Sicherheitslücke im elektronischen Personalausweis
Der Chaos Computer Club demonstrierte dem ARD – Magazin Report München, dass der elektronische Personalausweis angreifbar ist. Mittels eines Trojaners lässt sich ein Rechner angreifen, um dann die PIN des elektronischen Personalausweises abzugreifen.
Dem Chaos Computer Club war es gelungen, einen Computer mit einem Trojaner zu infizieren, um die PIN einer Nutzerin auszulesen und so ihren Rentenversicherungsverlauf und damit Informationen über ihre Berufstätigkeit auszulesen. Der Experte konnte auch ein Bankkonto unter der Identität der Nutzerin eröffnen. Bereits im August 2010 hatte der Chaos Computer Club eine Schwachstelle an den Basislesegeräten für den elektronischen Personalausweis gefunden. Danach war es möglich, die PIN und andere Daten abzufangen. Das Lesegerät erlaubt es, sich mit dem Personalausweis am heimischen Computer für Onlinegeschäfte zu identifizieren. Tatsächlich bestätigte der BSI, dass über die Schadsoftware bei der Verwendung von Basislesegeräten ein Sicherheitsproblem besteht. Die IT-Behörde argumentierte aber, dass die PIN nur in Kombination mit der Ausweiskarte genutzt werden könne. Daher rät das BSI: "Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden." Allerdings wies das BSI darauf hin, dass dies nur für die Ausweisfunktion des Ausweises gelte, und nicht für dessen rechtsverbindliche Signaturfunktion. Diese könne ausschließlich mit einem Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden, wo der Angriff nicht möglich war. Nach Angaben des Chaos Computer Clubs soll die alte Sicherheitslücke von 2010 immer noch bestehen. Auch die neueste Version der AusweisApp bringe Software mit Exploits auf den PC.Nach Meinung der Hacker hinterlässt die AusweisApp einen extrem unprofessionellen Eindruck.
