Einem Team des Informatik-Lehrstuhls der Universität Bonn ist es gelungen, bei der Übertragung einer digitalen Signatur mit der Software Etrust Mail 1.01 von Signtrust, die PIN abzufangen. Das berichtet das Nachrichtenmagazin „Der Spiegel“ in seiner neuesten Ausgabe. Damit erscheint die flächendeckende Einführung der digitalen Signatur, wie sie für die zweite Jahreshälfte von zahlreichen Banken angestrebt wird (ZDNet berichtete), ernsthaft in Gefahr.
Das Gesetz zur digitalen Signatur war Ende Mai in Kraft getreten. Das Paket, das von mittlerweile acht authorisierten Zertifizierungsstellen an die Endkunden bereit gestellt wird, besteht aus Hardware in Form einer Chipkarte, auf der der persönliche Code gespeichert ist, sowie einer Software, die die private PIN enthält. Die digitale Signatur wird aus dem Code und der PIN gebildet. Das Programm wurde von verschiedenen offiziellen Stellen geprüft und für sicher befunden.
Laut dem Spiegel-Bericht hat das Informatiker-Team die Etrust Mail 1.01-Software des Post-Tochterunternehmens Signtrust bereits im Februar überlistet und anschließend die Behörden informiert. Dort jedoch soll sich niemand recht zuständig fühlen. Das Magazin zitiert die Behörden, die Regulierungsbehörde (RegTP) prüfe derzeit den Vorgang. Auf deren Site heißt es momentan: „Aus gegebenem Anlass weist die RegTP darauf hin, dass Anwenderkomponenten, welche zum Beispiel zur Erzeugung beziehungsweise Verifikation digitaler Signaturen eingesetzt werden, nur auf vertrauenswürdigen IT-Systemen betrieben werden sollten.“
Indirekt bestätigt die Regulierungsbehörde somit die Bonner Informatiker: Ausspähen der PIN, Manipulation der Anzeige zu signierender oder signierter Daten und die Veränderung der Anzeige von Prüfergebnissen sei in schlecht gesicherten Systemen möglich. Die digitale Signatur könne somit manipuliert, verfälscht oder ungültig gemacht werden, schreibt die RegTP.
Bei einem Kongress des Bundesamtes für Sicherheit in der Informationstechnik stellten die Autoren nicht nur die Unsicherheit des bisherigen Systems dar, sondern zeigten auch mit dem von ihnen entwickelten Troyan Resistant Secure Signing-Verfahren Lösungsansätze. Nicht zuletzt berichtete sie über die rechtlichen Konsequenzen für die Endanwender. So stehe der Verbraucher in der Beweispflicht zu zeigen, dass ein Eindringling seine Daten manipuliert hat.
Kontakt: RegTP, Tel.: 0228/149921 (günstigsten Tarif anzeigen)
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…