committing page revision 1

author: erdgeist <erdgeist@erdgeist.org> 2010-09-21 22:28:35 +0000
committer: erdgeist <erdgeist@erdgeist.org> 2020-05-23 13:38:57 +0000
commit: 7c0d265da25a2c06d83b4521061ddf7575d8542b (patch)
tree: 1d4d5be91f4f69edcffa68fae184c92ea40259e2 /updates/2010
parent: 4d3734dc70c0e6e7a9a89a4bfbafcc58544ace85 (diff)
1 files changed, 245 insertions, 0 deletions
diff --git a/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md b/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md
new file mode 100644
index 00000000..8b66c3e8
--- /dev/null
+++ b/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md
@@ -0,0 +1,245 @@
+title: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
+date: 2010-09-21 22:00:00 
+updated: 2010-09-21 22:28:35 
+author: erdgeist
+tags: update, pressemitteilung
+Der Chaos Computer Club (CCC) hat in Zusammenarbeit mit Schweizer Sicherheitsexperten erhebliche Schwachstellen im neuen elektronischen Personalausweis und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Interessierte Tüftler, aber auch Kriminelle können beide Identitätsnachweise mit einfachen Mitteln ferngesteuert benutzen.
+<!-- TEASER_END -->
+Nachdem der Chaos Computer Club schon seit Jahren auf Risiken
+bei biometrischen Ausweisdokumenten hingewiesen
+hat, [\[8\]](http://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html "Vortrag zum ePass und ePA")
+wurden nun Sicherheitsprobleme in der Praxis demonstriert. Die
+Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß
+sich schon mit einfacher, für jedermann problemlos im Netz erhältlicher
+Software sowohl die SuisseID als auch der elektronische Personalausweis
+(ePA) \[2\] ferngesteuert benutzen lassen. Die dafür ausgenutzten
+Sicherheitslücken werden bereits heute hunderttausendfach von
+Kriminellen benutzt, um etwa Kontendaten zu erlangen.
+[\[11\]](http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp "Mittwoch, 22. September, 21.55 Uhr WDR-Fernsehen")
+*"Es geht hier nicht um theoretische Schwachstellen, es geht um
+praxisrelevantes systemisches Versagen"*, kommentiert CCC-Sprecher Dirk
+Engling. *"Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware
+auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie
+der SuisseID und dem ePA im Vordergrund stehen."*
+Der neue elektronische biometrische Ausweis soll am 1. November 2010 in
+Deutschland eingeführt werden. Er hat eine kontaktlose Schnittstelle mit
+einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und
+elektronische Identitätsdaten gespeichert sind. In der Schweiz ist ein
+elektronischer Identitätsnachweis, basierend auf einer herkömmlichen
+Smartcard, bereits im Umlauf: die SuisseID. Zwischen der SuisseID und
+dem deutschen elektronischen Ausweis (ePA) \[2\] gibt es Parallelen,
+die beide für Manipulationen verwundbar machen.
+Diese technischen Angriffe sind teilweise simpel genug, um von gemeinen
+Online-Kriminellen problemlos beherrscht zu werden.
+*"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen
+Personalausweises wird durch die übereilte Einführung eines sowohl
+konzeptionell schwachen als auch technisch fragwürdigen
+Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des
+zukünftig wichtigsten Dokuments eines jeden
+Bürgers vom Kinderzimmer-Computer aus möglich"*, sagt CCC-Sprecher Dirk
+Engling.
+Die Angriffsflächen, die sich durch die Einführung und Verwendung der
+digitalen Identitäten bieten, sind weitaus umfangreicher als bislang
+öffentlich thematisiert. *"Wir wollen vor allem darauf hinwirken, daß
+die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der
+realen Risiken für den Benutzer ein Ende findet"*,
+sagt Sicherheitsforscher Thorsten Schröder.
+Bei beiden Produkten handelt sich um Smartcard-Lösungen, welche zur
+elektronischen Identifikation des legitimen Eigentümers eingesetzt
+werden sollen. Die SuisseID besitzt ein zweites Zertifikat, welches
+zusätzlich zur rechtlich verbindlichen Signatur eingesetzt
+wird. Diese Funktion ist beim deutschen elektronischen Personalausweis
+noch optional. Beim digitalen Signieren mit der SuisseID gelang es den
+Angreifern, mit einer fremden Identität eine rechtsgültige Unterschrift
+abzugeben. Auch der elektronische Ausweis hat vergleichbare Schwächen.
