Neuer Personalausweis schon geknackt?

22. September 2010 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Schöne neue Welt. Ich zitiere mal unser Bundesministerium des Inneren:

Aufgrund seines Sicherheitskonzeptes hilft der neue Personalausweis, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern


(Bildquelle: Wikipedia, gemeinfrei)

Nun lesen wir aber mal bei n24  weiter: Computerexperten knacken geheime PIN. Weitere Infos und Links: Chaos Computer Club. Wir bewegen uns in eine spannende Zukunft. Wird ja auch immer alles so toll & sicher in den TV-Werbespots dargestellt. Schön im Bett liegen, shoppen und sich mit dem neuen, 28 Euro teuren Perso identifizieren. Jaja, zum Glück ist mein alter noch bis 2018 gültig – also: vielleicht noch wacker bis zum 30.10.2010 den alten beantragen ;)


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch diese Advertorials an, die wir auf separaten Seiten geschaltet haben: Acer Iconia Tab 8 und HP Cashback Aktion. Danke, jeder Aufruf hilft uns.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16885 Artikel geschrieben.


92 Kommentare

Philipp 22. September 2010 um 09:33 Uhr

Du hasts gut, meiner läuft schon 2015 aus. ;)

OT: Warum werden die Kommentar-Formulardaten Name, Email und Webseite gespeichert, aber nicht der Twittername?

caschy 22. September 2010 um 09:35 Uhr

Das funktioniert auch ohne neues Ausfüllen, bleibt gespeichert. Probier es mal aus :)

Chris 22. September 2010 um 09:38 Uhr

“Jaja, zum Glück ist mein alter noch bis 2018 gültig…”
ich hab meinen glücklicherweise im Urlaub vergangenen Monat bei nem Bootsausflug verloren, somit bleibt mir dieser neue Bullshit auch noch 10 Jahre erspart.
Der “alte” ist auch noch günstig – kostet nur 8 €uro.

ChackZz 22. September 2010 um 09:38 Uhr

Der entscheidene Vorteil ist doch, dass der neue Perso nicht mehr dieses schreckliche Format hat, sondern endlich eine annehmbare Größe ;)

Olli 22. September 2010 um 09:38 Uhr

Wenn man seinen Perso jetzt noch “zufällig” verliert, bekommt man für 10 Jahre noch einen alten. Ab Novemver (bin nicht zu 100% sicher) gibt es dann ausschließlich den Neuen!

Ingo Coknito 22. September 2010 um 09:38 Uhr

Nur so als Tipp:

Man kann auch *einfach so* einen neuen Perso beantragen das is günstiger als die 28 Euronen für den neuen und wenn man über 25 ist hält er dann auch 10 jahre. Stichtag is der 30.Sep.

Und mal im ernst, in 10 jahren kann viel passieren, bis dahin is die Sache hoffentlich wieder untern Tisch gefallen :)

Keine Garantie aber so hat mir das meine Bekannte ausm Bürgerbüro gesagt :)

Philipp 22. September 2010 um 09:38 Uhr

Nope, obwohl eben eingetragen ist jetzt das Feld Twittername leer. Vielleicht muss ich mal die von dir (stadt-bremerhaven.de) angelegten Cookies resetten!?

Marvin 22. September 2010 um 09:40 Uhr

War klar das dies passiert.
Frag mich auch welcher Praktikant im Innenministerium das ding entwickelt hat -.-

Geheim 22. September 2010 um 09:41 Uhr

WTF! Da muss der Speicher meines baldig neuen Ausweises wohl einen mechanischen Defekt erleiden.

Unsere Entscheidungsträger sind scheinbar alles MeisterInnen im Traumtanzen.

Jay F. Kay 22. September 2010 um 09:50 Uhr

Der größte Vorteil ist mit Sicherheit das neue benutzerfreundliche Format. Und der Chip… nun, der sei ja angeblich doch nicht so unempfindlich wie man immer geglaubt hat und kann schon mal nach kurzer Zeit einen Defekt aufweisen… ;-)

Ted 22. September 2010 um 09:53 Uhr

alter Perso weniger als 6 Monate gültig € 8
alter Perso weniger mehr als 6 Monate gültig € 13

wenn man den alten verloren hat und ihn zufälligerweise wiederfindet, sollte man ihn nicht mehr nutzen, da dies als Ordnungswidrigkeit mit Bußgeld belegt ist

CarpeDraconis 22. September 2010 um 09:56 Uhr

Ich glaube ich verliere meinen auch noch, dann hab ich 8 Jahre länger Ruhe vor dem neuen, überteuerten Mist, wo jede optionale Zusatzfunktion mit extra Gebühren berechnet wird. Also 28,80 € für den Lappen an sich plus 6 € je Zusatzfunktion. Wir hatten in der Tageszeitung (Neue OZ) letztens eine nette Übersicht über die Kosten.
Siehe auch hier:
http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2010/ohneMarginalspalte/08/gebuehren_vo_perso.html

Marcel 22. September 2010 um 09:56 Uhr

Meiner läuft schon Anfang 2012 aus. :-( Eine Überlegung wert, das grausame Foto schon jetzt durch ein neues zu ersetzen. ;-)

Gast 22. September 2010 um 10:04 Uhr

Bis zu welchem Datum kann man denn nun den alten noch beantragen?
So wie im Text angegeben bis 30.09. oder doch bis zum 31.10.?
Da der neue erst ab November zu haben ist, dachte ich eigentlich letzteres. =/

Tobi 22. September 2010 um 10:05 Uhr

Wie alt muss man denn sein damit er 10 Jahre gültig ist? Ich bin glaub ich noch zu klein oder? (meiner hält nur bis 2012)

marvo 22. September 2010 um 10:07 Uhr

N24 ist sicherlich auch nicht die beste Informationsquelle. Denke es hängt auch viel damit zusammen wie man das ganze nutzt.
Hier noch ein Link zu einem aktuellen CCC Beitrag, mit noch mehr Links falls es einen Interessiert.
http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa

Slash 22. September 2010 um 10:10 Uhr

Mein alter Perso war noch über 2 Jahr gültig, konnte ich ohne Angabe von Gründen für 8 Euro neu beantragen.

“Perso verlieren” ist nicht so gut. Dann muss man über viel Geld eidesstattliche Erklärung abgeben etc etc.

Ein Bekannter hatte beim Unterlagen abheften aus Versehen seinen Perso gelocht :-)) War danach leider ungültig :((

hoschi 22. September 2010 um 10:10 Uhr

“Neuer Personalausweis schon geknackt” – Ja und? Der alte war schon von Anfang an geknackt. Ich seh den ganzen Elektronik-Spass eher als Zusatz

Tom 22. September 2010 um 10:11 Uhr

@Ted: “alter Perso weniger als 6 Monate gültig € 8
alter Perso weniger mehr als 6 Monate gültig € 13″

Ich hab mir gerade nen alten neuen beantragt, für 8 Euro. Mein aktueller wäre noch bis 2013 gültig. Liegt wohl auch an den Beamten vor Ort.
Man muss ihn auch nicht verlieren oder so. Wenn der neue da ist, wird getauscht, fertig. Kann man ständig machen, wenn es einem Spaß macht. ;)

Thomas 22. September 2010 um 10:12 Uhr

Das ganze ist mal wieder eine Zeichen dafür, wie unfähig unsere Bundesregierung einfach nur ist. Wenns es selbst einer9te Klasse gelingt, mit Hilfe einer 10 Euro Wegwerfkamera die Fingerabdruckfunktion ausser Kraft zu setzen und der Innenminister trotzdem noch von Super-Sicherem Ausweiss erzählt – kann ich mich darüber nur noch totlachen.
Mein Ausweiss ist zum Glück noch 7 Jahre gültig…..

Paul Peter 22. September 2010 um 10:20 Uhr

jeder kocht sein eigenes Süppchen… In Estland gibt es bereits den E-Ausweis seit einigen Jahren, inkl. E-Voting per Internet von zu Hause aus! Und für was ist Estland noch bekannt, jedoch weiß es kaum einer? Gesetzlich garantierter Internetanschluss, (meistens freies und kostenloses) WLAN in den großen Städten und Skype wurde von Studenten der TU Tallinn entwickelt und noch heute sitzen dort 300 Programmierer.
Ich bin auch kein Fan des E-Perso, das Papierteil reicht für mich völlig aus. Und der estnische E-Perso ist auch ziemlicher Murks, weil zahlreiche zentrale Datenbanken über alle angebotene Services aufgebaut werden.

macorama 22. September 2010 um 10:26 Uhr

Gut dass meiner auch noch bis 2016 gilt :-)

Aber seid vorsichtig bei der Behauptung der ePA sei unsicher. Der Ausweis (die physische Karte) ist selber nicht geknackt worden. Der CCC weist auf Sicherheitslücken und Problematiken hin die durch die Verwendung in Verbindung mit unsicherer Software, unsicheren Kommunikationskanälen und minderwärtigen Hardwarekomponenten real vorhanden sind. Wenn unsere “Führer” etwas von Software verstehen würden, könnten dies Sicherheitslücken korrigiert werden. Den direkten Zugriff auf den ePS (als Karte) und die darauf gespeicherten zertifikate ohne die im Artikel des CCC beschriebenen Lücken hat auch der CCC noch nicht bewerkstelligt. Also: Nur die Verwendung des ePA macht ihn unsicher, zurzeit.

Ich bin kein Fan von dem Ding, aber alles bitte im Kontext.

ron 22. September 2010 um 10:41 Uhr

Hehe, so ein Zufall.
Ich hole meinen neuen alten PA heute im Bürgeramt ab.

Ansonsten kann ich macorama nur zustimmen. Die Verwendung des nPA kann unter Umständen sehr riskant sein. Der nPA selber wurde nicht geknackt. Wobei das wahrscheinlich nur eine Frage der Zeit ist. Deswegen nehm ich vor dem tollen neuen Konzept auch erstmal Abstand.
Im Endeffekt ist das ganze nPA-Zeugs eh nur ein Projekt der Wirtschaftslobby, wonach man sich einen unheimlichen Aufschwung der Geschäfte im Internet erhofft. Die Bundesregierung und die an der Technik beteiligten Unternehmen profitieren natürlich ordentlich davon.
Sicherer ist der nPA keinesfalls. Das darf man nicht vergessen. Und die vielen neuen Funktionen machen ihn im Gegenteil anfälliger für Risiken. Wie das eben immer so ist. Wo mehr Technik drin steckt, können auch mehr Fehler auftreten.

Slash 22. September 2010 um 10:44 Uhr

@macorama

Ob nun der ePerso selber geknackt wurde oder “nur” das System um den eP darum ist doch egal. Das Gesamtsystem ist nicht so sicher, wie es die Regierung behauptet.
Der Bundesinnenminister hat ja gesagt, dass der Staat nicht für kriminelle Aktionen rund um den ePerso haftet. Der Bürger ist der Dumme, wenn er den offiziellen Sicherheitsbehauptungen glaubt und dann den Schaden hat

DragonHunter 22. September 2010 um 10:48 Uhr

N24 entwickelt sich auch langsam leider negativ…
viel zu reißerisch…
dass der ePA natürlich Sicherheitslücken aufweist, sollte jedem klar sein der mitbekommen hat wie überhastet das Ding eingeführt werden soll

Rein vom Prinzip bin ich ja angetan von dem Ding
aber nicht in dem Zustand indem sich der ePA und die Software dazu befindet…

Ich bin froh, dass ich meinen neuen “alten” Perso sowieso beantragen musste der gilt zwar bei mir nur 6 Jahre, aber immerhin…
Für normal arbeitende Unternehmen sollte das ja reichen um zumindest die gröbsten Schnitzer wieder auszubügeln…

macorama 22. September 2010 um 10:51 Uhr

@slash
Einen Unterschied macht es schon: Durch den Einsatz von besserer Software oder besserer Hardware bei der Verwendung kann man (wenn man den ePA unbedingt nutzen will) in Zukunft vielleicht den Sicherheitsproblemen entgegen wirken. Oder ich nutze diese Features nicht.
Wenn der ePA als Karte geknackt wäre, dann würde das Problem aber nicht bei der eigenen Verwendung anfangen sondern dabei, dass plötzlich alle Nase lang den Leuten die ePAs geklaut werden! Dann muss man nur den ePA haben und nicht die damit durchgeführten Transaktionen abfangen/überwachen/ändern/etc. um Schindluder zu treiben.

Ganz ehrlich, lieber ich nutze ihn nicht und weiß dass dadurch keine Sicherheitslücke ausgenutzt werden kann, als dass ich vor Angst, dass mir das Ding geklaut wird, ich ihn in ein Schließfach bei der Bank legen muss. Denn momentan ist es so: Wenn ich die Daten (PIN etc.) nicht eingebe kann mit meinem ePA “noch” keiner was anfangen (im digitalen Bereich).

Zustimmung?

leosmutter 22. September 2010 um 10:58 Uhr

Sogar in der Zeitung mit den 4 Buchstaben steht es drin. Aber wie macorama schon schrieb, ist das alles ziemlich reißerisch aufgemacht. Wenn ich eine Pinnummer per “über die Schulter schauen” (per Trojan oder eigenen Augen) herausbekomme, dann ist das in meinen Augen kein Knacken. Das Problem ist momentan eher die Hardware drumherum (Lesegeräte ohne Pintastatur).
Und wenn das Ding auch ohne Chip gültig ist, kann man es ja vielleicht mal für 1 sek in der Mikrowelle vergessen…

Fraggle 22. September 2010 um 11:02 Uhr

Also heute morgen im Radio wurde gesagt, er sei so geknackt worden, daß man den PIN ändern kann. Und das finde ich bedenklich. Naja, meiner gilt noch bis 2017 und danach laufe ich mal an einem starken Magneten vorbei :)

otto 22. September 2010 um 11:07 Uhr

Wer bald mit einem neuen Perso auskommen muss, kann hier mal reinschauen:

http://tinyurl.com/38vesga

Schüler haben nämlich einen Weg gefunden, wie man sich einfach schützen kann :). Der Perso bleibt laut Gesetzt auch ohne elektronische Daten gültig. Alle Experimente natürlich auf eigene Gefahr.

der_bud 22. September 2010 um 11:09 Uhr

Ich sehe das auch so das zwischen einem “unsicheren Ausweis” und der knackbarkeit von mit dem Ausweis verwendeter Identifizierungssoftware getrennt werden muß.
Aus der oben von CarpeDraconis verlinkten BMI-Übersicht geht hervor, das ich (mein Ausweis läuft 2014 ab) wohl folgendes nutzen werde:
-Ausstellung PA, Antragsteller ab 24 Jahren: 28,80 Euro
-Deaktivieren der Online-Ausweisfunktion: gebührenfrei

Bei Bedarf und wenn es entsprechend sichere Kartenlesegeräte + Software gibt, kann ich immer noch
-Nachträgliches Aktivieren der Online-Ausweisfunktion: 6,- Euro

Also: man kriegt den neuen auch schon “ab Werk” ohne scharfgeschaltete Onlinefunktion.

otto 22. September 2010 um 11:12 Uhr

und hier noch ein Link zum Thema:

http://tinyurl.com/33dgseh

Sebastian 22. September 2010 um 11:12 Uhr

Moin,

ich dachte, man kann den alten Perso noch bis 31.10. beantragen?

Michael 22. September 2010 um 11:22 Uhr

Wenn ich auf der Seite http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa nichts übersehen haben, ist die Sicherheitslücke aber immer noch das Einstiegslesegerät, welches nicht über eine integrierte Tastatur verfügt. Wenn nun die PIN auf dem Ausweis abgefragt wird, muss sie per PC-Tastatur eingegeben werden. Nun kann diese von einem Trojaner abgefangen und benutzt werden, u.a. um die PIN zu ändern. Was daran neu ist und den CCC zur erneuten Veröffentlichung getrieben hat, erschließt sich mir aber nicht. Das haben die schon vor ein paar Wochen an die Öffentlichkeit gebracht…
Im übrigen ist die Aktivierung der sog. “eID” freiwillig. Selbst wer nach dem 29.10. (der eigentliche Stichtag ist ja ein Sonntag) seinen Perso beantragt, muss sich nicht den Chip aktivieren lassen und hat somit einen sicheren (weil deaktivierten) Ausweis. Eine nachträgliche Aktivierung ist aber immer möglich (allerdings gegen Gebühr).

David 22. September 2010 um 11:22 Uhr

hach gut das mein Perso seit gut einem Jahr bereits abgelaufen ist, schnell noch den alten beantragen ^^

Gast Waldfee321 22. September 2010 um 11:27 Uhr

Zum Glück habe ich,meinen neuen Personalausweis letzte Woche schon Abgeholt. So bin ich, die Nächten 10 Jahre auf der sicheren Seite.

Nachdem ich über einen Bekannten gehört hatte dass Jemanden vor dem BVG geklagt hatte , wegen den neuen Reisepass und gewonnen hat und nicht seinen Fingerabdruck geben musste, sondern das Gericht hat als Urteil Ausgesprochen wurde . Die Bürger haben freiwillig zu entscheiden ob Sie ihren Fingerabdruck geben möchten oder nicht.

Dazu brauche ich Niemanden vom CCC, um mir sagen zu lassen der neue Personalausweis sein nicht sicher.

Als ich, dass mit dem neu Personalausweis in Zeitung gelesen habe und den Nachrichten kam, war mir von vorne rein klar, dass es nichts gutes sein kann,wegen dem neuen Reisepass vorher.

Da war mir klar vor dem 1.11.10 meinen neun Personalausweis machen möchte, und so zu mindesten die nächsten 10 Jahren den neuen Personalausweis nutzen wie noch der jetzige Personalausweis ist um auf der sicheren Seite zu sein . Dass alles ohne auf den CCC zu warten :“ob sie schaffen den neuen Personalausweis zu knacken.”

Sebastian 22. September 2010 um 11:28 Uhr

Frage schon beantwortet, in ottos Link zum WDR-Podcast wird am Ende gesagt, dass es noch bis 31.10. möglich ist den alten zu bestellen. Caschy, bitte den letzten Satz ändern. ;-)

nippelnuckler 22. September 2010 um 11:55 Uhr

@alle die ihn jetzt extra nochmal machen für 8 euro: ich hoffe ihr verliert euren ausweis wirklich und zwar am 1.11. muahahaha bin ich böse ;)

Christoph 22. September 2010 um 12:03 Uhr

@Tobi:
Bis zum 24. Lebensjahr ist er 6 Jahre gültig, danach 10 Jahre.

Ich habe das Glück, dass ich meinen erst vor kurzem erneuern lassen musste, so habe ich noch bis 2020 Ruhe von dem Chipgedöns. :)

kwoxer 22. September 2010 um 12:15 Uhr

Hab mir erst nen neuen geholt und bewusst mir nicht den digitalen geholt. Braucht man einfach nie…

clarkkent 22. September 2010 um 12:15 Uhr

gute, dass du uns erinnerst, werde meinen bestimmt auch die nächste zeit “verlieren” ;-)

SoehnelS 22. September 2010 um 13:01 Uhr

Also ich will das Chip-Dingens nicht haben,
aber ich habe auch immer so meine Bedenken.
(Online-Banking mache ich z.B. erst seit nem halben Jahr…;))

Was mich ärgert: Die Regierung/Wirtschaft/Wirtschaftsregierung drückt den Bürgern einen neuen Ausweis auf – und auch die Kosten dafür!
Entweder beim Ersten kostenlos oder zum Preis des alten oder nur als Option – das wäre für mich akzeptabler.

