01.12.2018 Online-Funktionen des Personalausweises gehackt

Zwangs-Online-Funktion ist kein Sicherheits-Feature

Diese Meldung überrascht uns nicht, hat doch der Chaos Computer Club schon vor vielen Jahren gezeigt, dass man RFID Chips aus der Umgebung auslesen kann und dass man biometrische Fingerabdrücke oder Iris-Scans auch aus hoch auflösenden Fotos bekommen kann.

Heute geht es um die angeblich hochsichere Online-Funktion auf dem E-Perso. Diese konnte man bis zum Frühjahr 2017 bei Bedarf auf dem Ausweis aktivieren lassen. Seitdem gilt ein Gesetz, welches diese Funktion zwangsweise aktiviert und man muss sich selbst bemühen die Funktion wieder abschalten zu lassen, wenn man sie nicht braucht oder ihr misstraut. Welche Schwierigkeiten bei diesem Prozess in den zuständigen Ämtern auftreten können, haben wir hier beschrieben (Die Odyssee des biometrischen Abbilds).

Nun zu dem neuen Skandal: Das Ausweisdokument mit Online-Funktion ermöglicht es, sich bei verschiedene staatlichen aber auch privaten Organisationen auszuweisen. Sicherheitsforschern von SEC-Consult ist es gelungen sich online als beliebige Person auszuweisen, in der Demonstration als Johann Wolfgang von Goethe. Dabei nutzen sie eine Sicherheitslücke in der Software 'Governikus Autent SDK'. Sie konnten so falsche Namen verwenden, ohne dass dabei die digitale Signatur verändert werden musste.

SEC-Consult hat bereits im Juli das Problem an den Bund gemeldet. In der nun verfügbaren Version von Governikus-Autent-SDK soll diese Sicherheitslücke nicht mehr bestehen.

Glücklicherweise haben von den 48 Millionen neuen Ausweisbesitzern seit 2010 nur etwa 4 Millionen die Online Funktion aktivieren lassen. Auch wegen der geringen Akzeptanz wurde sie 2017 zur Zwangsmaßnahme. Nun müssen nur noch diese 4 Millionen ihre Software aktualisieren. ;-)

Mehr dazu bei https://www.bluebit.de/news/sicherheitsforscher-hacken-online-funktionen-des-personalausweises-31410981
und https://www.aktion-freiheitstattangst.org/de/articles/zwangsdigitalisierung.htm
und https://www.aktion-freiheitstattangst.org/de/articles/6440-20180415-die-odyssee-des-biometrischen-abbilds.htm


Kommentar: RE: 20181201 Online-Funktionen des Personalausweises gehackt

Ist sicher haben se' uns gesagt...

In., 01.12.2018 12:48


Kategorie[32]: Datenverluste Short-Link dieser Seite: a-fsa.de/d/2YW
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.htm
Tags: #ElektronischerPersonalausweis #Hack #Zwangsdigitalisierung #Scoring #Trojaner #Datenpannen #Datenskandale #ePerso #Datensicherheit #Online-Funktion #Verluste
Erstellt: 2018-12-01 09:51:45
Aufrufe: 1315

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

Wir im Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Datenschutz  Sitemap