RFID – Ausweis

Seit 2010 hat jeder Personalausweis in Deutschland einen RFID-Chip. Mit diesem Chip ist es möglich, sich auf dem Onlineweg bei vielen privaten oder öffentlichen Organisationen zu legitimieren. Auf diese Weise entfallen die zeitraubenden manuellen Kontrollen des Personalausweises. Angeblich ist das neue Ausweisdokument fälschungssicher und Hacker können nicht auf den RFID-Chip zugreifen. Das ist aber leider ein Irrtum, wie sich jetzt herausgestellt hat. Den Sicherheitsforschern von SEC-Consult ist es gelungen, die praktische Online-Ausweis-Funktion zu knacken. Sie haben sich dabei als Johann Wolfgang von Goethe ausgegeben.

Was macht den Personalausweis angreifbar?

E-ID-Client – so heißt die Vorrichtung, die Angreifer davon abhalten soll, auf den Personalausweis zuzugreifen. Ein weiterer Sicherheitsmechanismus ist ein Authentifizierungsserver, der für die digitalen Signaturen zuständig ist. Für den Fall, dass ein Angreifer den Versuch unternimmt, die Daten auf dem Personalausweis zu verändern, wird die Signatur automatisch ungültig. Damit ist es dann nicht mehr möglich, den Namen oder das Geburtsdatum zu verändern. Die Webanwendung erkennt, dass es sich um den Versuch einer Manipulation handelt. Darauf haben sich die Bürger bis jetzt verlassen können. Die Personalausweise sind sicher, hieß es, das scheint aber nicht der Fall zu sein, wie die Forscher von SEC-Consult bewiesen haben. Die Forscher haben die Schwachstelle entdeckt und sie schließen nicht aus, dass es die einzige Schwachstelle ist.

Wie gelingt es, den Code zu knacken?

Die Wissenschaftler entdeckten die Schwachstelle des Personalausweises relativ schnell. Sie erlaubt es dem Angreifer, die persönlichen Daten auf dem Ausweis zu manipulieren, und zwar so, dass die digitale Signatur nicht ungültig wird. Auf diese Weise können sich die Angreifer online als jeder beliebige Bürger ausgeben und beispielsweise ohne Probleme einen Altersnachweis fälschen. Betroffen von dieser Schwachstelle sind auch Webanwendungen wie das Governikus Autent SDK bis zur Version 3.8.1. Im Sommer 2018 gelang es den Forschern, diese Schwachstelle aufzuspüren und an CERT-Bund zu melden. Seit August dieses Jahres steht nun eine Version 3.8.2 zur Verfügung, die frei von Fehlern ist. Alle betroffen Kunden können sich beim Anbieter Governikus informieren. Das gilt auch für diejenigen, die noch eine ältere SDK-Version für die Authentifizierung verwenden, sie sollten sich für ein schnelles Update entscheiden. Zudem können alle möglichen Angriffe auf die Log-Dateien überprüft werden.

Zusätzliche Schutzmaßnahmen

In einer Presseerklärung erklärte Governikus, dass die von den Mitarbeitern von SEC-Consult entdeckte Schwachstelle ausschließlich in einer Anwendung zu Demozwecken wirksam ist. Beim Inhalt handelt es sich daher auch nicht um die komplette Governikus Autent SDK. Im wirklichen Betrieb müssten also weitere Maßnahmen im Rechenzentrum durchgeführt werden. Governikus konnte aber leider nicht erklären, was diese zusätzliche Sicherheits- und Schutzmaßnahmen bewirken sollen. Auch wie es gelingen kann, einen Angriff gezielt abzuwenden, verriet Governikus nicht. Das Unternehmen weist jedoch darauf hin, dass das SDK nur in Java-Umgebungen läuft und die Funktion des Ausweises auf dem Onlineweg nur eine der vielen möglichen Anwendungen ist.

Kein neues Problem

Der angeblich so sichere Personalausweis ist in der Realität alles andere als sicher. Dieses Problem gibt es jedoch schon eine ganze Weile. Als der Personalausweis mit einem RFID-Chip ausgegeben wurde, stand bereits fest, dass Hacker ihn bereits geknackt haben. Sie kamen bei einem Prototypen ohne Probleme an die Geheimnummer des eingebauten Chips und veränderten einfach die geheime PIN-Nummer. Damit konnten die Hacker alle Servicefunktionen des Personalausweises nach Belieben sperren. Sie schafften es außerdem, die elektronische Signatur nach ihren Wünschen zu manipulieren. Damit ist es unter anderem möglich, fremde Verträge zu unterschreiben. Als das erste Testmodell des Ausweises kam, hatte es sich der Chaos-Computer-Club zur Aufgabe gemacht, den RFID-Chip zu überschreiben, was ihnen auch mühelos gelungen ist.

