summaryrefslogtreecommitdiff
path: root/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md')
-rw-r--r--updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md245
1 files changed, 245 insertions, 0 deletions
diff --git a/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md b/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md
new file mode 100644
index 00000000..8b66c3e8
--- /dev/null
+++ b/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md
@@ -0,0 +1,245 @@
1title: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
2date: 2010-09-21 22:00:00
3updated: 2010-09-21 22:28:35
4author: erdgeist
5tags: update, pressemitteilung
6
7Der Chaos Computer Club (CCC) hat in Zusammenarbeit mit Schweizer Sicherheitsexperten erhebliche Schwachstellen im neuen elektronischen Personalausweis und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Interessierte Tüftler, aber auch Kriminelle können beide Identitätsnachweise mit einfachen Mitteln ferngesteuert benutzen.
8
9<!-- TEASER_END -->
10
11Nachdem der Chaos Computer Club schon seit Jahren auf Risiken
12bei biometrischen Ausweisdokumenten hingewiesen
13hat, [\[8\]](http://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html "Vortrag zum ePass und ePA")
14wurden nun Sicherheitsprobleme in der Praxis demonstriert. Die
15Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß
16sich schon mit einfacher, für jedermann problemlos im Netz erhältlicher
17Software sowohl die SuisseID als auch der elektronische Personalausweis
18(ePA) \[2\] ferngesteuert benutzen lassen. Die dafür ausgenutzten
19Sicherheitslücken werden bereits heute hunderttausendfach von
20Kriminellen benutzt, um etwa Kontendaten zu erlangen.
21[\[11\]](http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp "Mittwoch, 22. September, 21.55 Uhr WDR-Fernsehen")
22
23*"Es geht hier nicht um theoretische Schwachstellen, es geht um
24praxisrelevantes systemisches Versagen"*, kommentiert CCC-Sprecher Dirk
25Engling. *"Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware
26auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie
27der SuisseID und dem ePA im Vordergrund stehen."*
28
29Der neue elektronische biometrische Ausweis soll am 1. November 2010 in
30Deutschland eingeführt werden. Er hat eine kontaktlose Schnittstelle mit
31einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und
32elektronische Identitätsdaten gespeichert sind. In der Schweiz ist ein
33elektronischer Identitätsnachweis, basierend auf einer herkömmlichen
34Smartcard, bereits im Umlauf: die SuisseID. Zwischen der SuisseID und
35dem deutschen elektronischen Ausweis (ePA) \[2\] gibt es Parallelen,
36die beide für Manipulationen verwundbar machen.
37Diese technischen Angriffe sind teilweise simpel genug, um von gemeinen
38Online-Kriminellen problemlos beherrscht zu werden.
39
40*"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen
41Personalausweises wird durch die übereilte Einführung eines sowohl
42konzeptionell schwachen als auch technisch fragwürdigen
43Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des
44zukünftig wichtigsten Dokuments eines jeden
45Bürgers vom Kinderzimmer-Computer aus möglich"*, sagt CCC-Sprecher Dirk
46Engling.
47
48Die Angriffsflächen, die sich durch die Einführung und Verwendung der
49digitalen Identitäten bieten, sind weitaus umfangreicher als bislang
50öffentlich thematisiert. *"Wir wollen vor allem darauf hinwirken, daß
51die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der
52realen Risiken für den Benutzer ein Ende findet"*,
53sagt Sicherheitsforscher Thorsten Schröder.
54
55Bei beiden Produkten handelt sich um Smartcard-Lösungen, welche zur
56elektronischen Identifikation des legitimen Eigentümers eingesetzt
57werden sollen. Die SuisseID besitzt ein zweites Zertifikat, welches
58zusätzlich zur rechtlich verbindlichen Signatur eingesetzt
59wird. Diese Funktion ist beim deutschen elektronischen Personalausweis
60noch optional. Beim digitalen Signieren mit der SuisseID gelang es den
61Angreifern, mit einer fremden Identität eine rechtsgültige Unterschrift
62abzugeben. Auch der elektronische Ausweis hat vergleichbare Schwächen.
