Angreifer können den elektronischen Personalausweis aus der Ferne nutzen

Mit dem Wissen um die PIN könne ein Angreifer dann den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweises ausgeben, ohne dabei auf die übertragenen Daten Zugriff zu nehmen. Zudem könne der Angreifer die PIN des Ausweises ändern, womit der rechtmäßige Besitzer diesen selbst nicht mehr entsprechend nutzen kann.

Stellenmarkt
  1. Web-Security Architect (m/w/d)
    FLYERALARM Bit Labs GmbH, Berlin
  2. Trainee (m/w/d) Informatik
    Helvetia Schweizerische Versicherungsgesellschaft AG, Frankfurt am Main
Detailsuche

"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich", sagt CCC-Sprecher Dirk Engling.

Das Bundesinnenministerium hat im Rahmen des Großprojekts die einfachen Basislesegeräte ohne eigene Tastatur erworben, die per Schadsoftware ausgeschnüffelt werden können, wie der CCC zeigt. Eine Million dieser Geräte sollen in einem "Starterkit" an Ausweisbesitzer vergeben werden. Damit wird "Betroffenen eine potenzielle Sicherheitslücke untergejubelt", kritisieren die Hacker und merken an, dass dadurch sozial schwache Nutzer des ePA besonders benachteiligt werden. Denn diese würden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potenziellen Risiken gar nicht aufgeklärt.

Nach Ansicht der Hacker bieten aber auch die teureren Lesegeräte mit eigener PIN-Tastatur nur begrenzten Schutz. Sie verweisen dabei auf "Man-In-The-Browser", wie sie aus dem Onlinebanking bekannt sind. Dabei wird der Inhalt von Transaktionen modifiziert, ohne dass der Benutzer dies bemerkt. Daher würden bei den meisten Online-Banking-Applikationen zusätzlich die eigentlichen Transaktionen signiert. Beim ePA sei das nicht der Fall.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Elektronischer Personalausweis: CCC demonstriert weitere SicherheitsproblemePDFs bergen weitere Risiken 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


QuasiModo 08. Nov 2010

Wenn man nicht allzu paranoid veranlagt ist, dann gibt es durch den neuen Perso für den...

Stephan1974 02. Okt 2010

Gibt es in der Dezemberausgabe 2010 von Chip im Abo (nicht am Kiosk), siehe discountfan.de

getoba 24. Sep 2010

Aber die Kontrolle und Überwachung der Menschen ist für die Großkonzerne mindestens...

Datengrab 23. Sep 2010

Seit Schlumpfbuntu ist das vorbei...



Aktuell auf der Startseite von Golem.de
Google Fonts
Abmahnungen an Webseitenbetreiber mit Google-Schriftarten

Nach einer Entscheidung des Landgerichts München erhalten Webseitenbetreiber mit eingebundenen Google Fonts vermehrt Abmahnungen.

Google Fonts: Abmahnungen an Webseitenbetreiber mit Google-Schriftarten
Artikel
  1. Programmiersprache: JSON-Erfinder will Javascript in Rente schicken
    Programmiersprache
    JSON-Erfinder will Javascript in Rente schicken

    Douglas Crockford, der Erfinder des Datenformats JSON und Mitentwickler von Javascript, findet, dass die Sprache in Rente geschickt werden sollte.

  2. Paw Patrol: US Space Force schickt Roboterhunde auf Patrouille
    Paw Patrol
    US Space Force schickt Roboterhunde auf Patrouille

    Die US Space Force wird einen hundeähnlichen Roboter von Ghost Robotics auf Patrouille schicken, um Personalkosten zu senken.

  3. Windows auf dem Mac: Parallels wird merklich teurer
    Windows auf dem Mac
    Parallels wird merklich teurer

    Parallels 18 bietet eine native Unterstützung für Windows 11 und eine bessere Ressourcenzuweisung. Allerdings wird die Software teurer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: WD SSD 1TB m. Kühlkörper (PS5) 119,90€, MSI 29,5" 200 Hz 259€, LG QNED 75" 120 Hz 1.455,89€ • MindStar (XFX RX 6950 XT 999€, Gainward RTX 3070 559€) • Gigabyte Deals • Der beste Gaming-PC für 2.000€ • Apple Week bei Media Markt • be quiet! Deals [Werbung]
    •  /