Handelsblatt

MenüZurück
Wird geladen.

08.08.2011

15:46 Uhr

Begleit-Software

Experte entdeckt kritische ePerso-Sicherheitslücke

Der elektronische Personalausweis steht weiter in der Kritik von Sicherheitsexperten. Ein Computerexperte entdeckte eine weitere Sicherheitslücke bei der Online-Identifizierung mit dem neuen Personalausweis.

Ein Informatik-Student hat die wohl erste kritische Sicherheitslücke beim neuen ePerso entdeckt. Es ist ein Fehler in der dazugehörigen Software. Quelle: Reuters

Ein Informatik-Student hat die wohl erste kritische Sicherheitslücke beim neuen ePerso entdeckt. Es ist ein Fehler in der dazugehörigen Software.

Berlin/HannoverBetrüger könnten sich unter bestimmten Voraussetzungen über das Internet als Inhaber des Dokuments ausgeben, berichtete der Informatikstudent Jan Schejbal. Das Problem liege dabei nicht bei dem elektronischen Dokument selbst, sondern bei einer Beigleit-Software, die viele Nutzer installiert hätten. „Mit dieser Lücke kann der Angreifer den Ausweis konkret missbrauchen“, sagte er der Deutschen Presse-Agentur am Montag. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Behörde erklärte, den Bericht zu prüfen.

Schejbal konstruierte einen mehrstufigen Angriff. Er setzt an einer Browser-Erweiterung an, die Nutzer bestimmter Lesegeräte installieren können. Das Plugin erlaube einer Website, auf den Kartenleser und den darauf liegenden Ausweis zuzugreifen, berichtete Schejbal. Wenn der Angreifer die Geheimzahl (PIN) kenne, könne er den Ausweis nutzen wie das Opfer. Schejbal, Mitglied der Piratenpartei, hatte im Januar demonstriert, wie die PIN ausgespäht werden kann.

Damit der Angriff gelingt, müssen aber mehrere Voraussetzungen erfüllt sein. Nur das Basislesegerät ist dafür anfällig, die teureren Standard- und Komfortlesegeräte sind nicht betroffen. Auf dem Rechner des potenziellen Opfers muss überdies das Plugin OWOK installiert sein - dies sei Teil vieler „Starterkits“, die zum Start des neuen Personalausweises verteilt wurden, erklärte Schejbal. Zudem sei Voraussetzung, dass der Ausweis auf dem Lesegerät liege.

Das Fachmagazin „Heise Online“ bestätigte die Wirksamkeit des Angriffs. „Nach meiner Einschätzung ist es das erste Szenario, das Schadpotenzial hat“, sagte Redakteur Axel Kossel.

Von

dpa

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Account gelöscht!

08.08.2011, 16:38 Uhr

Wie blöd ist das denn?
Dass das Basislesegerät nicht wirklich sicher ist - das ist ein alter Hut.
Und der Experte hat es jetzt auch gemerkt - supi.

K.West

10.09.2013, 17:11 Uhr

Alter Hut und immer noch nicht gelöst, oder wie?

Hatte nicht jemand vor einigen Monaten
einen Link hier bei Handelsblatt gepostet,
für einen internationalen Ersatz-Pass oder -ausweis
als Alternative zum Reisepass
( ggf. ohne Fingerabdrücke? ).

Weiss jemand mehr hierüber?

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×