Abo
  • IT-Karriere:

BSI

Missbrauch der elektronischen Ausweisfunktion nicht möglich

Um die elektronische Ausweisfunktion zu missbrauchen, müssten Angreifer nicht nur die PIN per Keylogger erobern, sie müssten auch den neuen Personalausweis stehlen, weist das BSI die Kritik des Chaos Computer Clubs zurück.

Artikel veröffentlicht am ,
BSI: Missbrauch der elektronischen Ausweisfunktion nicht möglich

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsbedenken bei der Verwendung des neuen elektronischen Personalausweises zurückgewiesen. Tests des Chaos Computer Clubs und des ARD-Magazins Plusminus hatten ergeben, dass die Basislesegeräte ohne eigene Tastatur, die die Bundesregierung ausgeben will, keinen Schutz bieten, wenn der Computer des Anwenders durch einen Keylogger verseucht ist. Die Tastatureingabe der sechsstelligen PIN, die zur Onlineauthentifizierung mit dem neuen Personalausweis notwendig ist, kann so mitgelesen werden.

Stellenmarkt
  1. Hays AG, Hamburg
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

"Angriffe mit Schadsoftware wie einem Trojanischen Pferd sind bei der Nutzung des Internets grundsätzlich möglich", argumentierte das BSI. Doch im Vergleich zur üblichen Ein-Faktor-Authentifizierung mittels Benutzername und Passwort biete der neue Ausweis auch in Verbindung mit einem Basislesegerät "einen erheblichen Sicherheitsgewinn".

Durch das Mitlesen der PIN sei auch ein Missbrauch des Ausweises nicht möglich, denn zur Nutzung der elektronischen Ausweisfunktion sei die Zwei-Faktor-Authentifizierung notwendig. "Neben der Kenntnis der PIN muss der Angreifer dafür auch Zugriff auf den Ausweis selbst haben", erklärte die Behörde. Durch eine Gesetzesänderung dürfen beispielsweise Hotels oder Campingplätze mit der Einführung des E-Personalausweises nicht länger verlangen, dass ein Gast seinen Ausweis hinterlegt, weil dieser wichtige ID-Funktionen hat.

Gegen Trojanerangriffe sollten sich Anwender durch eine Firewall und einen leistungsfähigen Virenscanner schützen und ihre Anwendungen durch regelmäßige Sicherheitsupdates auf dem aktuellen Stand halten, rät das BSI.

Wolfgang Wieland, Grünen-Sprecher für innere Sicherheit, kritisierte, dass die Bundesregierung mit den kostenlos verteilten, einfachen Lesegeräten neue Sicherheitslücken öffne. Den Schaden würden vor allem technisch wenig versierte Nutzer haben, die mit dem neuen Ausweis zwangsbeglückt würden.

Bundesinnenminister Thomas de Maizière (CDU) signalisierte im Gespräch mit Plusminus jedoch ein mögliches Entgegenkommen: "Wir arbeiten gerne an besseren Lesegeräten. Die können gerne auch noch ein bisschen teurer und sicherer werden."

Nachtrag vom 25. August 2010, 15:07 Uhr

Nach Ansicht der FDP kann der neue elektronische Personalausweis nicht wie geplant zum 1. November 2010 eingeführt werden, wenn sich die derzeit diskutierten Sicherheitsbedenken bestätigen. "Sollten die Sicherheitsprobleme nicht zuverlässig ausgeschlossen werden können, muss die Ausgabe der elektronischen Ausweise verschoben werden", sagte FDP-Fraktionsvizechefin Gisela Piltz der Rheinischen Post. Die Probleme müssten "sehr ernst" genommen werden, sagte Piltz. Deshalb gehöre die Ausgabe der einfachen Lesegeräte auf den Prüfstand. "Der Bundesinnenminister muss die Vorwürfe gründlich und unvoreingenommen prüfen und schnellstmöglich dem Innenausschuss des Bundestages hierüber einen Bericht erstatten", so die Liberale.



Anzeige
Spiele-Angebote
  1. (-79%) 3,20€
  2. 4,99€
  3. (-68%) 9,50€

Zzap 22. Sep 2010

Der NEUE (elektronische) Ausweis wird mehr kosten. Wenn Du jetzt einen beantragt hast...

LockerBleiben 27. Aug 2010

Ganz bestimmt! ;)

Tolle Collecte 26. Aug 2010

Es ginge, wenn jede Transaktion beim Minister geloggt und per Email dem Opfer mitgeteilt...

JemandAnderes 26. Aug 2010

Nein. Kannst du dann gerne mal in der Praxis probieren!

blubb__ 26. Aug 2010

Kümmert sich die Bundesregierung auch darum, dass Hotels im Ausland diese Regelung zu...


Folgen Sie uns
       


Teamfight Tactics - Trailer (Gameplay)

Die Helden kämpfen automatisch, trotzdem sind Dota Unerlords und League of Legends: TeamfightTactics richtig spannende Games - die Golem.de im Video ausprobiert hat.

Teamfight Tactics - Trailer (Gameplay) Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    •  /