+Die elektronische Unterschrift hat für den unbedarften Nutzer weitere
+Schwachpunkte. So kann nicht davon ausgegangen werden, daß ein Dokument
+innerhalb unterschiedlicher Signierapplikationen identisch aussieht. Es
+gibt weder klare Richtlinien noch Empfehlungen. So war es möglich,
+innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven
+JavaScript-Inhalten zu signieren, ohne daß die Applikation selber dieses
+Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation,
+beispielsweise dem weitverbreiteten Acrobat Reader der Firma
+Adobe, sieht das Dokument anders aus. Unter gewissen Bedingungen wird
+gar die rechtsgültige Unterschrift weiter als qualifiziert und intakt
+dargestellt.[\[5\]](http://www.remote-exploit.org/wp-content/uploads/2010/09/sigdemo.pdf "Signiertes PDF mit aktiven Inhalten")
+*"Es ist grundsätzlich eine schlechte Idee, komplexe Dokumentenformate
+wie PDF für solche Signaturen zu verwenden"*, sagte Thorsten
+Schröder. Der Schweizer Sicherheitsexperte Max Moser kommentierte die
+Qualität der jetzigen Applikationen zur rechtsgültigen Unterschrift so:
+*"Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht
+einmal sicher sein kann, daß das, was ich vermute
+zu unterschreiben, auch tatsächlich dem dargestellten Inhalt
+entspricht?"* Hinzu kommt, daß der Benutzer vollumfänglich dafür haftbar
+gemacht werden kann, da die Unterschrift ja rechtsgültig ist.
+## Die Hintergründe
+Daß viele aktuelle Computer nicht jederzeit allein unter der Kontrolle
+ihrer Besitzer stehen, ist leider traurige Realität. Beim Online-Banking
+ist dies live und in Farbe zu beobachten: Mit dem finanziellen Wert der
+digitalen Geheimnisse steigt die kriminelle Energie, unerlaubten Zugriff
+zu erlangen. Ohne Berücksichtigung dieser realen Risiken kann der ePA
+schon bei der Einführung leicht zu einem
+weiteren sicherheitstechnisch vermasselten staatlichen Großprojekt werden.
+Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er
+gezwungen, seine geheime PIN über die Tastatur seines Rechners
+einzugeben. Lauscht nun eine versteckte Software-Komponente wie etwa ein
+sogenannter "Trojaner" auf dem Rechner diese Tastatureingaben mit, ist
+die PIN nicht mehr als vertraulich zu betrachten. Auch
+Taschenspielertricks, wie etwa mit der Maus anzuklickende virtuelle
+Tastaturen, bieten keinen ernstzunehmendem Schutz bei einem
+kompromittierten Computer. Mit dem Wissen um die PIN kann ein Angreifer
+nun den Ausweis nach Belieben benutzen, solange dieser auf einem
+Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als
+Besitzer des Ausweise ausgeben, ohne dabei auf die übertragenden Daten
+Zugriff zu nehmen. Problemlos kann der Angreifer sogar die "geheime" PIN
+des Ausweises ändern.
+Das Bundesinnenministerium hat im Rahmen des
+Großprojektes die einfachen Basis-Lesegeräte erworben, die per
+Schadsoftware abgeschnüffelt werden können. \[1\] Eine Million dieser
+Geräte sollen in einem "Starterkit" an Ausweisbesitzer vergeben werden.
+Den Betroffenen wird damit eine potentielle Sicherheitslücke
+untergejubelt. Auch sozial schwache "Kunden" des ePA sind besonders
+betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur
+schwerlich leisten können und werden
+zudem über die potentiellen Risiken gar nicht aufgeklärt.
