Fotostrecke

Der neue Perso: Kleinere Größe, mehr Angaben

Foto: Tim Brakemeier/ dpa

Sicherheitslücke Hacker knackt Software für neuen Personalausweis

Das ging schnell: Einen Tag ist die Software für den elektronischen Personalausweis verfügbar, da hat sie der erste Hacker schon geknackt. Die Sicherheitslücken waren ihm zufolge "dumme Fehler", simpel und laut Experten im Prinzip bekannt. Trotzdem haben die Behörden nichts unternommen.
Von Sebastian Weßling

Berlin - Jan Schejbal ist der Erste. Keine 24 Stunden nachdem die Ausweis-App für den neuen, elektronischen Personalausweis zum Download bereitstand, beschreibt er in seinem Blog  eine mögliche Lücke.

Eigentlich sollen die Bürger die Software nutzen, um mit dem elektronischen Personalausweis und einem dazugehörigen Lesegerät online Geschäfte abzuschließen. Außerdem sollen sie sich so gegenüber Behörden identifizieren können.

Schejbal schreibt nun, er habe die Update-Funktion des Programms von außen manipuliert, so dass sie auf einen anderen als den vorgesehenen Server zugreift. Mit dieser Methode könne ein Angreifer die Software anweisen, anstatt einer Aktualisierung Schadsoftware auf den Rechner des Nutzers aufzuspielen.

Zwar ist es unwahrscheinlich, dass der Personalausweis selbst über die Lücke ausspioniert werden kann. Aber es könnten Viren oder andere Schädlinge in den Computer des Users eindringen.

"Diese mögliche Lücke hätten die Entwickler kennen müssen"

"Ganz trivial war das nicht, weil die Sicherheitsmaßnahmen ausgeklügelt sind", sagt Schejbal über seinen Hack. "Aber es sind eben zwei dumme Fehler eingebaut, durch die man eindringen kann." Inzwischen haben auch Experten des Computer-Magazins "c't" den Angriff wiederholt und die Lücke bestätigt. Die zuständige Behörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), überprüft sie derzeit.

Über das von Schejbal beschriebene Einfallstor hatten Hacker schon in den vergangenen Wochen eifrig spekuliert. Umso überraschender ist es nun für Experten, dass es nicht geschlossen wurde. Im Prinzip habe es sich um einen "relativ simplen Angriff" gehandelt, sagt Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC). "Diese mögliche Lücke hätten die Entwickler kennen müssen." Sie hält Schejbals Methode für "einen praktizierbaren Angriffsweg".

Für Kurz ist das Problem ein Zeichen, dass bei der Einführung des elektronischen Ausweises "mit sehr heißer Nadel" gestrickt wurde. Die Hacker vom CCC hatten schon im September gezeigt, dass es möglich ist, an die PIN der Ausweis-Benutzer zu kommen - falls diese ein billiges Lesegerät ohne eigenen Ziffernblock benutzen.

In den kommenden Wochen wollen die Experten nun noch einmal nachlegen und weitere Sicherheitslücken aufzeigen. Genaueres will Constanze Kurz nicht verraten, nur so viel: "Das Ende der Fahnenstange ist nicht erreicht."

Mit Material von dpa