9. August 2011
Der elektronische Personalausweis hat seit seiner Einführung Ende 2010 schon mehrmals durch Sicherheitsrisiken von sich Reden gemacht. Jetzt ist noch ein aktuelles Problem hinzugekommen, durch das es Verbrechern gelingt, dem Ausweisbesitzer seine komplette elektronische Identität zu entwenden und zu missbrauchen.
Die Sicherheitslücke betrifft ein Plugin namens „One Web, One Key“ (kurz: OWOK) des Herstellers Reiner STC. Dabei handelt es sich um eine Authentifizierungslösung für Web-Anwendungen, die in den Web-Browser eingebunden wird. Besucht der Anwender nun eine betrügerische Webseite, die z.B. vorgibt offizielle Präsenz einer Behörde und Bank zu sein, und identifiziert sich mit seinem ePersonalausweis und Eingabe seiner PIN, kann der Inhaber der betrügerischen Seite die Identität des Ausweisinhabers übernehmen. Das funktioniert zwar nur so lange, wie der Rechner online und der Ausweis im Lesegerät ist, trotzdem kann das für den Identitätsdiebstahl reichen. Hinzu kommt nämlich, dass auch eigentlich obligatorische Sicherheitsabfragen durch Manipulation unterdrückt werden.
Die Ausnutzung dieser Sicherheitslücke hat großes Schadpotenzial und ist besonders heimtückisch, auch dadurch, dass der Anwender kaum eine Chance hat, den Betrug nachzuweisen. Nutzer sind daher zu besonderer Aufmerksamkeit und Vorsicht aufgerufen und es wird empfohlen, nur Lesegeräte zu verwenden, die über eine eigene Tastatur für die PIN-Eingabe verfügen. Dies sei in jedem Fall sicherer als die PIN-Eingabe über die Computertastatur und verringere das Risiko.
Weitere Informationen:
Weitere Sicherheitslücke beim elektronischen Personalausweis
Offenbar neue Sicherheitslücke beim E-Personalausweis