Elektronischer Personalausweis: Der Möchtegern-Hack des CCC

Da hat sich der Chaos-Computer-Club aber mächtig weit aus dem Fenster gelehnt. Nicht sicher sei der elektronische Personalausweis. Wie gestern angekündigt, wurde ein Hack in der Sendung Plusminus vorgeführt, hinterlässt aber einen faden Beigeschmack: Ein Keylogger unter Windows: Das soll der Hack gewesen sein?

Tatsächlich ist es nicht gelungen, den Ausweis an sich oder das Lesegerät anzugreifen. Die Hacker haben sich damit begnügt, die Eingabe der zum Ausweis gehörigen PIN auf dem PC mitzuloggen, an den das Lesegerät angeschlossen ist. Mit Hilfe dieser PIN kann der Ausweis tatsächlich von Schadsoftware missbraucht werden – aber nur, solange der Ausweis weiterhin auf dem Lesegerät liegt.

Ein Angreifer muss also den PC des Ausweis-Inhabers via Virus/Trojaner unter Kontrolle haben oder den Ausweis nach Ausspähen der PIN stehlen. Die Sicherheit ist also Vergleichbar mit der von Homebanking (ohne iTAN/mTAN) oder Geldautomaten. Genauso gut kann man argumentieren, der Ausweis ist nicht sicher, weil Oma ihre sechsstellige PIN ja ihrem Enkel oder dem netten Herrn vom Amt verraten könne.

[adrotate group="5"]

Das Bundesinnenministerium hat zugleich Recht und Unrecht, wenn es keinen Handlungsbedarf sieht: Das Problem betrifft nicht den Ausweis an sich. Was der CCC da präsentiert, ist eher ein Möchtegern-Hack. Es demonstriert zwar nicht die Unsicherheit des elektronischen Personalausweises an sich, aber die Unsicherheit der Computer, mit denen man sie einliest. Die Empfehlung, Firewall und Antivirensoftware einzusetzen sowie auf Regelmäßige Sicherheitsupdates zu achten, greift dennoch etwas kurz. Eher sollte die Empfehlung lauten, auf die Online-Funktion des Ausweises zu verzichten.

Einige sind der Meinung, die Sicherheitslücke bestünde im Klasse-1-Lesegerät. Das ist nur bedingt der Fall. Es stimmt zwar, dass die Klasse-1-Geräte keine eigene Tastatur haben, so dass die PIN am möglicherweise manipulierten PC eingegeben wird, während Klasse-2-Geräte eine eigene Tastatur haben und die PIN nie auf den Rechner gelangt. Das ändert aber nichts daran, dass Schadsoftware allerhand Unfug mit den Daten eines angeschlossenen Ausweises anstellen kann, egal auf welchem Wege die Eingabe der PIN erfolgt und unabhängig davon, ob die PIN selbst abgegriffen werden konnte oder nicht.

Bundesinnenminister Thomas de Maiziere sagte zu Plusminus: “Wir arbeiten gerne an besseren Lesegeräten. Die können gerne auch noch ein bisschen teurer und sicherer werden.” Das ist ein schlechter Witz. Ich empfehle eher, den alten Personalausweis noch so weit wie möglich verlängern zu lassen, zumal es eine ganze Reihe anderer guter Gründe gibt, die gegen den elektronischen Personalausweis sprechen. Führt im Amt kein Weg mehr um das das neue “Papier” herum, sollte die Verwendung mit dem heimischen PC grundsätzlich vermieden werden. Nicht nur aus Sicherheitsgründen: Verbreitet sich die Nutzung des ePerso im Internet so weit, dass er von Firmen wie Amazon oder Ebay als obligatorisch angesehen wird, haben diejenigen, die ihn nicht online nutzen wollen, irgendwann keine Chance mehr, sind anders im Netz zu identifizieren.

14 Gedanken zu „Elektronischer Personalausweis: Der Möchtegern-Hack des CCC“

  1. Die Jungs und Mädels vom CCC möchten halt im Gespräch bleiben. Und wenn es nur bei den Rentnern am Stammtisch ist ;)

  2. Der CCC hat gar nicht selbst behauptet, er hätte den Ausweis gehackt. Die ARD hat da einfach ordentlich übertrieben, siehe:
    http://www.zeit.de/digital/datenschutz/2010-08/elektronischer-personalausweis-uebertriebene-sorge

    Ich wette, die vom Fernsehen wollten den Club mal fragen, was so geht. Dann haben die das aufgebauscht, um die Sendung zu pushen. Nicht umsonst hat der CCC rein gar nichts auf ccc.de dazu.