+Doch selbst der Einsatz von teureren Lesegeräten mit eigener
+PIN-Tastatur bietet nur begenzten Schutz. Denn der
+aus dem Online-Banking bekannte Angriff "Man-In-The-Browser" benötigt
+keine PIN. Hierbei wird der Inhalt von Transaktionen modifiziert, ohne
+daß der Benutzer dies bemerkt. Deshalb tendieren die meisten
+Online-Banking-Applikationen zur Endbegünstigtenverifikation bzw.
+Transaktionssignierung, bei der nicht ausschließlich die Identität des
+Kunden, sondern auch der Inhalt der Transaktion validiert und bestätigt
+wird. Obwohl die meisten Banken diese Probleme erkannt haben und durch
+den Einsatz eines sicheren Zweitkanals den Schwachstellen
+entgegenwirken, scheinen all diese Erfahrungen an den Designern des ePA
+vorbeigegangen zu sein.
+Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen
+sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der
+Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß
+man nicht einmal im physikalischen Besitz der SuisseID oder des
+elektronischen Personalausweises sein muß, um Schindluder zu treiben.
+Die offensichtlich falschen Vertrauensbilder sollten nicht noch von
+Ministern weiterverbreitet werden.
+*"Die an der Einführung und am Betrieb der Systeme beteiligten
+Unternehmen und staatlichen Stellen können nicht oft genug an ihre
+Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden"*, sagt Thorsten
+Schröder. *"Wenn schon alle Verantwortlichen behaupten, es ginge gar
+nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist
+es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und
+zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter
+Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten,
+man müsse für einen Mißbrauch im physikalischen Besitz der Smartcard
+sein, grenzt an Fahrlässigkeit."*
+## Ausblick
+In der Schweiz kann man bereits erleben, was in Deutschland bisher nur
+geplant ist: Mit der SuisseID werden tatsächlich schon digital
+rechtsverbindliche Signaturen vergeben und Behördengänge erledigt.
+Die bei der SuisseID benutzten Smartcards basieren auf
+dem Chip SLE66CX322P von Infineon, ein Smartcard-Chip der neueren
+Generation. Obwohl der Chip derzeit als noch ausreichend sicher für
+diesen Anwendungszweck gilt, kann auch er mit entsprechenden technischen
+Mitteln angegriffen werden. So hat Christopher Tarnovski auf der
+Blackhat 2010 gezeigt, wie die Sicherheitsmaßnahmen ausgehebelt werden
+können.
+[\[4\]](https://media.blackhat.com/bh-dc-10/video/Tarnovsky_Chris/BlackHat-DC-2010-Tarnovsky-DeconstructProcessor-video.m4v)
+Dies führt dazu, daß die Inhalte extrahiert und Identitäten geklont
+werden könnten.
+Selbst ein Beheben der aktuellen Lücken durch Einsatz von besseren
+Lesegeräten mit eigener PIN-Tastatur bietet also keine langfristige
+Sicherheitsgarantie. *"Von einer Nutzung der SuisseID zur rechtsgültigen
+Signierung muß in Anbetracht der mangelhaften Applikationen und
+komplexen Problemstellungen dringend abgeraten werden"*, empfiehlt
+Sicherheitsexperte Max Moser.
+Der CCC weist alle zukünftigen Ausweisbesitzer darauf hin, daß nur
+höherwertige Lesegeräte – mindestens der Klasse 2 – verwendet werden
+sollten, um wenigstens einen Schutz vor den simplen Angriffen mittels
+leicht verfügbarer Spionagesoftware zu erreichen. Sie unterscheiden sich
+von den Billiggeräten durch ein eingebautes Pinpad. Dadurch muß die PIN
+nicht mehr am PC eingegeben werden, wo sie von der Schadsoftware
+abgefangen werden kann.
+Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt
+naturgemäß anders: *"Der Spagat zwischen Datenschutz und
+Bedienungskomfort ist gelungen"*, schreibt das Bundesamt für
+Sicherheit in der Informationstechnik (BSI) über den elektronischen
+Personalausweis in seinem aktuellen Jahresbericht.
+"Was die da rauchen, hätten wir auch gern mal",
+kommentierte CCC-Sprecher Engling.
+## Meldebehörden unzureichend vorbereitet
+Bei den Meldebehörden, die den elektronischen Personalausweis ab 1.
