10. August 2011

Stellungnahme zur Berichterstattung über eine neue Sicherheitslücke beim Personalausweis

OpenLimit-Technologien sind von dem Angriff nicht betroffen

Vorgestern meldeten verschiedene Medien u.a. heise.de eine neue Sicherheitslücke beim elektronischen Personalausweis. Dabei wurde berichtet, dass die Piratenpartei ein Szenario konstruiert hat, anhand dessen es einem Angreifer theoretisch möglich wäre, die PIN des Personalausweises auszulesen und den fremden Ausweis zur Online-Authentifizierung zu nutzen, solange dieser auf dem Kartenlesegerät aufliegt.

Unsere Entwickler konnten dieses Szenario an sich zwar nachvollziehen, bei dem beschriebenen Angriff handelt es sich allerdings weder um eine Sicherheitslücke im neuen Personalausweis noch in der dazugehörigen Software „AusweisApp“. Die Technologien der OpenLimit SignCubes AG sind von diesem Angriff nicht betroffen! Es handelt sich um eine Schwachstelle bei einem Browser-Plugin zur Ansteuerung von Kartenlesegeräten.

Wir bewerten die Wahrscheinlichkeit eines solchen Angriffes als gering. Der Angriff kann nicht vollautomatisch durchgeführt werden. Zum Erfolg des Angriffs kommt es nur, wenn mehrere Voraussetzungen gleichzeitig erfüllt sind: der Inhaber des Ausweises muss selbständig eine attackierte Website besuchen, das besagte Browser-Plugin muss bereits installiert sein, ein einfaches Basis-Kartenlesergerät muss benutzt werden und der Ausweis muss auf dem Lesegerät aufliegen.

Einfache Regeln der Computersicherheit tragen dazu bei, Angriffe dieser Art zu verhindern. Wir raten allen Menschen, die im Internet unterwegs sind, und speziell denjenigen, die den neuen Personalausweis im Internet benutzen, Schutzsoftware wie Antivirenprogramme und Firewalls einzusetzen, die Phishing-Attacken aufdecken können. Außerdem sollten Anwender auf Warnhinweise der AusweisApp sowie auf die korrekte SSL-Verschlüsselung der Webseite („https“) des Diensteanbieters achten. Weiterhin empfehlen wir die Verwendung von Standard- oder Komfortlesern mit PIN-Pad auf dem Lesegerät.

Der Personalausweis, die AusweisApp, der eID-Server, die eingesetzten Protokolle und hochwertige Lesegeräte bilden weiterhin eine sichere Infrastruktur für die Online-Authentifizierung.

Stellungnahme zur Berichterstattung über eine neue Sicherheitslücke beim Personalausweis

Kontakt

 OpenLimit
 
<script>