63
64Die elektronische Unterschrift hat für den unbedarften Nutzer weitere
65Schwachpunkte. So kann nicht davon ausgegangen werden, daß ein Dokument
66innerhalb unterschiedlicher Signierapplikationen identisch aussieht. Es
67gibt weder klare Richtlinien noch Empfehlungen. So war es möglich,
68innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven
69JavaScript-Inhalten zu signieren, ohne daß die Applikation selber dieses
70Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation,
71beispielsweise dem weitverbreiteten Acrobat Reader der Firma
72Adobe, sieht das Dokument anders aus. Unter gewissen Bedingungen wird
73gar die rechtsgültige Unterschrift weiter als qualifiziert und intakt
74dargestellt.[\[5\]](http://www.remote-exploit.org/wp-content/uploads/2010/09/sigdemo.pdf "Signiertes PDF mit aktiven Inhalten")
75
76*"Es ist grundsätzlich eine schlechte Idee, komplexe Dokumentenformate
77wie PDF für solche Signaturen zu verwenden"*, sagte Thorsten
78Schröder. Der Schweizer Sicherheitsexperte Max Moser kommentierte die
79Qualität der jetzigen Applikationen zur rechtsgültigen Unterschrift so:
80*"Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht
81einmal sicher sein kann, daß das, was ich vermute
82zu unterschreiben, auch tatsächlich dem dargestellten Inhalt
83entspricht?"* Hinzu kommt, daß der Benutzer vollumfänglich dafür haftbar
84gemacht werden kann, da die Unterschrift ja rechtsgültig ist.
85
86## Die Hintergründe
87
88Daß viele aktuelle Computer nicht jederzeit allein unter der Kontrolle
89ihrer Besitzer stehen, ist leider traurige Realität. Beim Online-Banking
90ist dies live und in Farbe zu beobachten: Mit dem finanziellen Wert der
91digitalen Geheimnisse steigt die kriminelle Energie, unerlaubten Zugriff
92zu erlangen. Ohne Berücksichtigung dieser realen Risiken kann der ePA
93schon bei der Einführung leicht zu einem
94weiteren sicherheitstechnisch vermasselten staatlichen Großprojekt werden.
95
96Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er
97gezwungen, seine geheime PIN über die Tastatur seines Rechners
98einzugeben. Lauscht nun eine versteckte Software-Komponente wie etwa ein
99sogenannter "Trojaner" auf dem Rechner diese Tastatureingaben mit, ist
100die PIN nicht mehr als vertraulich zu betrachten. Auch
101Taschenspielertricks, wie etwa mit der Maus anzuklickende virtuelle
102Tastaturen, bieten keinen ernstzunehmendem Schutz bei einem
103kompromittierten Computer. Mit dem Wissen um die PIN kann ein Angreifer
104nun den Ausweis nach Belieben benutzen, solange dieser auf einem
105Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als
106Besitzer des Ausweise ausgeben, ohne dabei auf die übertragenden Daten
107Zugriff zu nehmen. Problemlos kann der Angreifer sogar die "geheime" PIN
108des Ausweises ändern.
109
110Das Bundesinnenministerium hat im Rahmen des
111Großprojektes die einfachen Basis-Lesegeräte erworben, die per
112Schadsoftware abgeschnüffelt werden können. \[1\] Eine Million dieser
113Geräte sollen in einem "Starterkit" an Ausweisbesitzer vergeben werden.
114Den Betroffenen wird damit eine potentielle Sicherheitslücke
115untergejubelt. Auch sozial schwache "Kunden" des ePA sind besonders
116betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur
117schwerlich leisten können und werden
118zudem über die potentiellen Risiken gar nicht aufgeklärt.