+November an den Mann bringen sollen, sind die Vorbereitungen längst noch
+nicht abgeschlossen. Fest steht jedoch bereits, daß die Ausgabe an den
+Bürger mindestens doppelt solange dauern wird wie beim alten
+Personalausweis.
+[\[6\]](http://www.derwesten.de/staedte/holzwickede/Buergerbuero-plant-fuer-neuen-Perso-id3666144.html "Bürgerbüro plant für neuen Perso")
+Die Bürgeranfragen häufen sich unterdessen und können nicht ausreichend
+beantwortet werden. Auch die Schulungsmaßnahmen stehen noch am Anfang.
+Selbst die Hardware wurde erst kürzlich an die Meldestellen verschickt.
+Die IT-Dienstleister sind ebenfalls unzufrieden. Die in den
+Meldebehörden benötigte Software liegt noch immer nicht vor. Daher ist
+die eigentlich für Mitte August angesetzte Testphase bloße
+Augenwischerei. Ob die Umstellung auf den elektronischen Personalausweis
+rechtzeitig erfolgen kann, steht einen Monat vor dem Stichtag noch immer
+in den Sternen.
+Übrigens, wer sich die horrenden Personalausweisgebühren sparen will:
+Vor Ende Oktober noch einen alten Ausweis beantragen hilft auch, die
+erkennungsdienstliche Behandlung zu umgehen. Die Abgabe der
+biometrischen Fingerabdrücke ist ab November zwar freiwillig, die des
+biometrischen Frontalfotos allerdings nicht. Wer den Termin verpaßt, hat
+nur noch die Chance, den Chip im Ausweis zu deaktivieren.
+[\[10\]](http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp "Schüler löschen persönliche Daten auf neuem Personalausweis")
+Das bleibt folgenlos, denn rechtlich und faktisch ist das
+Ausweisdokument auch ohne funktionierenden Chip vollwertig gültig.
+## Links und weiterführende Informationen
+\[1\] Lesegeräte der Klasse CAT-B nach BSI TR 03119\
+\[2\] seit neuestem auch nPA, für "neu", demnächst dann tPA, für
+"teuer"\
+\[3\] "Virtuelles PIN-Pad sichert neuen Personalausweis" auch
+nicht <http://www.egovernment-computing.de/index.cfm?pid=7272&pk=281245&cmp=rss-bep>\
+\[4\] <https://media.blackhat.com/bh-dc-10/video/Tarnovsky_Chris/BlackHat-DC-2010-Tarnovsky-DeconstructProcessor-video.m4v>\
+\[5\] Signiertes PDF mit aktiven
+Inhalten <http://www.remote-exploit.org/wp-content/uploads/2010/09/sigdemo.pdf>\
+\[6\] Bürgerbüro plant für neuen Perso
+<http://www.derwesten.de/staedte/holzwickede/Buergerbuero-plant-fuer-neuen-Perso-id3666144.html>\
+\[7\] Hack der Klasse-3-Lesegeräte der Firma
+Kobil <http://colibri.net63.net/>\
+\[8\] Vortrag zum ePass und
+ePA: <http://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html>\
+\[9\] SuisseID Security & Slides des Vortrages von Max Moser und
+Thorsten Schröder: <http://www.remote-exploit.org/?page_id=673>\
+\[10\] Schüler löschen persönliche Daten auf neuem
+Personalausweis <http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp>\
+\[11\] Mittwoch, 22. September, 21.55 Uhr
+WDR-Fernsehen [http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp\
+](http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp)\[12\]
+Video: SuisseID / Smartcard USB Takeover <http://www.vimeo.com/15155073>
author	erdgeist <erdgeist@erdgeist.org>	2010-09-21 22:28:35 +0000
committer	erdgeist <erdgeist@erdgeist.org>	2020-05-23 13:38:57 +0000
commit	7c0d265da25a2c06d83b4521061ddf7575d8542b (patch)
tree	1d4d5be91f4f69edcffa68fae184c92ea40259e2 /updates/2010
parent	4d3734dc70c0e6e7a9a89a4bfbafcc58544ace85 (diff)

diff --git a/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md b/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md new file mode 100644 index 00000000..8b66c3e8 --- /dev/null +++ b/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa.md
@@ -0,0 +1,245 @@
	1	title: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
	2	date: 2010-09-21 22:00:00
	3	updated: 2010-09-21 22:28:35
	4	author: erdgeist
	5	tags: update, pressemitteilung
	6
	7	Der Chaos Computer Club (CCC) hat in Zusammenarbeit mit Schweizer Sicherheitsexperten erhebliche Schwachstellen im neuen elektronischen Personalausweis und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Interessierte Tüftler, aber auch Kriminelle können beide Identitätsnachweise mit einfachen Mitteln ferngesteuert benutzen.
