Sicherheitslücke Hacker knackt Software für neuen Personalausweis

Das ging schnell: Einen Tag ist die Software für den elektronischen Personalausweis verfügbar, da hat sie der erste Hacker schon geknackt. Die Sicherheitslücken waren ihm zufolge "dumme Fehler", simpel und laut Experten im Prinzip bekannt. Trotzdem haben die Behörden nichts unternommen.

dpa

Von Sebastian Weßling


Berlin - Jan Schejbal ist der Erste. Keine 24 Stunden nachdem die Ausweis-App für den neuen, elektronischen Personalausweis zum Download bereitstand, beschreibt er in seinem Blog eine mögliche Lücke.

Eigentlich sollen die Bürger die Software nutzen, um mit dem elektronischen Personalausweis und einem dazugehörigen Lesegerät online Geschäfte abzuschließen. Außerdem sollen sie sich so gegenüber Behörden identifizieren können.

Schejbal schreibt nun, er habe die Update-Funktion des Programms von außen manipuliert, so dass sie auf einen anderen als den vorgesehenen Server zugreift. Mit dieser Methode könne ein Angreifer die Software anweisen, anstatt einer Aktualisierung Schadsoftware auf den Rechner des Nutzers aufzuspielen.

Zwar ist es unwahrscheinlich, dass der Personalausweis selbst über die Lücke ausspioniert werden kann. Aber es könnten Viren oder andere Schädlinge in den Computer des Users eindringen.

"Diese mögliche Lücke hätten die Entwickler kennen müssen"

"Ganz trivial war das nicht, weil die Sicherheitsmaßnahmen ausgeklügelt sind", sagt Schejbal über seinen Hack. "Aber es sind eben zwei dumme Fehler eingebaut, durch die man eindringen kann." Inzwischen haben auch Experten des Computer-Magazins "c't" den Angriff wiederholt und die Lücke bestätigt. Die zuständige Behörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), überprüft sie derzeit.

Über das von Schejbal beschriebene Einfallstor hatten Hacker schon in den vergangenen Wochen eifrig spekuliert. Umso überraschender ist es nun für Experten, dass es nicht geschlossen wurde. Im Prinzip habe es sich um einen "relativ simplen Angriff" gehandelt, sagt Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC). "Diese mögliche Lücke hätten die Entwickler kennen müssen." Sie hält Schejbals Methode für "einen praktizierbaren Angriffsweg".

Für Kurz ist das Problem ein Zeichen, dass bei der Einführung des elektronischen Ausweises "mit sehr heißer Nadel" gestrickt wurde. Die Hacker vom CCC hatten schon im September gezeigt, dass es möglich ist, an die PIN der Ausweis-Benutzer zu kommen - falls diese ein billiges Lesegerät ohne eigenen Ziffernblock benutzen.

In den kommenden Wochen wollen die Experten nun noch einmal nachlegen und weitere Sicherheitslücken aufzeigen. Genaueres will Constanze Kurz nicht verraten, nur so viel: "Das Ende der Fahnenstange ist nicht erreicht."

Mit Material von dpa



Forum - Diskutieren Sie über diesen Artikel
insgesamt 177 Beiträge
Alle Kommentare öffnen
Seite 1
nrw_waehler2010 09.11.2010
1. Lücke Nr.1
Wenn es nur so eine triviale Lücke wäre, dann könnte man ja noch leben. Aber wenn die Software solche Schlapereien enthält, dann dürften so ein paar "fehlerchen" auch in dem "Supersicherheitssystem" der Karte selbst sein... Gut dass ich noch den alten beantragt hab^^
sülzer, 09.11.2010
2. .
Zitat von sysopDas ging schnell: Einen Tag ist die Software für den elektronischen Personalausweis verfügbar, da hat sie der erste Hacker schon geknackt. Die Sicherheitslücken waren ihm zufolge "dumme Fehler", simpel und laut Experten im Prinzip bekannt. Trotzdem haben die Behörden nichts unternommen. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,728199,00.html
Natürlich haben die Behörden nichts unternommen, das hätte doch das ganze Projekt gefährdet. Die Verträge mit den Soft- und Hardwareherstellern waren unterschrieben, die Bundesdruckerei wird ein weiteres Mal saniert, da darf man sich von solchen "Nebensächlichkeiten" nicht aufhalten lassen. Mich würde es nicht wundern, wenn man das Problem mit dem Kommentar "Ein guter Virenscanner sorgt für ausreichende Sicherheit" vom Tisch fegt.
MartinB. 09.11.2010
3. Jeder...
...aber auch wirklich jeder, der sich in der Branche "Software" auskennt, weiß, das es so etwas wie "fehlerfreie Software" oder "sichere Systeme" nicht gibt. Es gibt nur "mehr" oder "weniger unsicher". Das muß erst einmal nicht gegen so etwas wie einen "Online-Ausweis" sprechen. Schlimm wird es erst, wenn selbsternannte "Spezialisten" von irgendwelchen Ministerien das Blaue vom Himmel herunterlügen, das nun ausgerechnet *ihr* System 100% sicher sei. Denn es gibt genug, die sich *nicht* auskennen, und solchen Mist dann auch noch glauben.
Sougamotimana 09.11.2010
4. simpel
tja, wenn diese "ausweise" von allen moeglichen fest-installierten oder beweglichen scanner, datenleser und was-weiss-ich elektronischen geraete lesbar sein sollen, dan ist es simpel und einfach das luecken (um nicht zu sagen garagentore) offen bleiben. natuerlich wissen die behoerden davon aber anscheinend ist datenschutz obsolet geworden in dieser unserer neuen welt-ordnung.
marvinw 09.11.2010
5. Verantwortung
---Zitat--- Hacker knackt Software für neuen Personalausweis ---Zitatende--- Ich wäre jetzt dafür diese Dummschreiberlinge die ständig den Satz "Der neue Ausweis ist sicher" so hartnäckig wiederholt haben zu Verantwortung zu ziehen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.