119
120Doch selbst der Einsatz von teureren Lesegeräten mit eigener
121PIN-Tastatur bietet nur begenzten Schutz. Denn der
122aus dem Online-Banking bekannte Angriff "Man-In-The-Browser" benötigt
123keine PIN. Hierbei wird der Inhalt von Transaktionen modifiziert, ohne
124daß der Benutzer dies bemerkt. Deshalb tendieren die meisten
125Online-Banking-Applikationen zur Endbegünstigtenverifikation bzw.
126Transaktionssignierung, bei der nicht ausschließlich die Identität des
127Kunden, sondern auch der Inhalt der Transaktion validiert und bestätigt
128wird. Obwohl die meisten Banken diese Probleme erkannt haben und durch
129den Einsatz eines sicheren Zweitkanals den Schwachstellen
130entgegenwirken, scheinen all diese Erfahrungen an den Designern des ePA
131vorbeigegangen zu sein.
132
133Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen
134sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der
135Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß
136man nicht einmal im physikalischen Besitz der SuisseID oder des
137elektronischen Personalausweises sein muß, um Schindluder zu treiben.
138Die offensichtlich falschen Vertrauensbilder sollten nicht noch von
139Ministern weiterverbreitet werden.
140
141*"Die an der Einführung und am Betrieb der Systeme beteiligten
142Unternehmen und staatlichen Stellen können nicht oft genug an ihre
143Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden"*, sagt Thorsten
144Schröder. *"Wenn schon alle Verantwortlichen behaupten, es ginge gar
145nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist
146es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und
147zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter
148Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten,
149man müsse für einen Mißbrauch im physikalischen Besitz der Smartcard
150sein, grenzt an Fahrlässigkeit."*
151
152## Ausblick
153
154In der Schweiz kann man bereits erleben, was in Deutschland bisher nur
155geplant ist: Mit der SuisseID werden tatsächlich schon digital
156rechtsverbindliche Signaturen vergeben und Behördengänge erledigt.
157
158Die bei der SuisseID benutzten Smartcards basieren auf
159dem Chip SLE66CX322P von Infineon, ein Smartcard-Chip der neueren
160Generation. Obwohl der Chip derzeit als noch ausreichend sicher für
161diesen Anwendungszweck gilt, kann auch er mit entsprechenden technischen
162Mitteln angegriffen werden. So hat Christopher Tarnovski auf der
163Blackhat 2010 gezeigt, wie die Sicherheitsmaßnahmen ausgehebelt werden
164können.
165[\[4\]](https://media.blackhat.com/bh-dc-10/video/Tarnovsky_Chris/BlackHat-DC-2010-Tarnovsky-DeconstructProcessor-video.m4v)
166Dies führt dazu, daß die Inhalte extrahiert und Identitäten geklont
167werden könnten.
168
169Selbst ein Beheben der aktuellen Lücken durch Einsatz von besseren
170Lesegeräten mit eigener PIN-Tastatur bietet also keine langfristige
171Sicherheitsgarantie. *"Von einer Nutzung der SuisseID zur rechtsgültigen
172Signierung muß in Anbetracht der mangelhaften Applikationen und
173komplexen Problemstellungen dringend abgeraten werden"*, empfiehlt
174Sicherheitsexperte Max Moser.
175
176Der CCC weist alle zukünftigen Ausweisbesitzer darauf hin, daß nur
177höherwertige Lesegeräte – mindestens der Klasse 2 – verwendet werden
178sollten, um wenigstens einen Schutz vor den simplen Angriffen mittels
179leicht verfügbarer Spionagesoftware zu erreichen. Sie unterscheiden sich
180von den Billiggeräten durch ein eingebautes Pinpad. Dadurch muß die PIN
181nicht mehr am PC eingegeben werden, wo sie von der Schadsoftware
182abgefangen werden kann.
183
184Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt
185naturgemäß anders: *"Der Spagat zwischen Datenschutz und
186Bedienungskomfort ist gelungen"*, schreibt das Bundesamt für
187Sicherheit in der Informationstechnik (BSI) über den elektronischen
188Personalausweis in seinem aktuellen Jahresbericht.
