Sicherheitslücke bei Software für ePerso

Berlin/Hannover - Ein Computerexperte hat eine weitere Sicherheitslücke bei der Online-Identifizierung mit dem neuen Personalausweis aufgedeckt.

Betrüger könnten sich unter bestimmten Voraussetzungen über das Internet als Inhaber des Dokuments ausgeben, berichtete der Informatikstudent Jan Schejbal. Das Problem liege dabei nicht bei dem elektronischen Dokument selbst, sondern bei einer Beigleit-Software, die viele Nutzer installiert hätten. “Mit dieser Lücke kann der Angreifer den Ausweis konkret missbrauchen“, sagte er der Deutschen Presse-Agentur am Montag. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Behörde erklärte, den Bericht zu prüfen.

Schejbal konstruierte einen mehrstufigen Angriff. Er setzt an einer Browser-Erweiterung an, die Nutzer bestimmter Lesegeräte installieren können. Das Plugin erlaube einer Website, auf den Kartenleser und den darauf liegenden Ausweis zuzugreifen, berichtete Schejbal. Wenn der Angreifer die Geheimzahl (PIN) kenne, könne er den Ausweis nutzen wie das Opfer. Schejbal, Mitglied der Piratenpartei, hatte im Januar demonstriert, wie die PIN ausgespäht werden kann.

Damit der Angriff gelingt, müssen aber mehrere Voraussetzungen erfüllt sein. Nur das Basislesegerät ist dafür anfällig, die teureren Standard- und Komfortlesegeräte sind nicht betroffen. Auf dem Rechner des potenziellen Opfers muss überdies das Plugin OWOK installiert sein - dies sei Teil vieler “Starterkits“, die zum Start des neuen Personalausweises verteilt wurden, erklärte Schejbal. Zudem sei Voraussetzung, dass der Ausweis auf dem Lesegerät liege. Das Fachmagazin “Heise Online“ bestätigte die Wirksamkeit des Angriffs. “Nach meiner Einschätzung ist es das erste Szenario, das Schadpotenzial hat“, sagte Redakteur Axel Kossel.

dpa

Auch interessant

Meistgelesene Artikel

Feuerwehrler löschen viertes Feuer, da wirft ein genervter Anwohner Böller auf sie
Viermal in fünf Tagen hat es in einem Hochhaus in Berlin gebrannt. Immer zwischen 20:30 Uhr und 21:30 Uhr. Ein Anwohner entlud nun seinen Frust darüber. Sein Opfer: Die …
Feuerwehrler löschen viertes Feuer, da wirft ein genervter Anwohner Böller auf sie
Vater und Tochter (11) von Lawine erfasst - tot
Schweres Lawinenunglücke gab es am Sonntag in Frankreich und in der Schweiz. Für einen Vater und seine Tochter kam jede Hilfe zu spät. 
Vater und Tochter (11) von Lawine erfasst - tot
Asylantrag wurde abgelehnt: Gewinner des Silbernen Bären stirbt völlig verarmt
Nach dem Gewinn des Silbernen Bären bei den Filmfestspielen in Berlin beantragte der Schauspieler Nazif Mujic Asyl in Deutschland. Der Antrag wurde abgelehnt - nun ist …
Asylantrag wurde abgelehnt: Gewinner des Silbernen Bären stirbt völlig verarmt
Zehntausende Vodafone-Kunden ohne TV, Internet und Telefon - Polizei hat kuriose Vermutung
Rund 40.000 Anschlüsse in den Berliner Stadtteilen Zehlendorf, Wilmersdorf und Steglitz hatten am Sonntag keinen Anschluss an TV, Internet und Festnetz-Telefon. …
Zehntausende Vodafone-Kunden ohne TV, Internet und Telefon - Polizei hat kuriose Vermutung

Kommentare