• IT-Karriere:
  • Services:

Chaos Computer Club: Wieder Sicherheitslücke im elektronischen Personalausweis

Über einen Trojaner lässt sich ein Rechner angreifen, um dann die PIN des elektronischen Personalausweises abzugreifen. Die Lücke hat der Chaos Computer Club dem ARD-Magazin Report München präsentiert.

Artikel veröffentlicht am ,
Chaos Computer Club: Wieder Sicherheitslücke im elektronischen Personalausweis
(Bild: Sean Gallup/Getty Images)

Der elektronische Personalausweis lässt sich erneut angreifen. Das berichtet das ARD-Magazin Report München unter Berufung auf einen Experten des Chaos Computer Clubs. Dem sei es gelungen, den Computer mit einem Trojaner zu infizieren, um die PIN einer Nutzerin auszulesen und so ihren Rentenversicherungsverlauf und damit Informationen über ihre Berufstätigkeit auszulesen. Der Experte konnte auch ein Bankkonto unter der Identität der Nutzerin eröffnen.

Stellenmarkt
  1. Blickle Räder+Rollen GmbH u. Co. KG, Rosenfeld
  2. Stadtwerke München GmbH, München

Die Bundesdruckerei vermutet, dass es sich um dasselbe Problem wie vor drei Jahren handelt, sagte eine Sprecherin Golem.de auf Anfrage. Weitere Informationen soll es in der Fernsehsendung am 27. August 2013 um 21:45 Uhr in der ARD oder im Livestream der Mediathek geben.

Bereits im August 2010 hatte der Chaos Computer Club eine Schwachstelle an den Basislesegeräten für den elektronischen Personalausweis gefunden. Danach war es möglich, die PIN und andere Daten abzufangen. Das Lesegerät erlaubt es, sich mit dem Personalausweis am heimischen Computer für Onlinegeschäfte zu identifizieren.

Das BSI räumte ein, dass über die Schadsoftware bei der Verwendung von Basislesegeräten ein Sicherheitsproblem besteht. Die IT-Behörde argumentierte aber, dass die PIN nur in Kombination mit der Ausweiskarte genutzt werden könne. Daher rät das BSI: "Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden."

Allerdings wies das BSI darauf hin, dass dies nur für die Ausweisfunktion des Ausweises gelte, und nicht für dessen rechtsverbindliche Signaturfunktion. Diese könne ausschließlich mit einem Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden, wo der Angriff nicht möglich war.

Nachtrag vom 27. August 2013, 17:50 Uhr

Nach Angaben des CCC handelt es sich um die alte Sicherheitslücke von 2010, die aber immer noch besteht. Aber auch die neue Version der AusweisApp bringe Software mit Exploits auf den PC. Bereits die mitgelieferte veraltete Java-Version (Java Platform SE 7U9) enthält eine Menge Exploits, wird aber nicht im System installiert. "Insgesamt hinterlässt die AusweisApp einen extrem unprofessionellen Eindruck", so die Hacker.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

0xDEADC0DE 29. Aug 2013

Dann war gestern, bei der Post, wohl ein Jubeljahr... hab ich öfter im Jahr, da ich zu...

Himmerlarschund... 29. Aug 2013

Trotzdem ist der Ausweis Eigentum der BRD und damit ist das, was du vorschlägst eine...

Test_The_Rest 28. Aug 2013

Ich finde doch schon die Überschrift des und die Aussagen des CCC extrem irreführend. Tut...

Wise Guy 28. Aug 2013

Und unbemerkt Ausfunken kann man den Perso noch dazu....Echt sicher das Teil...

Polecat42 27. Aug 2013

ich hab' damit mein Dings, mein "Punktekonto" in Flensburg abfragen können... weiß gerade...


Folgen Sie uns
       


Amazons FireTV Cube mit Sprachsteuerung - Test

Der Fire TV Cube ist mehr als ein Fire-TV-Modell. Er kann auf Zuruf gesteuert werden und wir zeigen im Video, wie gut das gelöst ist.

Amazons FireTV Cube mit Sprachsteuerung - Test Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

Apple-Betriebssysteme: Ein Upgrade mit Schmerzen
Apple-Betriebssysteme
Ein Upgrade mit Schmerzen

Es sollte alles super werden, stattdessen kommen seit MacOS Catalina, dem neuen iOS und iPadOS weder Apple noch Entwickler und Nutzer zur Ruhe. Golem.de hat mit vier Entwicklern über ihre Erfahrungen mit der Systemumstellung gesprochen.
Ein Bericht von Jan Rähm

  1. Betriebssystem Apple veröffentlicht MacOS Catalina
  2. Catalina Apple will Skriptsprachen wie Python aus MacOS entfernen
  3. Apple MacOS wechselt von Bash auf ZSH als Standard-Shell

    •  /