Sicherheitslücke: Hacker knackt Software für neuen Personalausweis

Von Sebastian Weßling

Das ging schnell: Einen Tag ist die Software für den elektronischen Personalausweis verfügbar, da hat sie der erste Hacker schon geknackt. Die Sicherheitslücken waren ihm zufolge "dumme Fehler", simpel und laut Experten im Prinzip bekannt. Trotzdem haben die Behörden nichts unternommen.

Der neue Perso: Kleinere Größe, mehr Angaben Fotos
dpa

Berlin - Jan Schejbal ist der Erste. Keine 24 Stunden nachdem die Ausweis-App für den neuen, elektronischen Personalausweis zum Download bereitstand, beschreibt er in seinem Blog eine mögliche Lücke.

Eigentlich sollen die Bürger die Software nutzen, um mit dem elektronischen Personalausweis und einem dazugehörigen Lesegerät online Geschäfte abzuschließen. Außerdem sollen sie sich so gegenüber Behörden identifizieren können.

Schejbal schreibt nun, er habe die Update-Funktion des Programms von außen manipuliert, so dass sie auf einen anderen als den vorgesehenen Server zugreift. Mit dieser Methode könne ein Angreifer die Software anweisen, anstatt einer Aktualisierung Schadsoftware auf den Rechner des Nutzers aufzuspielen.

Zwar ist es unwahrscheinlich, dass der Personalausweis selbst über die Lücke ausspioniert werden kann. Aber es könnten Viren oder andere Schädlinge in den Computer des Users eindringen.

"Diese mögliche Lücke hätten die Entwickler kennen müssen"

"Ganz trivial war das nicht, weil die Sicherheitsmaßnahmen ausgeklügelt sind", sagt Schejbal über seinen Hack. "Aber es sind eben zwei dumme Fehler eingebaut, durch die man eindringen kann." Inzwischen haben auch Experten des Computer-Magazins "c't" den Angriff wiederholt und die Lücke bestätigt. Die zuständige Behörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), überprüft sie derzeit.

Über das von Schejbal beschriebene Einfallstor hatten Hacker schon in den vergangenen Wochen eifrig spekuliert. Umso überraschender ist es nun für Experten, dass es nicht geschlossen wurde. Im Prinzip habe es sich um einen "relativ simplen Angriff" gehandelt, sagt Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC). "Diese mögliche Lücke hätten die Entwickler kennen müssen." Sie hält Schejbals Methode für "einen praktizierbaren Angriffsweg".

Für Kurz ist das Problem ein Zeichen, dass bei der Einführung des elektronischen Ausweises "mit sehr heißer Nadel" gestrickt wurde. Die Hacker vom CCC hatten schon im September gezeigt, dass es möglich ist, an die PIN der Ausweis-Benutzer zu kommen - falls diese ein billiges Lesegerät ohne eigenen Ziffernblock benutzen.

In den kommenden Wochen wollen die Experten nun noch einmal nachlegen und weitere Sicherheitslücken aufzeigen. Genaueres will Constanze Kurz nicht verraten, nur so viel: "Das Ende der Fahnenstange ist nicht erreicht."

Mit Material von dpa

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 177 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Lücke Nr.1
nrw_waehler2010 09.11.2010
Wenn es nur so eine triviale Lücke wäre, dann könnte man ja noch leben. Aber wenn die Software solche Schlapereien enthält, dann dürften so ein paar "fehlerchen" auch in dem "Supersicherheitssystem" der Karte selbst sein... Gut dass ich noch den alten beantragt hab^^
2. .
sülzer, 09.11.2010
Zitat von sysopDas ging schnell: Einen Tag ist die Software für den elektronischen Personalausweis verfügbar, da hat sie der erste Hacker schon geknackt. Die Sicherheitslücken waren ihm zufolge "dumme Fehler", simpel und laut Experten im Prinzip bekannt. Trotzdem haben die Behörden nichts unternommen. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,728199,00.html
Natürlich haben die Behörden nichts unternommen, das hätte doch das ganze Projekt gefährdet. Die Verträge mit den Soft- und Hardwareherstellern waren unterschrieben, die Bundesdruckerei wird ein weiteres Mal saniert, da darf man sich von solchen "Nebensächlichkeiten" nicht aufhalten lassen. Mich würde es nicht wundern, wenn man das Problem mit dem Kommentar "Ein guter Virenscanner sorgt für ausreichende Sicherheit" vom Tisch fegt.
3. Jeder...
MartinB. 09.11.2010
...aber auch wirklich jeder, der sich in der Branche "Software" auskennt, weiß, das es so etwas wie "fehlerfreie Software" oder "sichere Systeme" nicht gibt. Es gibt nur "mehr" oder "weniger unsicher". Das muß erst einmal nicht gegen so etwas wie einen "Online-Ausweis" sprechen. Schlimm wird es erst, wenn selbsternannte "Spezialisten" von irgendwelchen Ministerien das Blaue vom Himmel herunterlügen, das nun ausgerechnet *ihr* System 100% sicher sei. Denn es gibt genug, die sich *nicht* auskennen, und solchen Mist dann auch noch glauben.
4. simpel
Sougamotimana 09.11.2010
tja, wenn diese "ausweise" von allen moeglichen fest-installierten oder beweglichen scanner, datenleser und was-weiss-ich elektronischen geraete lesbar sein sollen, dan ist es simpel und einfach das luecken (um nicht zu sagen garagentore) offen bleiben. natuerlich wissen die behoerden davon aber anscheinend ist datenschutz obsolet geworden in dieser unserer neuen welt-ordnung.
5. Verantwortung
marvinw 09.11.2010
---Zitat--- Hacker knackt Software für neuen Personalausweis ---Zitatende--- Ich wäre jetzt dafür diese Dummschreiberlinge die ständig den Satz "Der neue Ausweis ist sicher" so hartnäckig wiederholt haben zu Verantwortung zu ziehen.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Personalausweise
RSS

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 177 Kommentare
Elektronischer Personalausweis - die Lesegeräte
Basis-Lesegerät
Die Basisleser besitzen kein separates Tastenfeld für die Eingabe der PIN, stattdessen muss diese über die Computer- oder eine Bildschirmtastatur eingegeben werden. Bei unzureichend gesicherten Rechnern besteht die Gefahr, dass die PIN durch Schadprogramme abgegriffen wird. Die unverbindliche Preisempfehlung des Herstellers Reiner SCT für diese Geräte beträgt 34,90 Euro.
Standard-Lesegerät
Die Standardleser sind mit Display und eigenem Tastenfeld ausgestattet. Die PIN kann so sicher eingegeben werden. Die unverbindliche Preisempfehlung des Herstellers für diese Geräte beträgt 68,50 Euro.
Komfort-Lesegerät
Die Komfortleser besitzen ein eigenes Display und Tastenfeld zur PIN-Eingabe. Im Unterschied zur Standardversion sind diese Geräte mit einem zusätzlichen Sicherheitsmechanismus ausgestattet - nur mit ihnen wird man die Unterschriftfunktion und damit alle Fähigkeiten des neuen Personalausweises nutzen können. Die unverbindliche Preisempfehlung des Herstellers für diese Geräte beträgt 159,90 Euro.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.