungen auf ccc.de zu verstehen und nicht nur einen vereinfachenden Fernsehbeitrag anzusehen.

    Auch die weiterführenden Links dort zu lesen, hätte ich von einem Journalisten wohl erwarten können.

  • Am 28. September 2010 um 21:03 von Todd

    Sicherheit des Kartenlesers
    Es wird vom CCC auch nicht die Sicherheit des nPA an sich angekreidet. Das BSI könnte aber darauf hinweisen, dass mind. Klasse 2 Kartenleser mit eigenem Tastenfeld zu verwenden sind. Die dann erforderliche Man-in-the-middle Angriffsmethode ist um ein vielfaches komplexer. Bei Klasse 3 Lesern, deren Anzeigefeld auch noch eine unabhängige Rückmeldung gibt, erhöht sich die Sicherheit nochmals.

    Aber nein, die ersten nPA-Besitzer sollen sogar noch ein Billig-Klasse-1-Leser gestellt bekommen.

    Herzlichen Glückwunsch zu soviel Sicherheitsignoranz.

  • Am 29. September 2010 um 11:29 von Andreas

    Schadsoftware aktualisieren
    „…der einzige Weg sich vor Angriffen zu schützen, sei nach wie vor die Schadsoftware bei seinem Computer stets auf dem aktuellen Stand zu halten. “

  • Am 29. September 2010 um 14:19 von icke

    Mehr Kompetenz und mehr Sachlichkeit.
    Stimme ich Ihnen zu, fangen Sie am besten selbst schonmal an :) Ich frage mich ja, woher Sie diese ganzen Detailinformationen bzgl. des technischen Aufbaus hatten. Ist das im Fernsehbericht ersichtlich? Auch die Informationen bzgl des Patchlevels der hier involvierten Systeme – können Sie da bitte Quellen nennen?

    Ferner würde mich noch interessieren woher Sie genau wissen, ob NAT nun ein Hindernis sei oder nicht. Sie schreiben ja, die Systeme hingen am selben Switch – können Sie Quellen nennen, die Ihre Thesen stützen? Und selbst wenn die Rechner am selben Switch hängen würden: Worauf stützt sich Ihre Annahme, das Setup sei nicht in der Lage via Internet zu kommunizieren?

    Vielen Dank für die Infos schonmal im voraus!

  • Am 29. September 2010 um 20:31 von toto

    Rechtschreibfehler
    Wer hat diesen Beitrag geschrieben?
    Ein 5. Klässler?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *