Neue Sicherheitslücke bei elektronischem Ausweis
Berlin/Hannover. Ein Computerexperte hat eine weitere Sicherheitslücke bei der Online-Identifizierung mit dem neuen Personalausweis aufgedeckt. Betrüger könnten sich unter bestimmten Voraussetzungen über das Internet als Inhaber des Dokuments ausgeben, berichtete der Informatikstudent Jan Schejbal
Berlin/Hannover. Ein Computerexperte hat eine weitere Sicherheitslücke bei der Online-Identifizierung mit dem neuen Personalausweis aufgedeckt. Betrüger könnten sich unter bestimmten Voraussetzungen über das Internet als Inhaber des Dokuments ausgeben, berichtete der Informatikstudent Jan Schejbal. Das Problem liege dabei nicht bei dem elektronischen Dokument selbst, sondern bei einer Begleit-Software, die viele Nutzer installiert hätten. "Mit dieser Lücke kann der Angreifer den Ausweis konkret missbrauchen", sagte er gestern. Das Bundesamt für Sicherheit in der Informationstechnik als zuständige Behörde erklärte, den Bericht zu prüfen. Schejbal konstruierte einen mehrstufigen Angriff. Er setzt an einer Browser-Erweiterung an, die Nutzer bestimmter Lesegeräte installieren können. Das Plug-in erlaube einer Website, auf den Kartenleser und den darauf liegenden Ausweis zuzugreifen, berichtete Schejbal. Wenn der Angreifer die Geheimzahl (PIN) kenne, könne er den Ausweis nutzen wie das Opfer. Schejbal, Mitglied der Piratenpartei, hatte im Januar demonstriert, wie die PIN ausgespäht werden kann. dpa