Neuer Angriff auf elektronischen Personalausweis entwickelt

Jan Schejbal von der Piratenpartei hat erneut eine Sicherheitslücke im neuen Personalausweis ausfindig gemacht. Damit können entfernte Websites ohne Wissen des Benutzers Daten aus dem Dokument auslesen. Der Angriff funktioniert mit Lesegeräten der Firma Reiner SCT und dem sogenannten OWOK-Plug-in. Letzteres ermöglicht es, via Javascript beliebige Befehle an die Karte zu senden.

Die OWOK-Software ist zur Nutzung des Personalausweises nicht erforderlich, jedoch wurde sie mit einem Starterkit der ComputerBILD verteilt, das zu deren Installation auffordert. Schejbal geht daher davon aus, dass dieses Browser-Plug-in auf vielen Rechnern vorhanden ist.

In einem ersten Schritt muss der Angreifer den arglosen Nutzer auf eine Website locken, die die AusweisApp vortäuscht und zur PIN-Eingabe auffordert. Das könnte etwa eine Website sein, die Inhalte ab 18 verspricht wie die von Schejbal bereits im Januar entwickelte Demo-Site fsk18.piratenpartei.de.

Schejbal wurde damals vorgeworfen, dass diese Website „nur“ die PIN des Opfers stehle, die für einen Angreifer alleine wertlos sei, da er ja keinen Zugriff auf den Ausweis selbst habe. Nun zeigt Schejbal, dass eine betrügerische Website, die in Besitz der PIN gekommen ist, mithilfe des OWOK-Plug-in auch die im Ausweis gespeicherten Daten auslesen kann. Dazu muss der Angreifer nur geschickt mit Javascript umgehen können.

Schejbal räumt ein, dass technisch versierte Nutzer stutzig werden müssten, da einerseits das AusweisApp-Symbol nicht in der Taskleiste erscheine und andererseits bei bereits erfolgter Altersverifikation die Website eigentlich keine Kommunikation mehr mit dem Lesegerät anfragen sollte. Die Mehrheit der Anwender dürfte jedoch auf den Betrug hereinfallen.

Die Angreifer könnten nun Rechtsgeschäfte über das Internet im Namen des Opfers tätigen. Da eine Identitätsprüfung via Personalausweis vor Gericht als sehr starker Anscheinsbeweis gelte, sei es schwierig nachzuweisen, dass man Opfer eines Betrugs geworden sei.

Schejbal empfiehlt grundsätzlich auf die Nutzung des neuen Personalausweises im Internet zu verzichten. Wer es dennoch tut, sollte sich ein sogenanntes Komfortlesegerät mit eigener Tastatur zulegen. Auf jeden Fall müssten alle Browser-Plugins entfernt werden, die Zugang zu Chipkartenlesern ermöglichen, ganz gleich von welchem Hersteller.

Kritik übt Schejbal auch an Reiner SCT. Das Unternehmen müsse die Sicherheitsabfrage verbessern und deutlicher formulieren. Ferner müsse ein Plug-in eingesetzt werden, dass nur vordefinierte Funktionen erlaube.