CCC zeigt neue Schwächen des elektronischen Personalausweises

Die Kritik an der Sicherheit des kommenden elektronischen Personalausweises reißt nicht ab. Die zuständige Behörde beharrt allerdings darauf, dass er ausreichend sicher ist. Der Chaos Computer Club berichtete heute über Möglichkeiten, eine bereits bekannte Schwachstelle des Identifizierungssystems auszunutzen. So könne ein Angreifer, der in den Besitz der Ausweis- Geheimnummer (PIN) gekommen sei, sich im Internet für deren Besitzer ausgeben, solange die Karte sich in einem Lesegerät befindet. Auch könne er die PIN des Ausweises verändern.

Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) räumte ein, dass es grundsätzlich möglich ist, beim Einsatz eines einfachen Lesegerätes mit Hilfe einer Trojaner-Schadsoftware eine PIN auszuspähen, die am PC eingetippt wird. Dabei wird zum Beispiel über sogenannte "Keylogger" die Abfolge der Eingaben über die Tastatur abgegriffen.

Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer für die Abwicklung von Internet-Geschäften zu nutzen. Zum Start sponsert das Bundesinnenministerium für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte. Die Mittel kommen aus dem Konjunkturpaket II. Die einfachen Lesegeräte sollen unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos als sogenannte Starter Kits verteilt werden.

Experten raten bei sicherheitskritischen Anwendungen zum Einsatz von höherwertigen Lesegeräten (mindestens "Klasse 2"), bei denen die Tastatur zur Eingabe der PIN eingebaut ist. Damit verhindert man eine Eingabe der PIN am PC und ein mögliches Ausspähen der Geheimnummer.

Neuer Personalausweis darf nicht zulange im Lesegräte bleiben

Wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten, räumte BSI-Experte Jens Bender heute ein. Allerdings könne ein Online-Krimineller dabei keine Geschäfte im Internet abschließen, weil dafür eine separate Signatur-Funktion aktiviert werden müsse. Die Signatur ist durch eine zweite PIN geschützt, die ausschließlich direkt an einem Lesegerät mit integrierter Tastatur eingegeben werden könne. Unter keinen Umständen könne ein Angreifer Einblick in die persönlichen Daten des Ausweis-Inhabers bekommen, da sie verschlüsselt übermittelt würden, betonte Bender.

Es sei tatsächlich möglich, bei einem Angriff eine bekannte PIN zu verändern, sagte Bender. Es sei jedoch ein wenig wahrscheinliches Szenario - "da der Besitzer damit sofort merkt, dass etwas nicht stimmt". Das BSI betont, dass auch mit den bekannten Schwächen einfacher Lesegeräte das Authentifizierungsverfahren mit einem elektronischen Personalausweis deutlich sicherer sei als heute Kombinationen aus Benutzername und Passwort.

Der Personalausweis werde wie geplant eingeführt, es seien keine zusätzlichen Sicherheitsmaßnahmen angesichts der aktuellen Diskussionen geplant, sagte Bender. Die Behörde weist immer wieder darauf hin, dass den Schutz ihrer Computer vor Schadsoftware auf dem aktuellsten Stand halten müssen, um keine Trojaner-Angriffe zuzulassen.

Mehr zum Thema Elektronischer Personalausweis

• 11.04.24 - Neue E-Perso-PIN darf nicht digital übermittelt werden
• 21.03.24 - EuGH: Neue Verordnung für Fingerabdrücke auf Perso nötig
• 01.03.24 - EU: Digitale Wallet für Führerschein, Perso und Co. kommt
• 23.02.24 - Behördengänge digital bis 2028: Jetzt wirds ernst
• 19.02.24 - Alle Behörden digital bis 2028: Schafft es der Staat wirklich?
• 25.01.24 - Tschechien: Ansturm auf neue Personalausweis-App
• 03.01.24 - Behördengänge online erledigen: Es ist noch Luft nach oben
• 04.11.23 - Prepaid-SIM mit Personalausweis aktivieren und freischalten
• 01.11.23 - E-Perso: Das kann der elektronische Ausweis
• 01.11.23 - Digitale ID: Durchbruch im Gesundheitswesen
• 13.10.23 - E-Perso: Digitale Identifikation macht kaum Fortschritte
• 30.07.23 - Digitale Identität: Was uns E-Perso und E-ID bringen
• 10.07.23 - Digitale Identität: EU startet Feldtests
• 29.06.23 - EU-Identitätsnachweis: Digitale Wallet für Handys kommt
• 29.06.23 - Digitale Rentenübersicht in Kürze verfügbar
• 27.05.23 - Tipps: Schnell reagieren bei Karten- oder Handyverlust
• 13.05.23 - Digitale Rentenübersicht kommt ab "Mitte des Sommers"
• 20.02.23 - Facebook und Instagram: Abo für Account-Verifikation
• 29.01.23 - Behördengänge online: Neues Gesetz für Digitalisierung
• 16.12.22 - Google Wallet: Ausweise abspeichern geht in die Beta-Phase
• 06.12.22 - Digitale ID von der EU: Ersatz für deutschen ePerso?
• 04.12.22 - Können Identitätsprüfungen künftig schneller gehen?
• 31.08.22 - Regierung verspricht flächen­deckende Handy-Netze bis 2026
• 27.08.22 - Chat mit dem Amt: Digitaler Behörden-Kontakt gewünscht
• 08.06.22 - E-ID: So funktioniert der Perso als Online-Ausweis
• 30.03.22 - ePerso: PIN ab sofort ohne Bürgeramt zurücksetzen
• 09.02.22 - So soll der Personalausweis in die Luca App kommen
• 02.02.22 - Luca App: Digitaler Personalausweis und "Luca Pay"
• 22.12.21 - BNetzA: Digitale Identifikation nur per Smartphone kommt
• 18.10.21 - BKA-Warnung: Gefährliche Fake-Anrufe sind nicht vom BKA
• 15.10.21 - IDnow AutoIdent: Identitätsprüfung von BNetzA zugelassen
• 01.10.21 - ID Wallet-App in einigen Wochen wieder verfügbar?
• 23.09.21 - Digitaler Führerschein: Der "Lappen" in der App startet (Update)
• 29.07.21 - e-ID: Digitaler Ausweis soll länderübergreifend funktionieren
• 25.06.21 - Bundesrat: Sich ausweisen per Smartphone wird möglich
• 21.05.21 - eID: Digitaler Personalausweis kommt am 1. September
• 20.05.21 - Verkehrssünder: Punkte in Flensburg jetzt digital abrufen
• 22.04.21 - So will Apple das iPhone zum Perso­nalausweis machen
• 07.04.21 - eID: Online-Ausweisfunktion fürs Handy startet im Herbst
• 27.03.21 - E-Perso mag nicht jedes Smartphone als Lesegerät
• mehr…