	8
	9	<!-- TEASER_END -->
	10
	11	Nachdem der Chaos Computer Club schon seit Jahren auf Risiken
	12	bei biometrischen Ausweisdokumenten hingewiesen
	13	hat, [\[8\]](http://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html "Vortrag zum ePass und ePA")
	14	wurden nun Sicherheitsprobleme in der Praxis demonstriert. Die
	15	Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß
	16	sich schon mit einfacher, für jedermann problemlos im Netz erhältlicher
	17	Software sowohl die SuisseID als auch der elektronische Personalausweis
	18	(ePA) \[2\] ferngesteuert benutzen lassen. Die dafür ausgenutzten
	19	Sicherheitslücken werden bereits heute hunderttausendfach von
	20	Kriminellen benutzt, um etwa Kontendaten zu erlangen.
	21	[\[11\]](http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp "Mittwoch, 22. September, 21.55 Uhr WDR-Fernsehen")
	22
	23	*"Es geht hier nicht um theoretische Schwachstellen, es geht um
	24	praxisrelevantes systemisches Versagen"*, kommentiert CCC-Sprecher Dirk
	25	Engling. *"Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware
	26	auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie
	27	der SuisseID und dem ePA im Vordergrund stehen."*
	28
	29	Der neue elektronische biometrische Ausweis soll am 1. November 2010 in
	30	Deutschland eingeführt werden. Er hat eine kontaktlose Schnittstelle mit
	31	einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und
	32	elektronische Identitätsdaten gespeichert sind. In der Schweiz ist ein
	33	elektronischer Identitätsnachweis, basierend auf einer herkömmlichen
	34	Smartcard, bereits im Umlauf: die SuisseID. Zwischen der SuisseID und
	35	dem deutschen elektronischen Ausweis (ePA) \[2\] gibt es Parallelen,
	36	die beide für Manipulationen verwundbar machen.
	37	Diese technischen Angriffe sind teilweise simpel genug, um von gemeinen
	38	Online-Kriminellen problemlos beherrscht zu werden.
	39
	40	*"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen
	41	Personalausweises wird durch die übereilte Einführung eines sowohl
	42	konzeptionell schwachen als auch technisch fragwürdigen
	43	Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des
	44	zukünftig wichtigsten Dokuments eines jeden
	45	Bürgers vom Kinderzimmer-Computer aus möglich"*, sagt CCC-Sprecher Dirk
	46	Engling.
	47
	48	Die Angriffsflächen, die sich durch die Einführung und Verwendung der
	49	digitalen Identitäten bieten, sind weitaus umfangreicher als bislang
	50	öffentlich thematisiert. *"Wir wollen vor allem darauf hinwirken, daß
	51	die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der
	52	realen Risiken für den Benutzer ein Ende findet"*,
	53	sagt Sicherheitsforscher Thorsten Schröder.
	54
	55	Bei beiden Produkten handelt sich um Smartcard-Lösungen, welche zur
	56	elektronischen Identifikation des legitimen Eigentümers eingesetzt
	57	werden sollen. Die SuisseID besitzt ein zweites Zertifikat, welches
	58	zusätzlich zur rechtlich verbindlichen Signatur eingesetzt
	59	wird. Diese Funktion ist beim deutschen elektronischen Personalausweis
	60	noch optional. Beim digitalen Signieren mit der SuisseID gelang es den
	61	Angreifern, mit einer fremden Identität eine rechtsgültige Unterschrift
	62	abzugeben. Auch der elektronische Ausweis hat vergleichbare Schwächen.