BadBoyz-Mode=on: @Gast Waldfee321: Du bist Deutschland! :P

gurkensalat 22. September 2010 um 13:02 Uhr

Alle labern, aber keiner hat Ahnung!

Der Perso wurde nur teilweise geknackt. Der Hack erfordert zwingend, dass der Nutzer ein Lesegerät verwendet, bei dem man die PIN über den PC eingeben muss. Um den PIN auslesen zu können, muss der PC kompromittiert sein.

Ansonsten bleibt das System sicher!

Fraggle 22. September 2010 um 13:18 Uhr

Und Gurkensalat hat Ahnung ;)

WDR2 Nachrichten heute morgen, im Chip kann der PIN geändert werden. Ob es stimmt kann weder ich, noch Du behaupten.

Tobias 22. September 2010 um 13:20 Uhr

@SoehnelS:
Wer soll die Kosten denn sonst tragen, wenn nicht der Bürger!?

SoehnelS 22. September 2010 um 13:25 Uhr

@Tobias: Die Heinis, die den Mist umgesetzt haben wollen.
Die Leute aus der Wirtschaft, nicht die in der Regierung sitzenden…

leosmutter 22. September 2010 um 13:36 Uhr

@gurkensalat

Der Perso an sich wurde gar nicht gehackt. Die Pin wird abgefangen, was jeder x-beliebige Keylogger schafft. Und dann per Api irgendwas signieren, wenn man die Pin hat… Wow, was für ein “Hack”. Wenn ePa, dann bitte mit Keypad-Terminal und nicht anders. Pin-Abfragen sind sicher, solange der Weg von Pin zur Karte,ePa,… sicher ist.

Julian 22. September 2010 um 13:43 Uhr

Die Frau bei mir aufm Bürgerbüro meinte neulich noch dass man auch den alten nächstes Jahr noch beantragen kann (ohne das elektronische), nur dass das doch eh keiner tun würde… Na die wird sich wundern :D

ben 22. September 2010 um 13:45 Uhr

@SoehnelS

Wie? Zwischen denen gibt es einen Unterschied?

Gast Waldfee321 22. September 2010 um 13:46 Uhr

@SoehnelS sagt: ich bin Deutschland, aber ich habe mich einfach schlau gemacht und mich belesen und Information einbezogen.

Jedenfalls bin froh dass neuen Personalausweis in der alten Version machen lasen habe. Ich habe es auch vielen Freunde und bekannten erzählt und ich kann, nur hoffen das sie dass auch weiter erzählt haben.

SoehnelS 22. September 2010 um 13:53 Uhr

@Gast Waldfee321: Das war der Satyr in mir. Es ging mir nur um Deinen Schreibstil.
Keiner (nicht mal ich!) ist perfekt, aber Dein Text war etwas schwer zu lesen…;)
Also: Wo kommst Du denn her?

Rainer 22. September 2010 um 14:03 Uhr

Die haben doch gar nichts ‘geknackt’. Die haben sich die PIN ‘besorgt’ (hier mit einem Trojaner) und dann die PIN geändert und benutzt. Das hat doch nichts mit knacken zu tun.

Fraggle 22. September 2010 um 14:11 Uhr

Man sollte auch woanders nachsehen.
Hier mal die WDR2 Meldung (zu 10:42 Uhr scrollen). Wenn sie korrekt ist, ist knacken sehr wohl korrekt:

“Nach einem Bericht des WDR knackten sie den Chip eines Testausweises und [b]änderten die geheime PIN-Nummer[/b]. Damit wäre es Fremden möglich, gestohlene Ausweise zum Beispiel für Kaufverträge im Internet zu nutzen….”.

Sofern ich den richtigen Code verwendet habe, sollte der entscheidende Teil fett hervorgehoben sein.

Quelle: http://www.wdr.de/radio/home/nachrichten/chronol.phtml?datum=2010-09-22&tag=22&monat=9&jahr=2010&seite=4&block=1

Thomas K. 22. September 2010 um 14:18 Uhr

Naja, man kanns auch übertreiben… Zunächst mal ist der neue ePA auch sicher, solange man ihn auf kein Lesegerät legt ;-) nur so nebenbei.

un noch beiläufiger: dicker Magnet bringt gar nichts bei Chips (selbst neue Festplatten sind da inzwischen sehr anspruchsvoll) Aber eine kleine heiße Nadel sollte den Zweck auch erfüllen^^

Also mein Perso läuft nächstes Jahr ab, un ich hol mir den neuen, einfach weil er so schön neben die sichere Bankkarte passt.

Aber bei den “tollen” neuen Funktionen werde ich wohl auch erst mal auf den ersten Knall warten, der ja einfach erst mal sein muss, damit bei uns was passiert.

Es bleibt spannend…

macorama 22. September 2010 um 14:24 Uhr

@Fraggle: Ist das ändern der PIN ein Feature des ePA oder nicht? Das weiß ich hier nämlich nicht.

Sollte es ein Feature sein, haben sie ihn nicht geknackt, sondern nur aufgrund der abgefangenen PIN eine vorhandene Funktion genutzt. Als plakative Metapher: Wenn du mir den Schlüssel zu meiner S-Klasse klaust, knackst du die ja auch nicht sondern nutzt das Feature aufschließen durch den mir entwendeten Schlüssel.

Falls es kein Feature ist, dann hast du recht. Das halte ich aber für nicht wahrscheinlich.

Fraggle 22. September 2010 um 14:30 Uhr

@macorama:

Wenn es so sein sollte wie Du es sagst, hast Du natürlich recht. Die Frage kann ich nicht beantworten. Der Link bei mir ist ja nicht sehr ausführlich. Im Radio war es etwas mehr. Was ich aber nur sagen kann ist, daß die Radiomeldung sich nict so anhörte, als würde die Nachricht hier und die im Radio sich auf denselben Test beziehen. Sie sagten nichts von Klau der alten PIN oder von Trojanern. Aber ausührlich waren sie nicht und somit läßt sich das nicht ausschließen.

CocaineRodeo 22. September 2010 um 14:35 Uhr

Oh, jetzt fällt mir erst wieder ein, dass ich die Tage auch mal einen neuen beantragen muss. Meiner läuft am 10.10. aus. :D Also noch schön mit der alten Generation ein paar Jahre Gassi gehen. ;)

coriandreas 22. September 2010 um 14:52 Uhr

Ich werde meinen alten Perso wohl erst ab dem 1. Nov. verlieren und dann mir so einen E-Perso mit einem besseren Lesegerät zuzulegen.
Übrigens: Hat der CCC jemals eine Schwachstelle aufgedeckt, die jemals TATSÄCHLICH zu einem Daten-GAU geführt hat? Mir ist nichts bekannt. Ich bin Optimist und will alle Möglichkeiten nutzen – und wenn Google zum Mond fliegt, bin ich dabei :-)
http://www.googlelunarxprize.org/

gurkensalat 22. September 2010 um 14:59 Uhr

@Fraggle: nun ja, Ahnung habe ich. Idiotisch auf die Medienseite von WDR zu verweisen. Da wäre die Bild-Zeitung genauso gut.

Auf der Website von CCC, die den Hack initiiert hat, kann man sich fachgerecht informieren oder eine gute Zusammenfassung bietet Heise:
http://www.heise.de/newsticker/meldung/CCC-zeigt-Sicherheitsprobleme-beim-elektronischen-Personalausweis-auf-Update-1083649.html

Fraggle 22. September 2010 um 15:34 Uhr

@Gurkensalat:
Etwas einfach als idiotisch zu bezeichnen ist, gelinde gesagt, dummes Gesschwätz. Außer, man kann es belegen, aber selbst dann ist das Zitat nicht idiotisch, sondern das zitierte. Ich wäre an Deiner Stelle vorsichtiger mit Verurteilungen. Denn Du weißt genausowenig wie ich anhand dieses Abschnitts auf welche Studie sie sich bezogen. Somit ist ein Urteil, weder positiv noch negativ, nicht möglich. Genau deswegen sagte ich auch, sofern es richtig ist, was der WDR sagte. Man sollte mit Referenzen immer vorsichtig sein, sofern man sie nicht prüfen kann.

becklestone 22. September 2010 um 15:35 Uhr

Auch der neue Personalausweis ist relativ preiswert. Ein biometrisches Modell kostet in Schweden 400 kr (43,70 Euro),
ein nichtbiometrisches Modell der Banken und nur im Norden gültig kostet 27,30 Euro.

