Neulich fragte mich ein Kollege, ob ich schon gehört habe, dass der Chaos Computer Club schon wieder eine Sicherheitslücke beim neuen Personalausweis gefunden hat und ob diesmal etwas dran sei. Die Antwort ist schnell gefunden: Nein, es gibt keine Lücke, und schon gar keine neue. Dementsprechend hat auch das BSI die Kritik am neuen Ausweis erneut zurückgewiesen.
Die CCC-Sicherheitsexperten haben ihr altes Szenario mit zwei ungepatchten Windows-Rechnern, die am selben Switch angeschlossen sind, einem zweiten ARD-Magazin vorgeführt. Nach Plusminus hat jetzt die WDR-Sendung „Bericht aus Brüssel“ dieselbe Story gebracht.
Der Hack ist relativ einfach: Man nutzt irgendeine Lücke, um mit einem Programm wie Metasploit einen „Payload“ auf den zweiten Rechner zu spielen. Als Payload nimmt man ein Spionageprogramm wie Gh0st RAT, das die Kontrolle über den fremden PC übernimmt und eine Keylogger-Funktion beinhaltet.
Zugegeben, mit Gh0st RAT haben es mutmaßlich aus China stammende Hacker geschafft, die Rechner im Büro des Dalai Lama zu infizieren. Sie konnten sogar Webcam und Mikrofon als Wanze einsetzen.
Dennoch ist das Ganze nicht so einfach, wie es der CCC glauben machen will. Da ist zum einen die fehlende NAT-Grenze. Einen Rechner mit der IP-Adresse 192.168.0.1 von einem anderen mit der Adresse 192.168.0.2 im selben Netz anzugreifen ist um ein Vielfaches leichter als über das Internet von 192.0.2.171 auf 192.168.0.1 zu gelangen. Zum anderen gibt es noch Personal Firewalls und sonstige Antimalware-Programme.
Grundsätzlich muss ein Angreifer aus dem Internet den Nutzer überreden, eine Schadsoftware wie einen Loader für Gh0st RAT selbst zu installieren. Das ist alles andere als unmöglich. Aber eigentlich hat das Ganze mit dem Personalausweis wenig zu tun. Wer sich in einem fremden System eines ahnungslosen Nutzers eingenistet hat, kann diesem eine Menge Schaden zufügen, ganz gleich, ob er einen neuen Personalausweis benutzt oder nicht. Hinzu kommt, dass man Zugang zum Ausweis benötigt und die PIN kennen muss. Nimmt der Nutzer seinen Personalausweis vom Lesegerät, ist die PIN alleine wertlos.
Das BSI hat im Übrigen keine Chancen, sich zu wehren und die Dinge klarzustellen. Beim Bürger kommen Sicherheitsratschläge nur stark gefiltert an. So kann man beispielsweise in der Augburger Allgemeinen nachlesen, dass BSI habe gesagt, der einzige Weg sich vor Angriffen zu schützen, sei nach wie vor die Schadsoftware bei seinem Computer stets auf dem aktuellen Stand zu halten.
Zwar wirkt das BSI manchmal recht hilflos bei seinen Sicherheitsratschlägen, die oft lauten, man soll bestimmte Programme wie den Internet Explorer nicht mehr verwenden, aber von einer Empfehlung, alte Viren durch aktuelle zu ersetzen, habe ich noch nie gehört.
Die ganze Personalweisdebatte benötigt mehr Kompetenz und mehr Sachlichkeit. Sicherlich werden Hacker in dem neuen High-Tech-Dokument früher oder später Schwachstellen entdecken. Bis es soweit ist, sollte man sich darauf konzentrieren, sie zu finden und nicht von ARD-Magazin zu ARD-Magazin ziehen, um einen Angriff zu zeigen, der mit dem Personalausweis eigentlich nichts zu tun hat.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…