Netzwelt-Ticker Behörde gesteht Sicherheitslücke in Ausweis-App

Die Auslieferung der Ausweis-App zum neuen Perso wird gestoppt, das zuständige Amt gesteht eine Lücke ein. Außerdem im Überblick: Wolfram Alpha knackt Rätsel-Captchas, ein Umzug ist kein DSL-Kündigungsgrund, und ein Nerdtraum wird wahr - die Multiplayer-Enterprise-Brücke.

Von

Neuer elektronischer Personalausweis: Mögliche Sicherheitslücken der Software
dpa

Neuer elektronischer Personalausweis: Mögliche Sicherheitslücken der Software


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Schwachstelle in der Ausweis-App zur Nutzung der eID-Funktion des neuen Personalausweises eingeräumt. Angreifer könnten die Auto-Aktualisierungs-Funktion der Ausweis-App so manipulieren, dass sie darüber Schadsoftware auf die Computer der App-Kunden schleusen könnten.

In einer Pressemeldung des BSI heißt es: Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen. Bis auf weiteres hat das BSI die Verbreitung der Ausweis-App gestoppt, die beteiligten Firmen OpenLimit SignCubes AG und Siemens IT Solutions and Services GmbH werden in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt. Bis zur neuen Version sollen Nutzer der Ausweis-App die automatische Update-Funktion nicht verwenden.

Hintergrund: Keine 24 Stunden nach Veröffentlichung der im Vorfeld schon vielumstrittenen Ausweis-App zeigte der deutsche Hacker Jan Schejbal in seinem Blog eine mögliche Sicherheitslücke der Software auf. Schejbal beschreibt dort, wer er die Update-Funktion des Programms von außen manipuliert habe, so dass sie auf einen anderen als den vorgesehenen Server zugreift. Mit dieser Methode könne ein Angreifer die Software anweisen, anstatt einer Aktualisierung Schadsoftware auf den Rechner des Nutzers aufzuspielen. Zwar ist es unwahrscheinlich, dass der Personalausweis selbst über die Lücke ausspioniert werden kann. Aber es könnten Viren oder andere Schädlinge in den Computer des Users eindringen.

Intelligente Captchas mit Wolfram Alpha knacken

A propos unvorhergesehene Sicherheitslücke: Ausgerechnet die - als Wissensmaschine viel ge-hypte, dann aber eher abgeschmierte - "intelligente" Suchmaschine Wolfram Alpha kann dabei helfen, neuartige Captcha-Sicherheitschecks zu umgehen. Wolfram Alpha, das ergab der schnelle Test von Blogger Joel van Horn, kann (beinahe) Captchas lösen, die Antworten auf Rätselsätze einfordern. Etwa: "Welches WORT in diesem SATZ ist groß geschrieben und beginnt nicht mit einem W?" - Richtige Antwort: Satz. In sieben von zehn Fällen lag Wolfram Alpha richtig (zumindest ausreichend richtig, dass die Satzerkennung der Captchas sie als richtig anerkennt).

Captchas sollen Menschen von Software-Bots unterscheiden, etwa damit nur echte Menschen und nicht automatische Spam-Systeme Forumseinträge schreiben oder Web-Nachrichten abschicken können. Weil aber Software zur Bilderkennung die heute gebräuchlichen, schwer leserlichen Zahlen- und Buchstaben-Kombinationen erkennen kann, suchen Sicherheitsforscher fieberhaft nach Captchas, die tatsächlich nur ein intelligenter Geist knacken kann. Dabei könnten ihnen wiederum Wolfram Alpha dienlich sein: Die könnte die neuen Rätsel-Captchas wiederum in schwer maschinenlesbare Grafik-Captchas umwandeln und damit andere Rätselknacker-Software austricksen.

Wie intelligente Captchas auch aussehen können, zeigt Facebook auf etwas gruselige Art und Weise: Will sich ein auffällig gewordener Surfer als legitimes Facebook-Mitglied authentifizieren, muss er Freunde auf zufälligen Bildern wiedererkennen.