	63
	64	Die elektronische Unterschrift hat für den unbedarften Nutzer weitere
	65	Schwachpunkte. So kann nicht davon ausgegangen werden, daß ein Dokument
	66	innerhalb unterschiedlicher Signierapplikationen identisch aussieht. Es
	67	gibt weder klare Richtlinien noch Empfehlungen. So war es möglich,
	68	innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven
	69	JavaScript-Inhalten zu signieren, ohne daß die Applikation selber dieses
	70	Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation,
	71	beispielsweise dem weitverbreiteten Acrobat Reader der Firma
	72	Adobe, sieht das Dokument anders aus. Unter gewissen Bedingungen wird
	73	gar die rechtsgültige Unterschrift weiter als qualifiziert und intakt
	74	dargestellt.[\[5\]](http://www.remote-exploit.org/wp-content/uploads/2010/09/sigdemo.pdf "Signiertes PDF mit aktiven Inhalten")
	75
	76	*"Es ist grundsätzlich eine schlechte Idee, komplexe Dokumentenformate
	77	wie PDF für solche Signaturen zu verwenden"*, sagte Thorsten
	78	Schröder. Der Schweizer Sicherheitsexperte Max Moser kommentierte die
	79	Qualität der jetzigen Applikationen zur rechtsgültigen Unterschrift so:
	80	*"Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht
	81	einmal sicher sein kann, daß das, was ich vermute
	82	zu unterschreiben, auch tatsächlich dem dargestellten Inhalt
	83	entspricht?"* Hinzu kommt, daß der Benutzer vollumfänglich dafür haftbar
	84	gemacht werden kann, da die Unterschrift ja rechtsgültig ist.
	85
	86	## Die Hintergründe
	87
	88	Daß viele aktuelle Computer nicht jederzeit allein unter der Kontrolle
	89	ihrer Besitzer stehen, ist leider traurige Realität. Beim Online-Banking
	90	ist dies live und in Farbe zu beobachten: Mit dem finanziellen Wert der
	91	digitalen Geheimnisse steigt die kriminelle Energie, unerlaubten Zugriff
	92	zu erlangen. Ohne Berücksichtigung dieser realen Risiken kann der ePA
	93	schon bei der Einführung leicht zu einem
	94	weiteren sicherheitstechnisch vermasselten staatlichen Großprojekt werden.
	95
	96	Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er
	97	gezwungen, seine geheime PIN über die Tastatur seines Rechners
	98	einzugeben. Lauscht nun eine versteckte Software-Komponente wie etwa ein
	99	sogenannter "Trojaner" auf dem Rechner diese Tastatureingaben mit, ist
	100	die PIN nicht mehr als vertraulich zu betrachten. Auch
	101	Taschenspielertricks, wie etwa mit der Maus anzuklickende virtuelle
	102	Tastaturen, bieten keinen ernstzunehmendem Schutz bei einem
	103	kompromittierten Computer. Mit dem Wissen um die PIN kann ein Angreifer
	104	nun den Ausweis nach Belieben benutzen, solange dieser auf einem
	105	Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als
	106	Besitzer des Ausweise ausgeben, ohne dabei auf die übertragenden Daten
	107	Zugriff zu nehmen. Problemlos kann der Angreifer sogar die "geheime" PIN
	108	des Ausweises ändern.
	109
	110	Das Bundesinnenministerium hat im Rahmen des
	111	Großprojektes die einfachen Basis-Lesegeräte erworben, die per
	112	Schadsoftware abgeschnüffelt werden können. \[1\] Eine Million dieser
	113	Geräte sollen in einem "Starterkit" an Ausweisbesitzer vergeben werden.
	114	Den Betroffenen wird damit eine potentielle Sicherheitslücke
	115	untergejubelt. Auch sozial schwache "Kunden" des ePA sind besonders
	116	betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur
	117	schwerlich leisten können und werden
	118	zudem über die potentiellen Risiken gar nicht aufgeklärt.
