Pirat deckt erneut Sicherheitslücke beim ePerso auf – Ausweismissbrauch möglich

Pressemitteilung der Piratenpartei Deutschland

Betrügerische Webseiten können Zugriff auf elektronische Personalausweise erlangen und diese missbrauchen, um sich bei anderen Seiten auszuweisen. Dies ermöglicht eine jetzt neu aufgedeckte Sicherheitslücke zusammen mit einer bereits bekannten Angriffstaktik.

Jan Schejbal, Mitglied der Piratenpartei Deutschland, wies bereits im November 2010 kurz nach Einführung des ePerso die Unsicherheit der dazugehörigen AusweisApp nach [1]. Im Januar diesen Jahres demonstrierte er dann eine Möglichkeit [2], wie Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis jedoch noch nicht missbraucht werden.

Nun hat Schejbal eine Möglichkeit entdeckt, wie ein Angreifer gleichzeitig zum PIN-Diebstahl auch auf das Lesegerät und somit direkt auf den Ausweis eines Nutzers zugreifen kann. Dadurch könnte der Angreifer die Identität des Inhabers missbrauchen und sich im Internet als der Inhaber, sein Opfer, ausgeben. Wegen der über den ePerso erfolgten Identifizierung wäre es für das Opfer sehr schwer, den Betrug vor Gericht nachzuweisen.

Der Angriff nutzt eine Funktion des Browser-Plugins „OWOK“, das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. »Das Plugin gehört zu einem der sogenannten „Starter-Kits“, mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden«, so Jan Schejbal. »Ich gehe aber davon aus, dass auch andere Plugins betroffen sind.« Die technischen Details sowie ein Video des Angriffs hat Jan Schejbal in seinem Blog [3] veröffentlicht. Der Angriff wurde von der Redaktion des c’t-Magazins verifiziert. [4]

Die Piratenpartei befürchtet, dass der ePerso genutzt werden könnte, um eine Klarnamenpflicht im Internet durchzusetzen. Innenminister Friedrich (CSU) forderte eine solche Pflicht am gestrigen Sonntag gegenüber dem SPIEGEL. [5] Axel E. Fischer (CDU), Vorsitzender der Enquête-Kommission Internet und digitale Gesellschaft, erhob im November 2010 dieselbe Forderung und schlug explizit vor, sie mit Hilfe des ePersos durchzusetzen. [6]

»Wir halten die Möglichkeit, sich anonym oder pseudonym zu äußern, für einen wichtigen Pfeiler der Meinungsfreiheit«, erklärt Sebastian Nerz, Vorsitzender der Piratenpartei Deutschland. »Wie die neue Sicherheitslücke des ePersos erneut beweist, wäre ein Klarnamengebot aber nicht nur politisch gefährlich, sondern auch unsinnig. Technisch versierte Nutzer werden immer Möglichkeiten finden, den Behörden einen Schritt voraus zu sein. Statt Meinungsfreiheit für alle hätten wir dann eine Klassengesellschaft: Wer die Lücken findet, benutzt die Identität anderer, wer sich nicht gut genug auskennt, ist der Dumme. Oder man veröffentlicht einfach im Ausland: Das Internet kennt keine klassischen Landesgrenzen.«

[1] http://www.piratenpartei.de/Pressemitteilung-101109-Piratenpartei-beweis…
[2] http://www.piratenpartei.de/Pressemitteilung-110117-Neue-Schwachstelle-b…
[3] http://janschejbal.wordpress.com/2011/08/08/eperso-kann-remote-missbrauc…
[4] http://www.heise.de/newsticker/meldung/Weitere-Sicherheitsluecke-beim-el…
[5] http://www.spiegel.de/politik/deutschland/0,1518,778803,00.html
[6] http://www.piratenpartei.de/Pressemitteilung-101115-PIRATEN-empfehlen-Axel-E-Fischer-CDU-kuenftig-anonyme-Meinungsaeußerung