Elektronischer Personalausweis - CCC findet Sicherheitslücke

Heute abend ab 21:50 will die ARD in der Sendung Plusminus einen Beitrag senden, in dem der Chaos Computer Club das Abfangen der PIN demonstriert.

von Daniel Visarius,
24.08.2010 14:45 Uhr

Am 1. November 2010 werden die neuen elektronischen Personalausweise (ePA) eingeführt. Um am heimischen Computer Geschäfte abzuwickeln und sich identifizieren zu können, gibt es spezielle Lesegeräte. Drei Typen mit unterschiedlichen Sicherheitsstandards hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) für den neuen Pass freigegeben. Die preiswerteste Veriante, der so genannte Basisleser (Cat B) soll demnächst 1,5 Millionen Mal kostenfrei unter der Bevölkerung verteilt werden. Die anfallenden Kosten von 24 Millionen Euro sollen aus dem Konjunkturpaket II fließen.

Genau in diesem Lesegerät hat nun das ARD-Magazin Plusminus in Zusammenarbeit mit dem Chaos Computer Club einen wüsten Sicherheitsfehler ausgemacht: Weil dem Cat-B-Lesegerät eigene Tasten zur sicheren Pin-Eingabe fehlen, muss die PC-Tastatur benutzt werden. Dann braucht ein Angreifer nicht mehr als einen einfacher Keylogger, um die PIN abzufangen. Bei den teureren Lesegeräte Cat S und Cat K scheint dieses Problem nach den bisher verfügbaren Informationen nicht einzutreten. Absurderweise schreibt ausgerechnet das BSI, dass alle drei Lesetypen für den Einsatz freigegeben hat, in seiner technischen Richtlinie zum ePA: »In diesem Zusammenhang können nur Cat-S und Cat-K Leser die Geheimhaltung der PIN des ePAs garantieren. Weiterführend kann nur der Cat-K Leser die authentische Anzeige von Berechtigtem und Berechtigungen bei der eID-Funktion übernehmen.«

Genauere Informationen zum Hack erfahren wir hoffentlich heute abend, wenn Plusminus seinen Beitrag ausstrahlt.


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...

ALLE NEWS, VIDEOS UND SPIELE

Zur Themenseite Viel Spaß auf der Gamescom wünschen