DSL-Anschluss: Kein Kündigungsrecht bei Umzug, sagt der BGH

Verbraucher mit einem DSL-Internetzugang können ihren Vertrag selbst dann nicht vorzeitig kündigen, wenn sie in einen Ort umziehen, an dem noch keine DSL-fähigen Leitungen verlegt sind. Solch ein Umzug, etwa aus beruflichen oder familiären Gründen, sei "prinzipiell kein wichtiger Grund", der eine Kündigung erlaube, entschied der Bundesgerichtshof (BGH) am Donnerstag in Karlsruhe. (AZ: III ZR 57/10)

Dem Urteil zufolge kann ein Vertrag bei einem Telekommunikationsunternehmen nicht gekündigt werden, wenn die Gründe dafür "dem Einfluss des anderen Vertragspartners entzogen sind und der Interessensphäre des Kündigenden entstammen". Der Kunde, der einen längerfristigen Vertrag über die Erbringung einer Dienstleistung abschließt, trage "grundsätzlich das Risiko, diese aufgrund einer Veränderung seiner persönlichen Verhältnisse nicht mehr nutzen zu können", heißt es in der Entscheidung.

Verbraucherschützer drängen auf eine gesetzliche Lösung. Bei einem Umzug sollte es "grundsätzlich ein Kündigungsrecht" für solche Verträge geben, sagte die Telekommunikations-Referentin beim Verbraucherzentrale Bundesverband (vzbv) in Berlin, Lina Ehrig. Bisher liege dies letztlich in der Kulanz der Anbieter. "Es gibt aber keine Rechtssicherheit", kritisierte sie.

cis/AFP

Apple veröffentlicht großes Mac OSX-Update 10.6.5

Wie angekündigt hat Apple das neuste Service Pack für Mac OS X "Snow Leopard" veröffentlicht. Aufsehenerregend ist daran nichts: Die neueste OSX-Version behebt viele Fehler, stopft Sicherheitslücken und beschleunigt ein paar Anwendungen - eine komplette Liste der Neuerungen steht bei Apple. Der Download über die Auto-Aktualisierung ist jedem OS-X-Kunden natürlich eng ans Herz gelegt (und wer Probleme mit dem W-Lan-Drucken hat, bekommt im 9to5mac-Blog Hilfe).

Gefahr der 3D-Drucker

Droht den Fans von 3D-Druckern das gleiche Schicksal wie Musik- und Filmfans - eine Stigmatisierung ihres Lieblingsdateiformats als Piratenkram, der verboten gehört? Das zumindest befürchten die Urheberrechts-Reformer von Public Knowledge ( Studie im PDF-Format, 3,9 MB). Sie sagen: Wie die Druckerpresse, den Fotokopierer und den PC werden manche Menschen 3D-Drucker als gefährliche Umwälzung wahrnehmen - oder als bahnbrechende Erfindung, um Kreativität und Wissen zu verbreiten. Entscheidend ist, dass die, die das fürchten, nicht die ausbremsen, die davon inspiriert werden.

Damit es den für 3-D-Drucker verwendeten CAD-Dateiformaten nicht geht wie MP3 und Divx/Avi/Mpg, müssen schon jetzt viele schwierige Fragen beantwortet werden - etwa, wie CAD-Dateien zukünftig gehandhabt werden sollen: als Blaupause (mit geringem Schutz) oder Foto (mit hohem Schutz)? Diese Frage zum Beispiel rechtfertigen neueste 3-D-Drucke, die nicht nur feine Formen, sondern auch fast realistische Farben beherrschen.

Nerd-Traum: Multiplayer-Enterprise-Brücke

Genau so sieht es auf der Brücke eines Raumschiffes für den gefährlichen, von allerlei bunten Außerirdischen umkämpften interstellaren Weltraum aus. Zwei junge Herren mit Kapuzenpullover sitzen schreiend und gackernd vor ihrem Flachbildmonitor, hinter ihnen sitzt mit ernstem Blick und Rotwein-Schal ein dritter und gibt ihnen merkwürdige Befehle. Alle haben großen Spaß.