	119
	120	Doch selbst der Einsatz von teureren Lesegeräten mit eigener
	121	PIN-Tastatur bietet nur begenzten Schutz. Denn der
	122	aus dem Online-Banking bekannte Angriff "Man-In-The-Browser" benötigt
	123	keine PIN. Hierbei wird der Inhalt von Transaktionen modifiziert, ohne
	124	daß der Benutzer dies bemerkt. Deshalb tendieren die meisten
	125	Online-Banking-Applikationen zur Endbegünstigtenverifikation bzw.
	126	Transaktionssignierung, bei der nicht ausschließlich die Identität des
	127	Kunden, sondern auch der Inhalt der Transaktion validiert und bestätigt
	128	wird. Obwohl die meisten Banken diese Probleme erkannt haben und durch
	129	den Einsatz eines sicheren Zweitkanals den Schwachstellen
	130	entgegenwirken, scheinen all diese Erfahrungen an den Designern des ePA
	131	vorbeigegangen zu sein.
	132
	133	Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen
	134	sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der
	135	Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß
	136	man nicht einmal im physikalischen Besitz der SuisseID oder des
	137	elektronischen Personalausweises sein muß, um Schindluder zu treiben.
	138	Die offensichtlich falschen Vertrauensbilder sollten nicht noch von
	139	Ministern weiterverbreitet werden.
	140
	141	*"Die an der Einführung und am Betrieb der Systeme beteiligten
	142	Unternehmen und staatlichen Stellen können nicht oft genug an ihre
	143	Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden"*, sagt Thorsten
	144	Schröder. *"Wenn schon alle Verantwortlichen behaupten, es ginge gar
	145	nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist
	146	es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und
	147	zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter
	148	Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten,
	149	man müsse für einen Mißbrauch im physikalischen Besitz der Smartcard
	150	sein, grenzt an Fahrlässigkeit."*
	151
	152	## Ausblick
	153
	154	In der Schweiz kann man bereits erleben, was in Deutschland bisher nur
	155	geplant ist: Mit der SuisseID werden tatsächlich schon digital
	156	rechtsverbindliche Signaturen vergeben und Behördengänge erledigt.
	157
	158	Die bei der SuisseID benutzten Smartcards basieren auf
	159	dem Chip SLE66CX322P von Infineon, ein Smartcard-Chip der neueren
	160	Generation. Obwohl der Chip derzeit als noch ausreichend sicher für
	161	diesen Anwendungszweck gilt, kann auch er mit entsprechenden technischen
	162	Mitteln angegriffen werden. So hat Christopher Tarnovski auf der
	163	Blackhat 2010 gezeigt, wie die Sicherheitsmaßnahmen ausgehebelt werden
	164	können.
	165	[\[4\]](https://media.blackhat.com/bh-dc-10/video/Tarnovsky_Chris/BlackHat-DC-2010-Tarnovsky-DeconstructProcessor-video.m4v)
	166	Dies führt dazu, daß die Inhalte extrahiert und Identitäten geklont
	167	werden könnten.
	168
	169	Selbst ein Beheben der aktuellen Lücken durch Einsatz von besseren
	170	Lesegeräten mit eigener PIN-Tastatur bietet also keine langfristige
	171	Sicherheitsgarantie. *"Von einer Nutzung der SuisseID zur rechtsgültigen
	172	Signierung muß in Anbetracht der mangelhaften Applikationen und
	173	komplexen Problemstellungen dringend abgeraten werden"*, empfiehlt
	174	Sicherheitsexperte Max Moser.
	175
	176	Der CCC weist alle zukünftigen Ausweisbesitzer darauf hin, daß nur
	177	höherwertige Lesegeräte – mindestens der Klasse 2 – verwendet werden
	178	sollten, um wenigstens einen Schutz vor den simplen Angriffen mittels
	179	leicht verfügbarer Spionagesoftware zu erreichen. Sie unterscheiden sich
	180	von den Billiggeräten durch ein eingebautes Pinpad. Dadurch muß die PIN
	181	nicht mehr am PC eingegeben werden, wo sie von der Schadsoftware
	182	abgefangen werden kann.
	183
	184	Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt
	185	naturgemäß anders: *"Der Spagat zwischen Datenschutz und
	186	Bedienungskomfort ist gelungen"*, schreibt das Bundesamt für
	187	Sicherheit in der Informationstechnik (BSI) über den elektronischen
	188	Personalausweis in seinem aktuellen Jahresbericht.
	189
	190	"Was die da rauchen, hätten wir auch gern mal",
	191	kommentierte CCC-Sprecher Engling.