189
190"Was die da rauchen, hätten wir auch gern mal",
191kommentierte CCC-Sprecher Engling.
192
193## Meldebehörden unzureichend vorbereitet
194
195Bei den Meldebehörden, die den elektronischen Personalausweis ab 1.
196November an den Mann bringen sollen, sind die Vorbereitungen längst noch
197nicht abgeschlossen. Fest steht jedoch bereits, daß die Ausgabe an den
198Bürger mindestens doppelt solange dauern wird wie beim alten
199Personalausweis.
200[\[6\]](http://www.derwesten.de/staedte/holzwickede/Buergerbuero-plant-fuer-neuen-Perso-id3666144.html "Bürgerbüro plant für neuen Perso")
201Die Bürgeranfragen häufen sich unterdessen und können nicht ausreichend
202beantwortet werden. Auch die Schulungsmaßnahmen stehen noch am Anfang.
203Selbst die Hardware wurde erst kürzlich an die Meldestellen verschickt.
204
205Die IT-Dienstleister sind ebenfalls unzufrieden. Die in den
206Meldebehörden benötigte Software liegt noch immer nicht vor. Daher ist
207die eigentlich für Mitte August angesetzte Testphase bloße
208Augenwischerei. Ob die Umstellung auf den elektronischen Personalausweis
209rechtzeitig erfolgen kann, steht einen Monat vor dem Stichtag noch immer
210in den Sternen.
211
212Übrigens, wer sich die horrenden Personalausweisgebühren sparen will:
213Vor Ende Oktober noch einen alten Ausweis beantragen hilft auch, die
214erkennungsdienstliche Behandlung zu umgehen. Die Abgabe der
215biometrischen Fingerabdrücke ist ab November zwar freiwillig, die des
216biometrischen Frontalfotos allerdings nicht. Wer den Termin verpaßt, hat
217nur noch die Chance, den Chip im Ausweis zu deaktivieren.
218[\[10\]](http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp "Schüler löschen persönliche Daten auf neuem Personalausweis")
219Das bleibt folgenlos, denn rechtlich und faktisch ist das
220Ausweisdokument auch ohne funktionierenden Chip vollwertig gültig.
221
222## Links und weiterführende Informationen
223
224\[1\] Lesegeräte der Klasse CAT-B nach BSI TR 03119\
225\[2\] seit neuestem auch nPA, für "neu", demnächst dann tPA, für
226"teuer"\
227\[3\] "Virtuelles PIN-Pad sichert neuen Personalausweis" auch
228nicht <http://www.egovernment-computing.de/index.cfm?pid=7272&pk=281245&cmp=rss-bep>\
229\[4\] <https://media.blackhat.com/bh-dc-10/video/Tarnovsky_Chris/BlackHat-DC-2010-Tarnovsky-DeconstructProcessor-video.m4v>\
230\[5\] Signiertes PDF mit aktiven
231Inhalten <http://www.remote-exploit.org/wp-content/uploads/2010/09/sigdemo.pdf>\
232\[6\] Bürgerbüro plant für neuen Perso
233<http://www.derwesten.de/staedte/holzwickede/Buergerbuero-plant-fuer-neuen-Perso-id3666144.html>\
234\[7\] Hack der Klasse-3-Lesegeräte der Firma
235Kobil <http://colibri.net63.net/>\
236\[8\] Vortrag zum ePass und
237ePA: <http://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html>\
238\[9\] SuisseID Security & Slides des Vortrages von Max Moser und
239Thorsten Schröder: <http://www.remote-exploit.org/?page_id=673>\
240\[10\] Schüler löschen persönliche Daten auf neuem
241Personalausweis <http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp>\
242\[11\] Mittwoch, 22. September, 21.55 Uhr
243WDR-Fernsehen [http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp\
244](http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp)\[12\]
245Video: SuisseID / Smartcard USB Takeover <http://www.vimeo.com/15155073>