    Andererseits finde ich es eigentlich die wirkliche Sicherheitslücke, die die ARD da betont: dass nämlich der Ausweisbesitzer seinen Rechner nicht sicher bekommt. Es könnte also doch ein CCC-Hack – ein social hack, um das bei der ARD senden zu lassen. :)

  3. Ich habe schon in der Vorbericht Erstattung so lachen müssen. Jede Nachrichtensendung hat sich auf die ARD und deren Berichterstattung gestützt. Wie von etablierten Medien “Stimmung” gemacht wurde und Gerüchte gestreut wurden OHNE fachlichen Inhalt. Die 20Sekunden die der CCC Sprecher da immer sprechen durfte mit “nicht sicher” “gehackt” und so weiter. Es war göttlich.
    Vorallem weil es in den letzten Monaten mehrere Messen (u.a. auf der Cebit) an diversen Ständen Infomaterialien zum neuen ePerso gab. Und dort wurde die Schwachstelle RFID-Lesegeräte schon so oft auseinander genommen, dass ein “Hack” umso erstaunlicher hätte sein müssen. Immerhin hat die BRD mehrere Hunderttausend Euro in den neuen Person investiert. Und viele Firmen arbeiten bereits mit ähnlichen Ausweisen, PKI Strukturen und Zertifikaten, wieso sollten diese nach mehreren Jahren Probezeit plötzlich “unsicher” seien?

    Als dann Plusminus lief und der Hype auf allen Kanälen gelüftet wurde, war es so lachhaft. Was der CCC gemacht hat, war ja nichtmal ein Hack! Die haben einfach die Tastatureingaben ausgelesen WOWWWWWWWW. Hallo, dass schafft jeder IT-Student in 10minuten. Ich hätte gedacht, sie hätten Aufwand betrieben, die Kommunikation mehrmals mitgeschnitten und gefiltert, evtll auf dem Chip Daten mitgelesen oder ähnliches. Pustekuchen. Die Herren haben genau die Schwachstelle “ausgesucht” die von jetzigen Phishingprogrammen, Keyloggern und Trojanern ausgenutzt wird. Die nicht virtualisierte Keyboard Eingabe. Mit dem Argument müsste ich Blizzard und Co verklagen können, die kennen das Problem nämlich auch. Gott sei dank bieten gängige Virenprogramme und Schutzsoftware ala Kaspersky genug Schutz durch Anti-Trojaner und virtuelle Tastaturen.

    Es war die unterhaltsamste Sendung auf der ARD seit Wochen. Selten so gelacht. CCC, ARD und sämtliche Medien haben sich mal wieder mehr als lächerlich gemacht. Ich habe meinem Großvater dann erklärt, dass sein Perso sicher sei. Er kauft ja eh beim Händler um die Ecke und nicht online ein.^^

  4. Vorwort:

    Warum wurde der Kommentar entfernt, und das, ohne Benachrichtigung an die zustaendige Mail-Adresse zu senden ?
    Es besteht doch , so hoffe ich, noch Meinungsfreiheit , oder
    ist hier die Direktive von hoch Oben zum tragen gekommen ?
    Traf dieser Kommentar den Nagel auf den Kopf?

    Kommentar wieder eingestellt:

