Sicherheitslücke beim neuen Personalausweis?
Zuletzt geupdatet am Sonntag, 21 November 2010 08:09 Geschrieben von Andreas Mittwoch, 10 November 2010 12:51
Aktuell geistern in den Online- und Printmedien Meldungen herum, dass es “Hackern” gelungen sei, den neuen elektronischen Personalausweis zu knacken.
Der angebliche “Hacker” hat die Updatefunktion des Ausweisapps so manipuliert, dass die Möglichkeit besteht, über falsche Zertifikate Schadsoftware von anderen Servern auf den PC zu laden. Dazu ist eine nicht unkomplizierte DNS-Manipulation notwendig.
Es ist aber eher unwahrscheinlich das diese theoretische Lücke dazu führen wird, dass Daten oder die PIN des neuen ePersonalausweises ausgespäht werden. In erster Linie würde das also so eingespeiste, herkömmliche Schadsoftware betreffen.Â
Sicherlich wird diese Lücke, soweit sie sich als wirklich kritisch erweist, sehr schnell vom Bundesamt für Sicherheit der Informationstechnik per Update geschlossen werden.
Muss man jetzt um die Sicherheit des neuen ePersos besorgt sein?
Nein. Der ePerso selber ist von der Sicherheitslücke garnicht direkt betroffen. Trotzdem sollte man elementare Sicherheits-Grundregeln beim Umgang mit dem Ausweisapp einhalten.
Dazu gehören ein aktueller Virenschutz Ihres PCs sowie regelmäßige Updates des Ausweis-Apps, um eventuelle, neu entdeckte Sicherheitslücken schnell und zuverlässig zu schließen. Weiterhin wird empfohlen, lieber Standard- oder Komfortlesegeräte statt Basislesegeräten für die online-Funktionen des neuen Personalausweises zu verwenden.
Einen sehr guten Schutz vor Schadsoftware wie Viren und Trojanern erhalten Sie zum Beispiel mit den Virenschutzpaketen von Kaspersky.
Weitere Maßnahmen zum Schutz vor Missbrauch finden Sie in unseren Sicherheitstipps für den neuen Personalausweis.
WeiterlesenNeuer Personalausweis – BSI-zertifizierte Lesegeräte sind Mangelware
Zuletzt geupdatet am Dienstag, 14 Dezember 2010 01:20 Geschrieben von Andreas Dienstag, 2 November 2010 11:29
Seit 1. November 2010 hat der deutsche Bürger keine Wahl mehr: der neue Personalausweis ist da. Jeder, der einen neuen Ausweis benötigt, muss ab sofort tiefer in die Tasche greifen und bis zu 28,80 Euro für einen 10 Jahre gültigen elektronischen Ausweis bezahlen.
Wer dabei die neuen Funktionen wie elektronische online-Signatur oder den Identitätsnachweis nutzen möchte, benötigt dafür ein spezielles Kartenlesegerät mit RFID Chipkartenleser.
Problematisch an den neuen Lesegeräten ist aber, dass es derzeit nur 3 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Kartenleser gibt. Insgesamt 11 Chipkartenlesegeräte-Hersteller haben bisher 19 Geräte für die Zertifizierung beim BSI angemeldet oder geplant. Ein Großteil der Geräte wurde trotz ursprünglich früher anvisierter Zertifizierungstermine noch nicht zertifiziert.
Viele Hersteller wollen die Investitions- und Entwicklungskosten  in die neuen Geräte möglichst gering halten, da aktuell kaum absehbar ist, wie gut der neue Personalausweis samt der neuen elektronischen Funktionen von den Bürgern angenommen werden wird. Daher sind auch mögliche Rechnungen zu zukünftigen Absatz- und Umsatzzahlen bisher reine Spekulationen. So bleiben die Geräte für viele kleinere Unternehmen ein unkalkulierbares, finanzielles Risiko, in welches nur vorsichtig investiert wird.
Die 3 vom BSI zertifizierten Kartenleser stammen von den Firmen SCM Microsystems und REINER SCT. Dabei handelt es sich um die 3 Basis-Kartenleser SCL011 (24,95€ bei Conrad), SCM SDI011 und den SCT cyberJack® RFID basis.
Zusätzlich zu der geringen Geräteauswahl kommt erschwerend hinzu, dass alle 3 aktuell erhältlichen Geräte auf dem Markt Basis-Kartenlesegeräte der untersten Preiskategorie sind. Diese Geräte besitzen keine eigene Pin-Eingabetastatur und wurden von verschiedenen Organisationen teilweise als nicht zu 100% sicher dargestellt. Außerdem kann man mit Basis-Kartenlesern lediglich die Online-Ausweisfunktion eID nutzen, nicht aber die elektronische Signatur QES um z.B. online Geschäfte abzuschließen. Der Nutzer muss also selber abwägen, ob er bereits jetzt zuschlägt oder aber auf in Zukunft neu zertifizierte Standard-, oder Komfort-Lesegeräte wartet.
Bei der Nutzung von Basis-Lesegeräten empfiehlt es sich auf jeden Fall, eine aktuelle Firewall sowie ein auf dem neusten Stand befindliches Anti-Virenprogramm zu verwenden, um Angriffen und Phishing-Versuchen von Schadsoftware einen Riegel vorzuschieben.
Die wenigen Geräte, die aktuell im Handel verfügbar sind, sind in den meisten Läden und Shops schnell wieder vergriffen. Es bleibt abzuwarten, ob sich die Lage auf dem Kartenlesegerätemarkt in absehbarer Zeit entspannt.
Weiterlesen