ARD Magazin Plusminus und CCC über angebliche Schwachstelle beim neuen Personalausweis
Laut www.daserste.de wurden angeblich “gravierende Mängel” im Sicherheitssystem festgestellt. Im Detail heisst es sensible Daten samt der PIN können abgefangen werden.
Was hier ganz offensichtlich geschehen ist war die Installation eines Key-Loggers oder Trojaners um die Eingaben des Benutzers am Computer abzufangen. Diese Technik ist inzwischen vermutlich 20 Jahre alt oder sogar älter. Ein solcher Key-Logger kann gleichfalls z.B. auch Anmeldepasswörter auf Webseiten oder für Anwendungen, Kreditkartennummern, e-Mail Adressen – im Zweifelsfall ganze e-Mails – während der Eingabe mitschneiden. Auf einem ordentlich konfigurierten und gesicherten PC eines Privatanwenders sollte sich solch ein Trojaner nicht ohne weiteres “von alleine” installieren und selbst dann aber von den gängigen Malware Scannern erkannt werden. In Unternehmensumgebungen gehören entsprechende Vorkehrungen inzwischen zum Standard.
Der festgestellte Umstand ist daher keineswegs neu und sowohl BMI/BSI wie auch der Fachwelt durchaus bewusst. Aus diesem Grund verweist das BSI selbst in den zugehörigen Richtlinien auf die Sicherheitsprobleme bei Lesegeräten ohne eigenes PIN-Pad und hat dafür Sorge getragen, dass z.B. digitale Signaturen nur mit Geräten mit eigenem Display und eigenem PIN-Pad durchgeführt werden können.
Welche anderen sensiblen Daten der CCC seiner Meinung nach ausgelesen haben will lässt sich nur rein spekulativ vermuten und dürfte im Wesentlichen auf die Fähigkeiten eines klassischen Trojaners reduziert sein.
Wie immer gilt: soziale Probleme lassen sich durch technische Mittel nicht lösen und aktuelle Updates, Vermeidung unbekannter Software insbesondere aus zwielichtigen Quellen (Filesharing, nicht-vertrauenswürdige Webseiten, usw.) und regelmässige Kontrollen mit Malware Scannern sind die Grundvorraussetzung zum sicheren Betrieb des eigenen Computers.
In Bezug auf “andere sensible Daten” ist es ausgeschlossen, dass der CCC in der Lage ist Name, Anschrift, Geburtsdatum o.ä. während des Auslesevorgangs auszulesen. Wenn personenbezogene Daten ausgelesen werden, dann von einer Webseite eines Dienstanbieters oder aber aus anderen Quellen auf dem angegriffenen Computer. Auf diesen Aspekt und das warum und wieso würde ich gern in einem getrennten Artikel eingehen.
Du weißt genau, was gemacht wird. Man nehme eine neue App, die unverschlüsselt und unautorisiert arbeitet, schiebe sie auf den nPA und demonstriere die Katastrophe.
[ ] Du weisst wie es funktioniert. Ich besitze eine solche “unauthorisierte” App und ohne Verschlüsselung geht da nichts. “auf den nPA” schieben ist auch nicht drin. D.h. wenn etwas kommt ist es entweder längst bekannt oder heisse Luft. Oder beides, so wie jetzt.