• IT-Karriere:
  • Services:

E-Personalausweis: Regierung "schiebt Verantwortlichkeit auf den Bürger ab"

Virenschutz und Firewall machen den elektronischen Personalausweis nicht sicher, sagen die Hacker vom Chaos Computer Club. Sicherheitssoftware nennen sie Snake-Oil, die moderne Schadsoftware oft nicht erkennt.

Artikel veröffentlicht am ,
E-Personalausweis: Regierung "schiebt Verantwortlichkeit auf den Bürger ab"
(Bild: Sean Gallup/Getty Images)

Der Chaos Computer Club kritisiert, dass das Bundesinnenministerium die Verantwortung für die Sicherheit des elektronischen Personalausweises auf die Nutzer abschiebt. So behauptet die Behörde, dass sich der Bürger "durch regelmäßige Aktualisierung des Betriebssystems, ein aktuelles Virenschutzprogramm sowie eine Firewall schützen" könne.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Dr. Fritz Faulhaber GmbH & Co. KG, Schönaich

Experten des Chaos Computer Clubs war es im August 2013 erneut gelungen, einen Computer mit einem Trojaner zu infizieren, um die PIN einer Ausweisnutzerin auszulesen und so ihren Rentenversicherungsverlauf und damit Informationen über ihre Berufstätigkeit auszulesen. Der Angreifer konnte auch ein Bankkonto unter der Identität der Nutzerin eröffnen. Nach Angaben der Hacker handelte es sich um die alte Sicherheitslücke von 2010, die aber immer noch besteht. Aber auch die neue Version der Ausweis-App bringe Software mit Exploits auf den PC.

Dazu erklärte der Chaos Computer Club: "Moderne Schadsoftware wird oft nicht von Antivirenprogrammen und anderem Snake-Oil erkannt. Und wie eine Firewall gegen einen Keylogger helfen soll, möge das Bundesinnenministerium bitte erst einmal erklären. Dass es aber möglich ist, unentdeckbare Spionagesoftware - beispielsweise auf dem Rechner eines Beschuldigten, der mit einem Staatstrojaner ausspioniert werden soll - zu verankern, sollte das Ministerium mittlerweile wissen. Immerhin nimmt es sich selber vor, das 'Risiko einer Entdeckung [des Staatstrojaners] durch geeignete technische Maßnahmen so gering wie möglich' zu halten."

Zudem erklärt das Ministerium, der Ausweis könne "bei Kenntnis der PIN nur missbraucht werden, wenn er selber zur Verfügung stünde - zum Beispiel gestohlen wird - und die eID noch nicht im Sperrregister gesperrt wurde." Zwar ist derzeit noch kein Verfahren publiziert, wie ein ePA-Chip zerstörungsfrei geklont werden kann, doch ein Angreifer könne den kompletten Kartenleser zusammen mit darauf liegendem elektronischem Personalausweis aus der Ferne übernehmen. Allerdings seien die Voraussetzungen für einen erfolgreichen breiten Angriff nur eingeschränkt vorhanden, räumen die Hacker ein.

Das Innenministerium behauptet zudem, es gebe seit der Einführung des Ausweises "keinerlei Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen".

Dass bisher keine Fälle bekanntgeworden seien, ist laut den Hackern kein Beweis dafür, dass der im Ausweis verwendete Chip nicht bereits "geöffnet, reverse engineered und geklont" sei. Dass der im E-Ausweis verwendete Chip gebrochen wird, sei nur eine Frage der Zeit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 86,51€ (Vergleichspreis 98,62€ + Lieferzeit, 103,78€ sofort verfügbar)
  2. 418,15€
  3. 515,65€
  4. (u. a. Asus TUF-RTX3080-10G-GAMING 10GB für 739€, MSI GeForce RTX™ 3080 GAMING X TRIO 10GB...

IT.Gnom 18. Sep 2013

Jo, woher weiß Du das ? Ich würde den Wa(h)l-O-Mat hier gerne bei der nächsten...

ein... 17. Sep 2013

Na und? Es gibt keinen wirklichen Unterschied zwischen: Schwarz pur Rot pur Schwarz...

vol1 17. Sep 2013

Die PIN lässt sich eben immer irgendwie abgreifen, v.a. wenn man das Eingabegerät...

Augenwurst 16. Sep 2013

Der Ausweis ist aus meiner Sicht (und ich habe in das Thema einen guten Einblick) so...

Sharra 16. Sep 2013

Ist auch weiterhin so. Es reicht bei deutschen Gesetzen eben nicht, nur einen Teil zu...


Folgen Sie uns
       


Verkehrswende: Zaubertechnologie statt Citybahn
Verkehrswende
Zaubertechnologie statt Citybahn

In Wiesbaden wird um den Bau einer Straßenbahn gestritten, eine Bürgerinitiative kämpft mit sehr kuriosen Argumenten dagegen.
Eine Recherche von Hanno Böck

  1. Fernbus Roadjet mit zwei WLANs und Maskenerkennung gegen Flixbus
  2. Mobilität Wie sinnvoll sind synthetische Kraftstoffe?

Probefahrt mit Citroën Ami: Das Palindrom auf vier Rädern
Probefahrt mit Citroën Ami
Das Palindrom auf vier Rädern

Wie fährt sich ein Elektroauto, das von vorne und hinten gleich aussieht und nur 7.000 Euro kostet?
Ein Hands-on von Friedhelm Greis

  1. Zulassungsrekord Jeder achte neue Pkw fährt elektrisch
  2. Softwarefehler Andere Marken laden gratis an Teslas Superchargern
  3. Lucid Motors Elektrolimousine Lucid Air kostet 170.000 US-Dollar

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

    •  /