[Piraten-PMs] Pressemitteilung: Pirat deckt erneut Sicherheitslücke beim ePerso auf - Ausweismissbrauch möglich

Pressestelle der Piratenpartei Deutschland presse at piratenpartei.de
Mo Aug 8 12:30:03 CEST 2011


Pressemitteilung der Piratenpartei Deutschland
Zur sofortigen Veröffentlichung

Pirat deckt erneut Sicherheitslücke beim ePerso auf - Ausweismissbrauch
möglich

Betrügerische Webseiten können Zugriff auf elektronische
Personalausweise erlangen und diese missbrauchen, um sich bei anderen
Seiten auszuweisen. Dies ermöglicht eine jetzt neu aufgedeckte
Sicherheitslücke zusammen mit einer bereits bekannten Angriffstaktik.

Jan Schejbal, Mitglied der Piratenpartei Deutschland, wies bereits im
November 2010 kurz nach Einführung des ePerso die Unsicherheit der
dazugehörigen AusweisApp nach [1]. Im Januar diesen Jahres demonstrierte
er dann eine Möglichkeit [2], wie Angreifer die PIN des neuen
Personalausweises ausspähen können. Da neben der PIN noch der Zugriff
auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis
jedoch noch nicht missbraucht werden.

Nun hat Schejbal eine Möglichkeit entdeckt, wie ein Angreifer
gleichzeitig zum PIN-Diebstahl auch auf das Lesegerät und somit direkt
auf den Ausweis eines Nutzers zugreifen kann. Dadurch könnte der
Angreifer die Identität des Inhabers missbrauchen und sich im Internet
als der Inhaber, sein Opfer, ausgeben. Wegen der über den ePerso
erfolgten Identifizierung wäre es für das Opfer sehr schwer, den Betrug
vor Gericht nachzuweisen.

Der Angriff nutzt eine Funktion des Browser-Plugins "OWOK", das
Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. »Das Plugin
gehört zu einem der sogenannten "Starter-Kits", mit denen zu Beginn des
ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern
subventioniert unter die Bevölkerung gebracht wurden«, so Jan Schejbal.
»Ich gehe aber davon aus, dass auch andere Plugins betroffen sind.« Die
technischen Details sowie ein Video des Angriffs hat Jan Schejbal in
seinem Blog [3] veröffentlicht. Der Angriff wurde von der Redaktion des
c't-Magazins verifiziert. [4]

Die Piratenpartei befürchtet, dass der ePerso genutzt werden könnte, um
eine Klarnamenpflicht im Internet durchzusetzen. Innenminister Friedrich
(CSU) forderte eine solche Pflicht am gestrigen Sonntag gegenüber dem
SPIEGEL. [5] Axel E. Fischer (CDU), Vorsitzender der Enquête-Kommission
Internet und digitale Gesellschaft, erhob im November 2010 dieselbe
Forderung und schlug explizit vor, sie mit Hilfe des ePersos
durchzusetzen. [6]

»Wir halten die Möglichkeit, sich anonym oder pseudonym zu äußern, für
einen wichtigen Pfeiler der Meinungsfreiheit«, erklärt Sebastian Nerz,
Vorsitzender der Piratenpartei Deutschland. »Wie die neue
Sicherheitslücke des ePersos erneut beweist, wäre ein Klarnamengebot
aber nicht nur politisch gefährlich, sondern auch unsinnig. Technisch
versierte Nutzer werden immer Möglichkeiten finden, den Behörden einen
Schritt voraus zu sein. Statt Meinungsfreiheit für alle hätten wir dann
eine Klassengesellschaft: Wer die Lücken findet, benutzt die Identität
anderer, wer sich nicht gut genug auskennt, ist der Dumme. Oder man
veröffentlicht einfach im Ausland: Das Internet kennt keine klassischen
Landesgrenzen.«

[1]
http://www.piratenpartei.de/Pressemitteilung-101109-Piratenpartei-beweist-AusweisApp-des-ePerso-ist-unsicher
[2]
http://www.piratenpartei.de/Pressemitteilung-110117-Neue-Schwachstelle-beim-ePerso-aufgedeckt-Piraten-zeigen-einfachen-Weg-zum-Ausspaehen-der-PIN
[3]
http://janschejbal.wordpress.com/2011/08/08/eperso-kann-remote-missbraucht-werden/
[4]
http://www.heise.de/newsticker/meldung/Weitere-Sicherheitsluecke-beim-elektronischen-Personalausweis-1319432.html
[5] http://www.spiegel.de/politik/deutschland/0,1518,778803,00.html
[6]
http://www.piratenpartei.de/Pressemitteilung-101115-PIRATEN-empfehlen-Axel-E-Fischer-CDU-kuenftig-anonyme-Meinungsaeußerung

------------------------------------------------------------------------
Verantwortlich für den Inhalt dieser Pressemitteilung:
Bundespressestelle der Piratenpartei Deutschland
------------------------------------------------------------------------
Bundespressestelle:
Telefon: 030 / 60 98 97 510

Christopher Lang
Pressesprecher
Telefon: 030 / 60 98 97 516

Aleks Lessmann
Stellv. Pressesprecher
Telefon: 030 / 60 98 97 514

Piratenpartei Deutschland
Pflugstraße 9a
10115 Berlin
------------------------------------------------------------------------
Die Piratenpartei Deutschland (PIRATEN) beschäftigt sich mit den
entscheidenden  Themen des 21. Jahrhunderts. Das Recht auf Privatsphäre,
eine  transparente Verwaltung, eine Modernisierung des Urheberrechtes,
freie  Kultur, freies Wissen und freie Kommunikation sind die
grundlegenden  Ziele der PIRATEN. Außerdem engagiert sich die Partei
gegen einen Überwachungsstaat und gegen die zunehmende Missachtung des
Grundgesetzes, sowie einer gerechten Teilhabe aller an der Gesellschaft
und ihren Wohlstand.

Bei der Bundestagswahl im September 2009 erreichte die Piratenpartei aus
dem Stand 2,0 Prozent bzw. 845.904 Stimmen. Im Vergleich zur Europawahl
im Juni 2009 (0,9 Prozent, 229.464 Stimmen) konnten die Piraten die Zahl
ihrer Stimmen sogar fast vervierfachen. Die Piratenpartei hat
mittlerweile 12.000 Mitglieder.


More information about the Piraten-PMs mailing list