	192
	193	## Meldebehörden unzureichend vorbereitet
	194
	195	Bei den Meldebehörden, die den elektronischen Personalausweis ab 1.
	196	November an den Mann bringen sollen, sind die Vorbereitungen längst noch
	197	nicht abgeschlossen. Fest steht jedoch bereits, daß die Ausgabe an den
	198	Bürger mindestens doppelt solange dauern wird wie beim alten
	199	Personalausweis.
	200	[\[6\]](http://www.derwesten.de/staedte/holzwickede/Buergerbuero-plant-fuer-neuen-Perso-id3666144.html "Bürgerbüro plant für neuen Perso")
	201	Die Bürgeranfragen häufen sich unterdessen und können nicht ausreichend
	202	beantwortet werden. Auch die Schulungsmaßnahmen stehen noch am Anfang.
	203	Selbst die Hardware wurde erst kürzlich an die Meldestellen verschickt.
	204
	205	Die IT-Dienstleister sind ebenfalls unzufrieden. Die in den
	206	Meldebehörden benötigte Software liegt noch immer nicht vor. Daher ist
	207	die eigentlich für Mitte August angesetzte Testphase bloße
	208	Augenwischerei. Ob die Umstellung auf den elektronischen Personalausweis
	209	rechtzeitig erfolgen kann, steht einen Monat vor dem Stichtag noch immer
	210	in den Sternen.
	211
	212	Übrigens, wer sich die horrenden Personalausweisgebühren sparen will:
	213	Vor Ende Oktober noch einen alten Ausweis beantragen hilft auch, die
	214	erkennungsdienstliche Behandlung zu umgehen. Die Abgabe der
	215	biometrischen Fingerabdrücke ist ab November zwar freiwillig, die des
	216	biometrischen Frontalfotos allerdings nicht. Wer den Termin verpaßt, hat
	217	nur noch die Chance, den Chip im Ausweis zu deaktivieren.
	218	[\[10\]](http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp "Schüler löschen persönliche Daten auf neuem Personalausweis")
	219	Das bleibt folgenlos, denn rechtlich und faktisch ist das
	220	Ausweisdokument auch ohne funktionierenden Chip vollwertig gültig.
	221
	222	## Links und weiterführende Informationen
	223
	224	\[1\] Lesegeräte der Klasse CAT-B nach BSI TR 03119\
	225	\[2\] seit neuestem auch nPA, für "neu", demnächst dann tPA, für
	226	"teuer"\
	227	\[3\] "Virtuelles PIN-Pad sichert neuen Personalausweis" auch
	228	nicht <http://www.egovernment-computing.de/index.cfm?pid=7272&pk=281245&cmp=rss-bep>\
	229	\[4\] <https://media.blackhat.com/bh-dc-10/video/Tarnovsky_Chris/BlackHat-DC-2010-Tarnovsky-DeconstructProcessor-video.m4v>\
	230	\[5\] Signiertes PDF mit aktiven
	231	Inhalten <http://www.remote-exploit.org/wp-content/uploads/2010/09/sigdemo.pdf>\
	232	\[6\] Bürgerbüro plant für neuen Perso
	233	<http://www.derwesten.de/staedte/holzwickede/Buergerbuero-plant-fuer-neuen-Perso-id3666144.html>\
	234	\[7\] Hack der Klasse-3-Lesegeräte der Firma
	235	Kobil <http://colibri.net63.net/>\
	236	\[8\] Vortrag zum ePass und
	237	ePA: <http://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html>\
	238	\[9\] SuisseID Security & Slides des Vortrages von Max Moser und
	239	Thorsten Schröder: <http://www.remote-exploit.org/?page_id=673>\
	240	\[10\] Schüler löschen persönliche Daten auf neuem
	241	Personalausweis <http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp>\
	242	\[11\] Mittwoch, 22. September, 21.55 Uhr
	243	WDR-Fernsehen [http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp\
	244	](http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp)\[12\]
	245	Video: SuisseID / Smartcard USB Takeover <http://www.vimeo.com/15155073>