Am vergangenen Wochenende wurde eine Sicherheitslücke in der Ausweisfunktion des elektronischen Personalausweises entdeckt. Die Lücke wurde von einem anonymen Sicherheitsforscher mit dem Pseudonym "CtrlAlt" entdeckt. Er hat dazu auch ein Paper und eine Demo veröffentlicht, in dem er die Schwachstelle im eID-System aufzeigt.

Das BSI hat die Sicherheitslücke zwar in einer Analyse bestätigt, ist jedoch der Meinung: "Alles nicht so schlimm, eID sei weiterhin sicher". Der von "CtrlAlt" beschriebene Angriff basiert auf einem Trojaner, der sich als AusweisApp ausgibt und per Man-in-the-Middle-Attacke die PIN abfängt. Da ist es erstmal nicht verwunderlich, dass der Angriff funktioniert.

Das Problem dabei ist, dass das eID-System eigentlich eine digitale Ausweisfunktion sein soll, die selbst dann noch sicher ist, wenn das Endgerät kompromittiert wurde - wie beispielsweise mit einem Trojaner.

(jl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE