Presse: erheblicher Sicherheitsprobleme bei elektronischen Personalausweis

(ccc) Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis

Der Chaos Computer Club (CCC) hat in Zusammenarbeit mit Schweizer Sicherheitsexperten erhebliche Schwachstellen im neuen elektronischen Personalausweis und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Interessierte Tüftler, aber auch Kriminelle können beide Identitätsnachweise mit einfachen Mitteln ferngesteuert benutzen.

Nachdem der Chaos Computer Club schon seit Jahren auf Risiken bei biometrischen Ausweisdokumenten hingewiesen hat, wurden nun Sicherheitsprobleme in der Praxis demonstriert. Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß sich schon mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der elektronische Personalausweis (ePA) ferngesteuert benutzen lassen. Die dafür ausgenutzten Sicherheitslücken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen.

„Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen“, kommentiert CCC-Sprecher Dirk Engling. „Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen.“

Der neue elektronische biometrische Ausweis soll am 1. November 2010 in Deutschland eingeführt werden. Er hat eine kontaktlose Schnittstelle mit einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und elektronische Identitätsdaten gespeichert sind. In der Schweiz ist ein elektronischer Identitätsnachweis, basierend auf einer herkömmlichen Smartcard, bereits im Umlauf: die SuisseID. Zwischen der SuisseID und dem deutschen elektronischen Ausweis (ePA) gibt es Parallelen, die beide für Manipulationen verwundbar machen. Diese technischen Angriffe sind teilweise simpel genug, um von gemeinen Online-Kriminellen problemlos beherrscht zu werden.

weiter auf ccc.de

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: