Piratenpartei zeigt »social Phishing« rund um neuen Personalausweis

Behörden-ITBig DataData & StorageIT-ProjekteSicherheitSicherheitsmanagement

Und wieder einmal wird die Unsicherheit des neuen Personalausweises demonstriert: Per Phishing konnte Jan Scheijbal von der Piratenpartei zeigen, wie leicht sich die PIN des digitalen Ausweises entwenden lässt.

Die AusweisApp der Regierung sollte einen sicheren Austausch mit Behörden gewährleisten – und ist genauso gut geeignet, als Fälschung wichtige Daten abzugreifen. Jan Schejbal von der Piratenpartei hat seinem eigenen Blog zufolge den neuen Personalausweis auf diese Weise geknackt. Ganz ohne Malware könne man so per Javascript, HTML und ein paar Screenshots den Nutzer verlocken, seine Informationen preiszugeben.

Sein fiktiver »FSK18-Bereich« auf der Website der Piratenpartei gaukelte eine Alterskontrolle vor, doch bei Aufruf der Altersverifikation mittels Personalausweis startet nicht die staatliche AusweisApp, sondern ein eigenes Javascript-Programm. Wird nach der originalgetreuen Wiedergabe der ursprünglichen Fragen noch die PIN des Ausweises abgefragt, könnte ein Cyberkrimineller nun locker die Identität stehlen und missbrauchen. In diesem Falle aber folgt nur der einen Hinweis, dass es sich um eine Fälschung handelte.

Schon im September hatte der Chaos Computer Club einen vermeintlichen Hack des »ePerso« vorgeführt, die technischen Umstände dazu aber nur vorgetäuscht – mit der echten ePerso-Netzwerkumgebung hätte es wohl nicht geklappt. Jan Schejbal hatte schließlich im November nur 24 Stunden nach Freigabe der AusweisApp noch ein Sicherheitsproblem entdeckt – woraufhin die Update-Funktion der App geändert werden musste, um die Echtheit des Zertifikats vor dem Download von Patches zu prüfen. Erst im Januar wurde das Programm dann wieder erneut vom BSI freigegeben.

Nützt nicht viel: Man könne mit dem neuen Trick den Ausweis zwar nicht unbedingt ganz knacken, erklärt Scheijbal – aber den Nutzer könne man jederzeit irreführen. Irren ist schließlich menschlich – selbst bei der ausgefeiltesten Technik.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen