Donnerstag, November 11, 2010

Hackern gelingt Änderung der Personalausweis-Pin

Der Chaos Computer Club hat nachgewiesen, dass die Pin des neuen Personalausweises geändert werden kann. Eigentlich sollte dies nicht möglich sein

Die neue Personalausweis soll ab dem 1. November ausgegeben werden – und gleich eine Wundertüte neuer Online-Anwendungen ermöglichen: Über seine neue elektronische Identitätsfunktion soll er die Fluggastabfertigung und die Kfz-Anmeldung beschleunigen. Er soll bei der elektronischen Steuererklärung, beim Hotel-Check-In, der Alterskontrolle oder dem Online-Abschluss einer Versicherung die Abläufe einfacher machen. Der Bürger legt dafür seinen Ausweis lediglich auf ein Lesegerät und gibt seine Daten per PIN frei.

Weil der neue Perso so viel können soll, klingt die jüngste Erfolgsmeldung des Chaos Computer Clubs (CCC) erst einmal erschreckend. Er wies nach, dass „jedermann“ den Perso „mit einfachen Mitteln“ ferngesteuert nutzen – und dabei auch die PIN ändern kann. Dafür muss die Karte lediglich auf einem Lesegerät liegen. Dabei sollte die Änderung der PIN eigentlich staatlichen Behörden vorbehalten bleiben.

„Alles halb so wild“, heißt es aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Bundesregierung bei der Einführung der neuen Karte begleitet hat. Denn dem CCC gelang die PIN-Änderung nur, weil er den Internetrechner des Benutzers komplett übernommen hatte. Manuel Bach, Ausweisexperte im BSI, erklärt: „Wir sagen seit Jahren, dass man einen Kartenleser nur gemeinsam mit einem aktuellen Virenscanner und einer Firewall betreiben soll. Denn nur dann ist man auf der sicheren Seite.“ Die Wahrscheinlichkeit, dass in der Praxis ein PC vollständig unter der Kontrolle des Angreifers ist, sei „extrem unwahrscheinlich“, wenn man den Rechner auch nur einigermaßen gesichert habe.

CCC-Sprecher Frank Rosengart hält den neuen Personalausweis dennoch für „praxisuntauglich für den normalen Bürger, weil man nicht voraussetzen kann, dass er den PC angemessen absichert“. Manuel Bach hingegen weist darauf hin, dass es heute unsicherer sei mit Nutzernamen und Passwort zu hantieren, da diese wesentlich leichter abgefangen werden können.

Es bleibt allerdings ein anderes, eher rechtliches Problem: Mit dem neuen Ausweis darf man erst einmal keine rechtsverbindlichen Verträge abschließen, die vor Gericht standhalten können. Denn dies ist nur mit so genannten qualifizierten digitalen Signaturen möglich. Für diese muss allerdings nach Auskunft der zuständigen Bundesnetzagentur ein Klasse-3-Lesegerät eingesetzt werden, das einen direkten Kontakt zu dem Chip herstellt. Weil der neue Ausweis mit seinem RFID-Chip aber berührungslos funktioniert, kann er diese rechtliche Vorgabe nicht einhalten. Nur qualifizierte digitale Signaturen jedoch ermöglichen den Abschluss rechtsverbindlicher Verträge über das Internet, wie sie Innenminister de Maizière verspricht. Es dürfte also noch eine Weile dauern, bis Bürger mit ihren Ausweisen tatsächlich Versicherungen online abschließen dürfen.

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite