Sonstiges

Chaos Computer Club: Personalausweis 2.0 ist komplett unsicher

Der Chaos Computer Club (CCC) hat heute mehrere Methoden vorgestellt, mit denen der kommende Personalausweis 2.0 gehackt werden kann. Ein Beispiel basiert darauf, dass es für Adobes PDF-Format keine verbindlichen Darstellungsrichtlinien gibt. Dadurch könnten etwa zwei Vertragspartner gänzlich unterschiedliche Versionen eines Dokuments zu sehen bekommen. Der Käufer glaubt mit der elektronischen Signatur einen Vertrag über 100 Euro zu unterschreiben. Der Vertrag des kriminellen Verkäufers weist aber einen Preis von 10.000 Euro aus. Und genau dieser Betrag  ist dann auch rechtsgültig, weil die Vereinbarung die korrekte Signatur des Betrogenen trägt. In der Praxis ist diese Art der Manipulation zwar relativ einfach nachweisbar, die generelle Möglichkeit weist aber schon auf gravierende Mängel im Konzept hin.

Dirk Engling, Sprecher des CCC, nannte uns im Gespräch als weiteres Beispiel den „Man in the Browser“-Angriff. „Wenn Sie einen Trojaner auf dem Rechner haben, kann der so tun, als sei er Ihr Bankprogramm. Sie loggen sich ganz normal über Ihren Browser bei Ihrer Sparkasse ein und identifizieren sich zum Beispiel mit Ihrem elektronischen Personalausweis. In Wirklichkeit senden Sie die Informationen aber an die Schadsoftware auf Ihrem PC. Das Programm wiederum meldet sich mit Ihren Daten bei Ihrem Geldinstitut an und führt dort beliebige Transaktionen von Ihrem Konto aus. Sie merken aber nichts davon, weil der Trojaner Ihnen ja eine Bankseite anzeigt, bei der alles in Ordnung ist“, meint der Experte. Im Extremfall könnte eine ausgefeilte Software sogar die Kontoauszüge simulieren, so dass der Kunde erst dann die wirklichen Geldbewegungen sieht, wenn der Postbote einen Brief mit dem wahren Finanzstatus vorbeibringt.

Engling betont, dass es ihm eigentlich gar nicht um die einzelnen Hacks als solche geht: „In zwei Monaten gibt es wieder völlig andere Methoden.“ Mit den präsentierten Beispielen will der Verein aber aufzeigen, dass das ganze Sicherheitskonzept für das Staatsdokument mangelhaft ist. „Die Bundesregierung tut in ihrer Werbung so, als ob schon der elektronische Ausweis allein für Sicherheit im Internet sorgen würde. Das ist aber völlig irreführend und verantwortungslos“, so der Sprecher. Denn die staatliche Plastikkarte schütze natürlich nicht vor den zahlreichen Angriffsmöglichkeiten, von denen die Hacker nur einige vorgestellt haben. Mit der korrekten Absicherung des Heimrechners vor bösartiger Software sei der normale Bürger aber überfordert. Deshalb fordert der CCC, dass die Regierung deutlich auf die Gefahren hinweist, anstatt unkritisch ihr Projekt zu bejubeln und dem Bürger dadurch eine falsche Sicherheit zu suggerieren.

Jetzt sieht es so aus, als würde das geplante Prestigeprojekt des deutschen Staates doch zum völligen Rohrkrepierer. Nicht allein, dass das Sicherheitskonzept selbst weit hinter den ausgefeilteren  Methoden des privaten Bankgewerbes zurückbleibt. Noch schlimmer ist eigentlich, dass die zuständigen Behörden das nicht zugeben wollen und aus Imagegründen jede Kritik kleinreden. Bei den Bürgern, die technisch nicht so versiert sind wie die Technik-Freaks des CCC, entsteht dadurch nämlich der Eindruck, Onlinegeschäfte mit der behördlichen Plastikdokument seien wirklich grundsätzlich sicher. Wenn sie dann aber betrogen werden, zahlen sie die Zeche ganz alleine.

(Nils Baer)


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Nils Baer

Nils Baer hat im Jahr 2010 über 100 Artikel für BASIC thinking geschrieben und veröffentlicht.

35 Kommentare

  • Wieso werden die Jungs vom CCC dazu nicht mal vorher befragt. So ist es wieder mal nur peinlich für die Verantwortlichen und kostet unnötig Geld.

  • schade, dass bt als sprachrohr für ALLE deutschen leider nicht taugt. mal abgesehen von beiträgen, die einen über „killerspielspieler“ mal korrekt informieren, wäre das hier wirklich etwas, was der gesamten masse konkret bewusst gemacht werden MUSS! bin froh, dass der ccc bei solchen dingen kein blatt vor den mund nimmt und sich auf der anderen seite nicht so aufspielt. ich bleib aber beim onlinebanking lieber beim kartenlesegerät mit ziffernfeld als authentifizierungsmöglichkeit.

  • Ein Glück… ich brauch erst in 8 Jahren einen neuen. Da kann man ja nur raten, jetzt noch mal den Perso zu „verlieren“…

    Und es ist zu hoffen, dass die Regierung aufwacht. Da man ja heute für alle möglichen Angriffe eine Videoanleitung bekommen kann, ahne ich sonst böses.

  • ich halte auch nichts von dem neuen Personalausweis. Nicht nur weil er unsicher ist zusätzlich habe ich auch Bedenken wegen des Datenschutz.
    Theorhethisch kann ja einfach alles verzeichnet werden was man macht ohne das man überhaupt davon erfährt.

  • Zum Punkt 1 bzgl. dem PDF Dokument: Hier wird die Funktion der elektronischen Signatur angesprochen, welche sowieso eine Zusatzfunktion darstellt, die man nutzen kann, aber nicht muss. Hier stellt sich mir die frage, warum das denn ausgerechnet mit dem neuen Perso ins Spiel gebracht wird? Was unterscheidet die Signaturfunktion des Persos von denen andrerer (bereits am Markt etablierten) Anbieter wie S-Trust, Telekom, Post etc.?
    Das Problem haben alle Anbieter einer Lösung für elektronische Signaturen! Das eigentliche Problem hier ist eher im Signaturgesetz zu sehen.

    Die übrigen angesprochenen Punkte sind nicht neu und hier muss ich einfach wiederholen, was ich als Kommentar bereits in einem anderen Post geschrieben habe:

    Die aktuell im Internet vorhandenen Methoden zur Authentifizierung von Anwendern – in fast 100% der Fälle mittels Username/Passwort – ist weitaus unsicherer (da noch einfacher auszuspähen) als die Verwendung eines Persos mittels Lesegerät mit eingebauter Tastatur. Die Kritik an der Verwendung der Basislesegeräte stimme ich allerdings zu.

    Ciao
    Peter

  • Mich würd mal interessieren wie sicher meine Greencard ist. (Stand Juli 2010) Wenn das jemand vom CCC liest, ich stelle gerne meine Greencard einem Sicherheitstest zur Verfügung. Vorausgesetzt dass ich sie danach heil wieder mit nach Hause nehmen kann. Also, wenn Bedarf da ist, meldet euch.

  • Mich würde mal interessieren um wieviel sicherer heutige Transaktionen im Netz durch den Einsatz werden? 😉

    Nicht im Vergleich zu anderen technischen Möglichkeiten sondern zu heutigen Online Portalen der Sparkassen und Banken und Versandhäuser…

    Beste Grüße – Frank

  • @13 / Kritiker

    ich bild mir ein gelesen zu haben das ein Mindestdatensatz immer drauf ist.
    Nur Biometrisches usw ist freiwillig. Adresse aber nicht.
    Ab in die Microwelle und gut ist.

    Ich glaube nicht, dass jemand betraft wird wenn der mal nicht klappt
    und wenn ich mir so anschau wo der deutsche Perso/Reisepass elktronisch geprüft wird dann Bild ich mir ein, dass das nur bei ein/ausreise in .de so ist.
    In den USA hat da noch keiner bei mir das Ding wo durchgezogen. Sichtprüfung, grünes Pappding reingeklammert, fertig.

  • Also ersten ist diese neue Perso einfach nur Sche…

    Wer benötigt diese angebliche Sicherheit im Netz?

    Wer sich ein wenig auskennt der weiß auch wie man sicher im Netz einkaufen kann auch ohne diesen neuen Perso.

    Zudem kostet diese 28 Euro statt die jetzige 8 Euro. Zudem muss die Oma diesen Monster auch nehmen obwohl die noch nicht einmal ein Internet Anschluss hat.

    Wozu also diese Monster?

    Ganz einfach der Bundesinnenminister und vor allen der bayrische Innenminister Herrman wollen doch diesen haben damit die jederzeit wissen wo ihre Bürger gerade sind (Stichwort RFID Chip).

    Da regen sich solche Herren über Street View auf und dabei hat der Staat noch mehr Daten gespeichert.

    Wenn es zumindest 2 Lösungen geben würde, ein normale Perso ohne und ein mit Zusatzfunktion. Aber diese passt die CDU/CSU Überwachungsstaat nicht. Und das 20 Jahre nachdem der MFS aufgelöst würde.

  • Man kann ja eigentlich nur von Glück reden, dass überhaupt irgendeine Organisation solche Produkte neutral auf Sicherheit bewertet. Würde der CCC nicht so ein großes Aufsehen damit erregen, würde das wieder, wie viele Sachen, einfach verschwiegen und vollzogen werden!
    +1 CCC

  • @ #7 ph:

    das Problem das der CCC kritisiert, ist ja nich das das Signaturverfahren etc, sondern vielmehr, dass dem Bürger der Einsatz des Persos zusammen mit der Signaturfunktion als absolute Sicherheit für Onlineaktivitäten verkauft wird und damit alles sicher ist.

    Die Schönrederei und mangelhafte Information ist das Problem.

  • Der Hack ist kompliziert und erfordert eine Reihe von Faktoren, um angewendet zu werden:

    1. Ein PC muss vor dem Hack kompromittiert worden sein
    2. Ein Lesegerät muss eingesetzt werden, dass die PIN Eingabe über den PC erfordert. Dieser muss dann durch Tastatureingaben abgefangen werden.

    Erst wenn diese beiden Punkte erfüllt sind, kann man den Hack anwenden! Da ist es einfacher Online TANs abzufangen!

  • Danke Seb… díe Sinnhaftigkeit vom Personalausweis war nicht das Thema, sondern das Vorgaukeln absoluter Sicherheit.
    Und unter diesem Aspekt macht auch die „*harhar*“-Aussage von Herrn de Maizière absolut Sinn.

  • Datenschutz heutzutage ist ängstlich…danke für diese Infos, auch wenn ich jetzt mich sehr unsicher fühle. Es war nutzbar dein Artikel zu lesen!

  • @19

    zu 2.)
    Du meinst quasi die eine million Lesegeräte die zum Start mit ausgeliefert werden weil die anderen noch nicht verfügbar sind?

    Dann hätten wir den Punkt ja schon mal erfolgreich untergebracht.

    d.h. man braucht sich eigentlich nur noch um Punkt 1 kümmern. Man braucht einen Keylogger auf dem Zielsystem.

    Ist das wirklich so schwer umsetzbar für einen normal-begabten Hacker(hackt via ergoogleten Tutorials)?

  • ja, es ist tatsächlich nicht einfach ein System gezielt zu kompromittieren.

    Ich bin mir sicher, dass die Erfolgsquote wesentlich höher liegt, wenn man Online-Banking Transaktionen abfängt, als ewig lang darauf warten zu müssen, bis ein Nutzer endlich mal einen Behördengang online erledigt. Zumal ich mir relativ sicher bin, dass es nicht allzulange dauern wird, bis standardmäßig nur Lesegeräte mit Tastatureingabe ausgeliefert werden. Dann hat sich das ganze Theater auch erledigt.

