Hacker-Kongress
Wie sicher ist der ePerso?

Frank Morgner und Dominik Oepen von der Humboldt-Universität zu Berlin beschreiben auf dem 27C3 neue Angriffsmethoden auf den neuen Personalausweis (nPA). Sie zeigen, dass nicht nur die einfachen Basislesegeräte angreifbar sind, sondern auch die höherwertigen Standard- und Komfortlesegeräte mit Tastatur.
  • 1

BERLIN. Grundsätzlich erfüllt der neue Personalausweis zwei Aufgaben: Zunächst die hoheitliche Aufgabe, den Besitzer gegenüber dem Staat auszuweisen - an dieser ändert sich durch den neuen Funkchip im Ausweis nichts.

Optional kann der elektronisch auslesbare Ausweis künftig aber auch genutzt werden, um die Sicherheit beim Online-Kauf zu erhöhen und eine gültige Unterschrift online zu leisten. Beim Online-Kauf muss der Nutzer zusätzlich zu Benutzername und Passwort dann den Ausweis besitzen und einen Geheimcode (PIN) eingeben. Der Chaos Computer Club wies bereits vor dem Start des ePersos darauf hin, dass ein Schadprogramm auf dem PC in einem solchen Fall den PIN-Code auslesen könne.

Diese Angriffsmethode funktioniert allerdings nur, wenn der PIN über die Tastatur eingegeben wird. Das ist bei einem Basislesegerät immer der Fall, da dieser keine eigene Tastatur besitzt, sondern die Tastatur des PCs nutzt. Dennoch ist der Einsatz des ePersos mit Basisgerät immer noch sicherer als die reine Identifikation ausschließlich mit Benutzername und Kennwort, wozu es derzeit keine Alternative gibt. Schadprogramme wie ein sogenannter Keylogger, der die Tastatureingaben ausliest, können mittels einer aktuellen Anti-Virus-Software, die für einen Windows-PC ohnehin zwingend erforderlich ist, verhindert werden.

Die beiden Informatiker Dominik Oepen und Frank Morgner von der Humboldt-Universität Berlin haben auf dem Hacker-Kongress 27C3 in Berlin neue Angriffsmethoden auf die Authentifizierung vorgestellt, die auch Konfigurationen mit Standard- und Komfort-Lesegerät treffen, die eine eigene Tastatur zur Eingabe mitbringen. Den Informatikern ist es auf einem UNIX-System gelungen, ein vorhandenes Eingabegerät gegenüber dem Betriebssystem zu simulieren.

Seite 1:

Wie sicher ist der ePerso?

Seite 2:

Seite 3:

Kommentare zu " Hacker-Kongress: Wie sicher ist der ePerso?"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • Nur eine "gewisse Sicherheit" finde ich zu schwach formuliert. Die Alternative ist bisher das Passwort über die Tastatur einzugeben. Das ist extrem schwach gegenüber der neuen Technik des nPA im Zusammenspiel mit einem Komfort-Lesegerät.
    immerhin ist dieser Artikel nicht so reißerisch wie die ersten zum Thema und weist auch darauf hin, dass bei einem normalerweise mit einem Virenschutz ausgerüsteten PC die Sicherheit hoch ist.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%