Einkaufen ohne Risiko?

Im Internet einkaufen ist praktisch, bequem und in vielen Fällen auch günstig. Bezahlt wird gerne mit der Kreditkarte und für die Identifizierung müssen die Kunden ihren Personalausweis bereithalten. Die Computerexperten haben eindrucksvoll bewiesen, dass es durchaus möglich ist, die elektronische Signatur zusammen mit der Spionagesoftware zu stehlen. Die Diebe könnten damit ohne Weiteres Kaufverträge im Namen der Ausweisinhaber abschließen, die dann die Rechnung zahlen müssen. Der neue Personalausweis sollte genau das verhindern. Die Verbraucher sollten mit ihrer elektronischen Unterschrift Verträge online unterschreiben können, ohne ein Risiko einzugehen. Damit, so war es eigentlich mal vorgesehen, sind in der Zukunft Besuche bei Behörden oder bei der Post nicht mehr notwendig.

Gibt es neue Sicherheitsmaßnahmen?

Nach dem geglückten Experiment der Wissenschaftler von SEC-Consult stellt sich natürlich die Frage, ob und was das Bundesamt für Sicherheit in der Informationstechnik unternehmen will. Das Amt räumt zwar ein, dass es grundsätzlich möglich ist, mit einem Lesegerät und einer Trojaner-Software eine PIN-Nummer auszuspähen. Dabei kommen sogenannte Keylogger-Programme zum Einsatz, die schon dann eingreifen, wenn etwas über die Tastatur eingegeben wird. Der Angreifer bekommt jedoch keinen Einblick in die persönlichen Daten des Inhabers des Ausweises. Diese Daten sind immer gut verschlüsselt und es sind keine zusätzlichen Sicherheitsvorkehrungen geplant, so das Bundesamt für Sicherheit in der Informationstechnik. Das Amt weist vielmehr darauf hin, dass der Schutz eines PCs, was die Schutzsoftware abgeht, immer auf dem neusten Stand sein sollte. Nur so lassen sich die Angriffe von Trojanern effektiv vermeiden.

Müssen sich die Bürger Sorgen machen?

Niemand, der jetzt im Internet einkaufen geht oder für die Eröffnung eines Kontos ein Video-Ident-Verfahren durchläuft, muss Angst haben, ein Opfer zu sein. Die Gefahr, dass Hacker eine Sicherheitslücke finden, besteht zwar immer noch, dass es die breite Masse trifft, ist jedoch unwahrscheinlich. Selbst wenn die Technik mit der die Hacker arbeiten, auf den ersten Blick simpel ist, Wunderdinge können sie damit auch nicht vollbringen. Wer unsicher ist und daher den RFID-Chip in seinem Personalausweis deaktivieren möchte, sollte das nicht tun, denn das ist verboten. Ein Personalausweis ist ein amtliches Dokument und gehört der Bundesrepublik Deutschland.

Die Mitarbeiter von SEC-Consult haben unter wissenschaftlichen Bedingungen eine kritische Schwachstelle im Personalausweis gefunden. Das ist aber kein Grund, panisch zu sein, denn Hacker suchen sich immer die Schwachstellen, die einen großen Gewinn versprechen. Kreditkarten sind in diesem Fall das deutlich attraktivere Ziel, als es ein Personalausweis ist. Um einen schwungvollen Handel mit gefälschten Papieren ins Leben zu rufen, braucht es schon etwas mehr, als eine einzige schwache Stelle im Personalausweis.

Beitragsbild: depositphotos.com / 193230426@stadtratte

1 vote, average: 5,00 out of 51 vote, average: 5,00 out of 51 vote, average: 5,00 out of 51 vote, average: 5,00 out of 51 vote, average: 5,00 out of 5
Ulrike Dietz

Ulrike Dietz

Ulrike Dietz ist verheiratet, Mutter von zwei Kindern und lebt im Hochsauerland. Die Journalistin und Buchautorin schreibt Artikel zu vielen verschiedenen Themen.
Ulrike Dietz

Als Amazon-Partner verdienen wir an qualifizierten Käufen / Letzte Aktualisierung am 13.12.2018 / Affiliate Links * / Platzierung nach Amazonverkaufsrang / Amazon und das Amazon-Logo sind Warenzeichen von Amazon.com, Inc. oder eines seiner verbundenen Unternehmen