  • ARGH

    So ein Schwansinn !!!
    BT goes BILD.
    Warum ist denn jetzt der Perso „gehackt“ wenn jemand das PDF manipuliert?
    Genauso der man in the browser Angriff? Da wird nicht der Perso gehackt, sondern die Onlinebankingverbindung. Beide „hacks“ gehen genauso mit heutigen Verfahren, nur eben viel leichter …
    Der neue Perso bringt also ein definives Plus an Sicherheit. Wie gross das ist bleibt natürlich dahingestellt. Aber niemand behauptet ernsthaft dass das Ding, bzw die Anwendungen die man damit nutzt 100% sicher sind.

    Warum schreibst Du nicht einfach, dass dir der Perso aus datenschutzrechtlichen Gründen nicht passt? Das ist doch vollkommen legitim. Aber so eine doch eher fadenscheinige Argumentation zu bringen, das der neue Perso „gehackt“ wurde ist einfach nicht professionell, sorry.

    PS: Wisst Ihr eigentlich WIE einfach es heute ist Verträge zu faken? Faxbestellungen mit Unterschrift sind zb auch rechtsgültig – und sind ja mal sooo easy zu faken. Aus 100 mach 1000 – schwupps, das kann jeder mittelmässig begabte Kleinkriminelle mit Photshop, und dann nochmal durchs Fax. Fax in the middle sozusagen. Ach da fallen mir tausend Dinge ein die man machen kann..
    Amazon Passwort klauen, Bankverbind (ELV) und mal schön Zeugs an ne andere Lieferadresse bestellen. Wisst Ihr WIE leicht man an Passwörter kommt?

  • Selber Schuld …

    Jeder, der ein entsprechendes Lesegerät an seinem PC betreibt, muss ja tatsächlich der Meinung sein, sein Rechner sei sicher und er als Benutzer sei computertechnisch fitter, als z.B. die Jungs vom CCC … 😉 …

    Wie naiv muss man dazu eigentlich sein?

    90% der User oder mehr dürften nicht mal in der Lage sein, eine FireWall korrekt zu konfigurieren. Und DIE erzählen was von Sicherheit bzw. glauben an sie?

    Und selbst wenn der Ausweis überarbeitet WÜRDE, drei Wochen später wird die nächste Sicherheitslücke entdeckt! Es gibt immer einen Weg!

  • der neue ausweis ist für mich eine art stasi 2000. abgesehen davon das irgendwann alle alles abfragen können, ist er unnötig unsicher. die daten können mit bestimmten geräten wie zb das auslesegerät von tierärzten für gechipte hunde einfach aus 50cm entfernung abkopiert werden. und der hacker hat dann 10 jahre zeit das passwort zu knacken… damit hat er adressen, digitale unterschrift, signaturen etc. er könnte sich bei verandshops anmelden und auf deine kosten einkaufen oder sich einen kredit nehmen ohne das sie es mitbekommen. und beweisen können sie auch nix weil alles über ihren „sicheren“ ausweis gemacht wurde. das ist genauso wie wenn man heute mit windows 2000 ohne firewall und sicherheitsupdates ins netz geht. für mehr infos siehe: http://www.youtube.com/watch?v=259yg74Z3yk

  • Naja, meiner is ja noch bis 2015 gültig.. vielleicht haben die Jungs vom CCC dann alle Probleme offenbart und wurden daraufhin auch hoffentlich vom Hersteller ausgemerzt.. Natürlich nur wenn der deutsche Staat das auch will! 😉

  • Genau da liegt das Problem – Anwender des Personalausweises ist JEDER. Ziel muss sein, dass es jedem möglich ist, geschützt mit dem Personalausweis umzugehen. Diese lückenhafte Software macht aber einen ganz anderen Eindruck – selbst erfahrene Anwender sind den Gefahren des neuen Personalausweises schutzlos ausgeliefert.
    Man kann nur hoffen, dass die Zeit die Lücken heilt… Bzw. irgendwann in puncto AusweisApp etwas vorangeht!

Kommentieren