Weitere Artikel zum Datenschutz im Internet

• 20.04.24 - Vorsicht Betrug: App installiert - Bankkonto leer
• 13.04.24 - Identitätsdiebstahl: So können Sie sich schützen
• 12.04.24 - Netflix, DHL & Co.: So erkennen sie falsche SMS
• 07.04.24 - Spyware, Cookies, Internetspuren: So schützen Sie Ihre Daten
• 24.03.24 - "Credential Stuffing": Wie Hacker an Passwörter kommen
• 23.03.24 - Android und iOS: Handy gegen obszöne Fotos abschotten
• 18.03.24 - Notruf an 110: Rettung ohne Standort-Info?
• 13.03.24 - Kurze Leine für KI: EU beschließt "historisches" Regelwerk
• 10.03.24 - Gesichter-Suchmaschinen: Darum rechtlich bedenklich
• 05.03.24 - Unterwegs in fremden Netzen: 5 Hotspot-Sicherheitsregeln
• 22.02.24 - Android 15: Berechtigung für Einmalpasswörter und mehr
• 24.01.24 - o2-Mobilitätsanalyse: Bürger auf Bahnstreiks gut vorbereitet
• 20.01.24 - Unnötig bezahlt: Online-Services als Kostenfalle
• 15.01.24 - Sicherheit: Schutz gegen Tracking, Malware & Phishing
• 13.01.24 - Google: Mehr Datenschutz-Einstel­lungen in der EU
• 02.12.23 - EU: Mehr Schutz vor Cyberangriffen für vernetzte Geräte
• 10.11.23 - Tiktok & YouTube: EU will Angaben zu Jugendschutz
• 22.10.23 - Skype - mehr als nur Videotelefonie
• 05.10.23 - Private Daten sicher in der Cloud speichern
• 29.09.23 - Threema: Lizenzen anonym mit Bargeld zahlen
• 10.09.23 - Online-Durchsuchung: Für Sicherheit oder Überwachung?
• 25.08.23 - Neues Gesetz: EU nimmt Facebook, Tiktok & Co. an die Leine
• 13.07.23 - Google: KI-Chatbot Bard jetzt auch in Deutschland verfügbar
• 09.07.23 - Tipps für Eltern: So machen Sie Handy & Co kindersicher
• 29.06.23 - Pornhub: Klage wegen Missachtung der DSGVO
• 28.06.23 - Smarte Geräte & Autos: EU will bessere Nutzung von Daten
• 24.06.23 - Smart-Home-Sicherheit: Bei Geräten auf Zertifikat achten
• 08.06.23 - Datenschutz: Meta (Facebook) erweitert Kontenübersicht
• 24.05.23 - BundID: Digitales Konto für Bürger und Unternehmen
• 23.05.23 - Google & Co.: BGH urteilt zum "Recht auf Vergessenwerden" (Update)
• 29.04.23 - Phishing: Vorsicht vor gefälschten Paketdienst-Nachrichten
• 04.04.23 - Jugendschutz: Streit mit Porno-Portalen geht weiter
• 02.04.23 - Risiken von ChatGPT & Co.: Keine Partner für Vertrauliches
• 09.03.23 - Lauterbach will E-Patientenakte und E-Rezept beschleunigen
• 06.03.23 - Kommt 2024 die elektronische Patientenakte für alle?
• 01.03.23 - Tiktok führt neue Sicherheitsfunktionen für Teenager ein
• 26.02.23 - Guter Schutz zum Nulltarif: Virenscanner für Windows & Mac
• 18.02.23 - Twitter: 2FA via SMS nur noch für zahlende Nutzer
• 11.01.23 - Google-Konditionen zur Datenverarbeitung abgemahnt
• 07.01.23 - Internetzugriff auf iCloud-Daten deaktivieren - so gehts
• mehr…