    Mein Eindruck ist, daß so mancher Kommentator sich der Tragweite über die Einführung eines derartigen Ausweises mit den angebotenen Möglichkeiten nicht im Klaren ist.
    Was bekommen wir geschenkt? Nicht den Ausweis, nein, den muss man ja auch noch teuer bezahlen, eigentlich eine Frechheit, denn wir alle haben einen Ausweis, der reicht völlig aus, den kann jeder lesen und das Konterfei betrachten. Warum noch einen Chip?
    Und was benötigt nun der brave Bürger um die gepriesenen Vorteile zu nutzen? Einen Chip-Leser und was braucht man dazu um den Chip Leser am PC zu betreiben? Ein Programm, wird ja gleich mitgeliefert.
    Nun, denken wir mal nur 1 oder 2 Jahre zurück..
    Da war doch was, nannte sich Bundestrojaner, wie bekommt man den auf des Bürgers oder Firmen PC, es wurde heiß diskutiert und keine brauchbare Möglichkeit gefunden!
    Bei dem Informationsdurst unserer Politiker könnte man es sich gut vorstellen, hier nun eine Möglichkeit gefunden zu haben, und das ganz ohne Komplikationen. Gab es nicht schon mal eine Institution die alles über die Bürger eines Staates wissen wollte, aber die ist nun ja mit dem Fall der Mauer auch untergegangen, oder?
    Unter dem Aspekt, mein Haus, mein Auto…. mein PC , wird der unbedarfte Bürger, wenn er kein Geschenk des Bundes bekommen hat, was im übrigen wieder alle Steuerzahler tragen müssen, sich selbst dieses Chip-Lesegeraet mit der nötigen Software besorgen.

    Welch schöne Aussicht für den Bund, alles über den Bürger zu erfahren, Querverweise zu ziehen, Ausgaben zu kontrollieren, und was noch alles so interessant ist.
    Ja, alle Code Worte, alle Chiffrierungen von der Verschlüsselungssoftware kann dem Bund , oder auch dem Hacker mitgeteilt werden und damit ist auch eine Mail-Kontrolle möglich, chiffrierte Mails sind dann nicht mehr nötig!
    Ich will ja nicht unken, aber ein RFID Chip zusätzlich ist auch denkbar (die totale Kontrolle). Somit werden dann auch keine Millionenbeträge mehr für Daten CD’s gebraucht, denn man weiß ja, wer wann nach Lichtenstein oder in die Schweiz fährt! Ja ja, der Bund muß sparen, die Investitionen lohnen sich!
    Ach ja, hier kommt dann auch noch StreetView von Google zum tragen, wie sieht denn z.B. der gekaufte Bikini von Frau Meier Schulze aus, liegt sie im Garten und sonnt sich und kann sie sich den auch leisten in dem laufenden Insolvenzverfahren?
    Oder, an stelle sich vor, man startet den PC, logt sich ein ins Internet und unbemerkt auch beim Bund, der nun weiss wann Karl Maier Schulze erreichbar ist! Was bedeutet dieses Szenario für Firmen? Nicht weiter denken….
    Ich will es nun nicht weiter ausmalen, aber sind wir nicht schon glaesern genug? .
    Nicht nur Nacktscanner ziehen den Bürger aus, nun auch noch der eigene PC!
    Zu der Ansicht Sicherheit durch Firewall und Virenscanner muß man sich eins vor Augen halten, wir sind das Volk, OK, doch der Staat ist die Macht (sh. Stuttgart 21)!

    Meine persönliche Auffassung ist: Hinter einem derartigen Aufwand, der aus meiner Sicht nicht nötig ist, steckt eine klare Absicht!
    Hier ist jeder Bürger gefragt, wie weit will er die Hosen runter lassen.

    A.S.

  5. @A.S.: Deinen Kommentar lese ich gerade zum ersten mal und habe ganz sicher nichts wissentlich gelöscht – das mache ich nur sehr selten und bei Kommentaren, von denen ich meine, dass es aus juristischen Gründen nötig sei. Der Sinn deiner Verschwörungstheorie bleibt jedoch teilweise im Dunkeln: Einerseits hat der neue Perso einen RFID-Chip, das folgt erst nicht irgendwann später, andererseits bedeutet die Signatur-Funtkion nicht, dass er einen Schlüssel enthält, mit dem Mails dann so verschlüsselt werden, dass der Staat mitlesen kann.

  6. @Enno Park:
    Es geht nicht um Sinn von Verschwörungstheorien.
    Kritisch angemerkt wurde nur, was sich aus der Einführung des Perso mit geschenktem Lesegerät b.z.w. Software ableiten und entwickeln lässt.
    Sicher ist das der RFID aus der Entfernung, je nach Typ, auslesbar ist, das sollte jedem bewusst sein.
    So betrachtet ist der Perso ein mobiler Bewegungsmelder. Das zum E-Perso. Bisher wurde sicher nicht alles bekannt gegeben was im Chip gespeichert ist, die Ausweisnummer aber doch ganz bestimmt, wenn auch verschlüsselt, das reicht zur Überwachung!
    Die weitere Variante “Software ” gibt hier auch Anregung zum Nachdenken. Der Wunsch nach Onlinedurchsuchung ist ja noch nicht vom Tisch, oder?
    Nun, wenn auch ein bisschen drastisch dargestellt, aber unmöglich, so darf man das Thema nicht betrachten.

