Quelle: Flickr-Account der Piratenpartei
Betrügerische Webseiten können Zugriff auf elektronische Personalausweise erlangen und diese missbrauchen, um sich bei anderen Seiten auszuweisen. Dies ermöglicht eine jetzt neu aufgedeckte Sicherheitslücke zusammen mit einer bereits bekannten Angriffstaktik.
Jan Schejbal, Mitglied der Piratenpartei Deutschland, wies bereits im November 2010 kurz nach Einführung des ePerso die Unsicherheit der
dazugehörigen AusweisApp nach . Im Januar diesen Jahres demonstrierte er dann eine Möglichkeit , wie Angreifer die PIN des neuen
Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis jedoch noch nicht missbraucht werden.
Nun hat Schejbal eine Möglichkeit entdeckt, wie ein Angreifer
gleichzeitig zum PIN-Diebstahl auch auf das Lesegerät und somit direkt
auf den Ausweis eines Nutzers zugreifen kann. Dadurch könnte der
Angreifer die Identität des Inhabers missbrauchen und sich im Internet
als der Inhaber, sein Opfer, ausgeben. Wegen der über den ePerso
erfolgten Identifizierung wäre es für das Opfer sehr schwer, den Betrug
vor Gericht nachzuweisen.
Der Angriff nutzt eine Funktion des Browser-Plugins „OWOK“, das
Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. »Das Plugin
gehört zu einem der sogenannten „Starter-Kits“, mit denen zu Beginn des
ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern
subventioniert unter die Bevölkerung gebracht wurden«, so Jan Schejbal.
»Ich gehe aber davon aus, dass auch andere Plugins betroffen sind.« Die
technischen Details sowie ein Video des Angriffs hat Jan Schejbal in
seinem Blog veröffentlicht. Der Angriff wurde von der Redaktion des
c’t-Magazins verifiziert.
Die Piratenpartei befürchtet, dass der ePerso genutzt werden könnte, um
eine Klarnamenpflicht im Internet durchzusetzen. Innenminister Friedrich
(CSU) forderte eine solche Pflicht am gestrigen Sonntag gegenüber dem
SPIEGEL. Axel E. Fischer (CDU), Vorsitzender der Enquête-Kommission
Internet und digitale Gesellschaft, erhob im November 2010 dieselbe
Forderung und schlug explizit vor, sie mit Hilfe des ePersos
durchzusetzen.
»Wir halten die Möglichkeit, sich anonym oder pseudonym zu äußern, für
einen wichtigen Pfeiler der Meinungsfreiheit«, erklärt Sebastian Nerz,
Vorsitzender der Piratenpartei Deutschland. »Wie die neue
Sicherheitslücke des ePersos erneut beweist, wäre ein Klarnamengebot
aber nicht nur politisch gefährlich, sondern auch unsinnig. Technisch
versierte Nutzer werden immer Möglichkeiten finden, den Behörden einen
Schritt voraus zu sein. Statt Meinungsfreiheit für alle hätten wir dann
eine Klassengesellschaft: Wer die Lücken findet, benutzt die Identität
anderer, wer sich nicht gut genug auskennt, ist der Dumme. Oder man
veröffentlicht einfach im Ausland: Das Internet kennt keine klassischen
Landesgrenzen.«