"Artemis War" macht einen Nerd-Traum wahr: Die ungeheure Anspannung auf dem Kommandostand eines Star-Trek-Raumschiffes nacherleben zu können, ohne die Gefahr einer öffentlichen Erniedrigung etwa im Umfeld einer Rollenspieler- oder Sci-Fi-Messe riskieren zu müssen. "Artemis War" simuliert eine Enterprise-Brücke auf drei bis sechs Monitoren für drei bis sechs Spieler. Einer gibt Befehle, die anderen Steuern und Feuern. Wie das aussieht, zeigen die vielen Fan-Videos.

Weitere Meldungen

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
brilli wand, 11.11.2010
1. Experten am Werk...
Zitat von sysopDie Auslieferung der Ausweis-App zum neuen Perso*gestoppt, eine neue Version ist auf dem Weg, das BSI gesteht eine Lücke ein. Außerdem im Überblick: Wolfram Alpha knackt Rätsel-Captchas, Apple veröffentlicht OS-X-Update und ein Nerdtraum wird wahr: die Multiplayer-Enterprise-Brücke. http://www.spiegel.de/netzwelt/web/0,1518,728543,00.html
Was ist das für ein "Bundesamt für Sicherheit in der Informationstechnik" das einen Hacker braucht um seinen Job zu machen? Unglaublich was wir hier in Deutschland als Spezialisten verkauft bekommen. Und dafür kassieren die auch noch unmengen an Geld, diese Experten. Aber hauptsache das Volk glaubt was die Experten verkünden... viele Grüße, Brilli
avollmer 11.11.2010
2. Software als OpenSource
Hätte man das Projekt als OpenSource aufgelegt, hätte die Cloud-Intelligence schon dafür gesorgt, dass die Ausweis-Software sicher wird. Hätte auch Steuern gespart. Wahrscheinlich wäre es sogar effektiver gewesen das Ganze als Diplomarbeit an einer Uni herstellen zu lassen.
fw116, 11.11.2010
3. wir wollen bitte nicht vergessen
dass wir die aufklärung dieser lücke der piraten partei zu verdanken haben, was in den medien oftmals unerwähnt bleibt.
MacManiac, 11.11.2010
4. Alle BSI'ler fristlos kündigen....
Zitat von sysopDie Auslieferung der Ausweis-App zum neuen Perso*gestoppt, eine neue Version ist auf dem Weg, das BSI gesteht eine Lücke ein. Außerdem im Überblick: Wolfram Alpha knackt Rätsel-Captchas, Apple veröffentlicht OS-X-Update und ein Nerdtraum wird wahr: die Multiplayer-Enterprise-Brücke. http://www.spiegel.de/netzwelt/web/0,1518,728543,00.html
ach so, geht nicht. Alles Beamte. Verstehe,...dann sind die 28€ natürlich gerechtfertigt. Schließlich wird ein Beamter für Treue und Dientbereitschaft bezahlt, nicht für seine Leistung. Sarranzins Titel sticht: Deutschland schafft sich ab. Und die Abschaffer sind unkündbar.
sic tacuisses 12.11.2010
5. Das sind die ITSpezialisten, die auch den Bundestrojaner
Zitat von brilli wandWas ist das für ein "Bundesamt für Sicherheit in der Informationstechnik" das einen Hacker braucht um seinen Job zu machen? Unglaublich was wir hier in Deutschland als Spezialisten verkauft bekommen. Und dafür kassieren die auch noch unmengen an Geld, diese Experten. Aber hauptsache das Volk glaubt was die Experten verkünden... viele Grüße, Brilli
zur Terrorbekämpfung erfunden haben. Kann man sich noch lächerlicher machen ??? Allerdings muß ich neidlos konstatieren, dass die perfekt ins Bild unserer Politiker als Koniferen passen..............
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.