Neulich fragte mich ein Kollege, ob ich schon gehört habe, dass der Chaos Computer Club schon wieder eine Sicherheitslücke beim neuen Personalausweis gefunden hat und ob diesmal etwas dran sei. Die Antwort ist schnell gefunden: Nein, es gibt keine Lücke, und schon gar keine neue. Dementsprechend hat auch das BSI die Kritik am neuen Ausweis erneut zurückgewiesen.
Die CCC-Sicherheitsexperten haben ihr altes Szenario mit zwei ungepatchten Windows-Rechnern, die am selben Switch angeschlossen sind, einem zweiten ARD-Magazin vorgeführt. Nach Plusminus hat jetzt die WDR-Sendung „Bericht aus Brüssel“ dieselbe Story gebracht.
Der Hack ist relativ einfach: Man nutzt irgendeine Lücke, um mit einem Programm wie Metasploit einen „Payload“ auf den zweiten Rechner zu spielen. Als Payload nimmt man ein Spionageprogramm wie Gh0st RAT, das die Kontrolle über den fremden PC übernimmt und eine Keylogger-Funktion beinhaltet.
Zugegeben, mit Gh0st RAT haben es mutmaßlich aus China stammende Hacker geschafft, die Rechner im Büro des Dalai Lama zu infizieren. Sie konnten sogar Webcam und Mikrofon als Wanze einsetzen.
Dennoch ist das Ganze nicht so einfach, wie es der CCC glauben machen will. Da ist zum einen die fehlende NAT-Grenze. Einen Rechner mit der IP-Adresse 192.168.0.1 von einem anderen mit der Adresse 192.168.0.2 im selben Netz anzugreifen ist um ein Vielfaches leichter als über das Internet von 192.0.2.171 auf 192.168.0.1 zu gelangen. Zum anderen gibt es noch Personal Firewalls und sonstige Antimalware-Programme.
Grundsätzlich muss ein Angreifer aus dem Internet den Nutzer überreden, eine Schadsoftware wie einen Loader für Gh0st RAT selbst zu installieren. Das ist alles andere als unmöglich. Aber eigentlich hat das Ganze mit dem Personalausweis wenig zu tun. Wer sich in einem fremden System eines ahnungslosen Nutzers eingenistet hat, kann diesem eine Menge Schaden zufügen, ganz gleich, ob er einen neuen Personalausweis benutzt oder nicht. Hinzu kommt, dass man Zugang zum Ausweis benötigt und die PIN kennen muss. Nimmt der Nutzer seinen Personalausweis vom Lesegerät, ist die PIN alleine wertlos.
Das BSI hat im Übrigen keine Chancen, sich zu wehren und die Dinge klarzustellen. Beim Bürger kommen Sicherheitsratschläge nur stark gefiltert an. So kann man beispielsweise in der Augburger Allgemeinen nachlesen, dass BSI habe gesagt, der einzige Weg sich vor Angriffen zu schützen, sei nach wie vor die Schadsoftware bei seinem Computer stets auf dem aktuellen Stand zu halten.
Zwar wirkt das BSI manchmal recht hilflos bei seinen Sicherheitsratschlägen, die oft lauten, man soll bestimmte Programme wie den Internet Explorer nicht mehr verwenden, aber von einer Empfehlung, alte Viren durch aktuelle zu ersetzen, habe ich noch nie gehört.
Die ganze Personalweisdebatte benötigt mehr Kompetenz und mehr Sachlichkeit. Sicherlich werden Hacker in dem neuen High-Tech-Dokument früher oder später Schwachstellen entdecken. Bis es soweit ist, sollte man sich darauf konzentrieren, sie zu finden und nicht von ARD-Magazin zu ARD-Magazin ziehen, um einen Angriff zu zeigen, der mit dem Personalausweis eigentlich nichts zu tun hat.
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…