  7. @A.S. Du überschätzt die Möglichkeiten von RFID: Die Lesegeräte arbeiten nur in relativ kleinen Abständen. Bei den üblichen RFID-Karten wie Mensen sie einsetzen, muss man sie z.B. wirklich aufs Lesegerät legen, um sie auszulesen. Natürlich kann man mit stärkeren Sendern/Empfängern arbeiten, die allerdings sehr schnell überfordert sind, wenn zu viele Ausweise in ihre Reichweite geraten – also gerade an zentralen Stellen wie z.B. U-Bahn-Zugängen usw. taugt RFID nicht. Damit will ich den Ausweis nicht verteitigen, sondern nur auf der sachlichen Ebene bleiben. Im vorherigen Post gibt es ja ein paar Anregungen, wie sich der RFID-Chip unschädlich machen lässt. Und vom dem Einsatz im Netz, gar noch in Verbindung mit DE-Mail und ähnlichem, rate ich selbst dringend hab.

  8. @Enno Park :
    Hier ein Statement vom Hersteller :
    In Abhängigkeit von einer Reihe von Faktoren (Antennengröße, Funkfrequenz, Umweltbedingungen etc.) kann ein passives Etikett* einen Leseabstand von wenigen Zentimetern bis über 10 Metern haben.
    Grob gilt: Je größer die Antenne, desto größer auch die Reichweite.

    Nun, vom Einsatz des Perso im Netz reden wir nicht, sondern von der Möglichkeit, mit der Einführung und der dazu mehr oder weniger notwendigen SW-Installation , sagen wir mal, – sich frei zu schalten- ! Ist ein Schadprogramm unerkannt auf dem PC, dann liegt dem, mit Verlaub gesagten Spion, wer es auch immer sein mag, Bund oder auch ein Hacker, die Privatsphäre des Perso-Besitzers zur Einsicht offen.

    Thema Überwachung:
    Wenn man z.B. ins EU-Ausland fährt, oder auch in nicht EU Länder, so sind die Grenzstationen ja noch vorhanden und es wird jeweils seriell die Durchfahrt gesteuert.
    Nun, von einer Überforderung der Empfangsanlagen kann in diesen Fällen keine Rede sein. In Anbetracht der oben genannten Fähigkeiten der RFID Chips ist meine Auffassung einer Kontrolle nicht von der Hand zu weisen.

    * Etikett ist hier mit RFID Chip zu verstehen.

  9. An Grenzen habe ich absolut kein Problem damit, mich dem jeweiligen Land durch Vorlage eines Ausweises oder auch durch Abfrage eines RFID-Passes gegenüber zu präsentieren. Die EU mag hier in der Tat ein Grenzfall (*sic*) sein, aber spätestens beim außereuropäischen Ländern…

    Zudem kann man die 10m (die nebenbei bemerkt unter optimalen Bedingungen gelten – daher auch “bis zu”) gezielt wieder in den Zentimeterbereich drücken, passende Ausweishüllen sind seit langem auf dem Markt. Wer deren Wirkung nicht glaubt, schaut mal im nächsten HF-Labor von Uni/FH/TH vorbei. Zur Not wandert das gute Stück halt für zwei Sekunden versehentlich in die nächste Mikrowelle.

    Nein, mit meinem aktuellen Reisepass werde ich letzteres nicht ausprobieren – könnte am Flughafen in NYC doch für etwas Stress sorgen.

    Btw, war der Hinweis auf StreetView und Frau Meiers Bikini eigentlich Unkenntnis oder ein misslungener Scherz? Nur mal am Rande…

  10. Ich finde diese ganzen Diskussionen um den neuen Personalausweis langsam etwas nervig. Es ist doch ganz offensichtlich, dass nicht der Perso an sich unsicher ist, sondern höchstens die Lesegeräte. Aber auch da kann nicht mehr passieren als am normalen Bankautomaten auch. Ganz sicher kann man eben nie sein. Wahrscheinlich stört der neue Perso die Leute nur deshalb so, weil er einfach viel teurer ist als der alte…

Kommentare sind geschlossen.