Ich habe mir da dann doch einen Reisepass machen lassen, der genauso teuer wie der amtliche Ausweis ist.

Fraggle 22. September 2010 um 15:36 Uhr

@Gurkensalat:
Konnte nicht mehr editieren, also angehängt:

Den Beweis, daß das zitierte idiotisch ist, hast Du mit dem Link erbracht. Jetzt fehlt nur noch der Beweis, daß ich idiotisch bin, wie Du es mit Deinem Satz “WRD zu zitieren ist idiotisch” ja behauptet hast.

gurkensalat 22. September 2010 um 17:13 Uhr

@Fraggle

Du willst den Beweis? Na gut, denk mal an den Spruch: “Dumm ist der, der dummes tut”

Wer anfängt in Foren zu flamen, sollte mit einer entsprechenden Reaktion rechnen. Besonders dann, wenn man im Unrecht ist; wie du ja anhand meiner Quellenangaben bereits richtig bemerkt hast.

Mo 22. September 2010 um 17:37 Uhr

Ist mir alles egal, hauptsache er hat endlich mal ein anständiges Format. Der Preis ist allerdings überteuert. Und was ist schon fälschungssicher!

Fraggle 22. September 2010 um 17:37 Uhr

@Gurkensalat:
Etwas zu zitieren ist nicht gleich dumm. Aber das lernst Du sicherlich auch noch. Spätestens dann, wenn Du auch mal mit wissenschaftlichen Publikationen zu tun hast.
Und zitiert habe ich, daß die Radiomeldung besagt, der Paß sei geknackt. Ebenfalls sagte ich, daß ich nicht weiß, ob die Meldung korrekt sei. Wenn Du das als Flamen bezeichnest, empfehle ich Dir die Lektüre Deines letztens Post, es reicht den Spruch zu lesen.

In diesem Sinne, einen schönen Abend und viel Spaß beim Etikettekurs der VHS. Wäre zumindest empfehlenswert für Dich.

gurkensalat 22. September 2010 um 17:53 Uhr

@Fraggle:

Hättest du jemals irgendeine Form wissenschaftlicher Arbeit erbracht, dann wüsstest du auch, dass es sehr wohl auf die Qualität der Quelle ankommt. Daher zukünftig auf die Quellenangabe achten und nicht immer gleich alles für bare Münze nehmen was man so in allerlei Medien erfährt ;)

Das Flamen bezog sich übrigens auf deinen auf mich bezogenen ersten Post, in der du meine Aussage, ohne Hintergrundwissen, in Frage stelltest. Aber wie man auch da merkt, ist es mit deiner Etikette nicht weit her.

macorama 22. September 2010 um 17:54 Uhr

@gurkensalat @ fraggle
1. flamet hier keiner
2. habt ihr beide keine nachhaltigen und stichhaltigen Informationen für irgendeine weitergehende Behauptung
3. ist die durch den CCC angemahnte Sicherheitslücke eine Lücke, die bei JEDEM System existiert bei dem eine nicht verschlüsselte Eingabe einer PIN an kompromitierbaren Systemen durchgeführt wird.
4. Die Qullen anderer Leute, die (auch der WDR) noch als seriöse Nachrichtenquellen gelten, schlecht zu reden ist auch keine angemessene Art. Auf Heise zu verweisen ist in dem Zuge nicht wirklich glaubwürdiger, auch die sind gut im falsch abschreiben.

Und jetzt kriegt euch mal ein, Kin’ers

macorama 22. September 2010 um 17:57 Uhr

PS: @gurke: der Hinweis mit der Etikette. Schreib’s dir mal auf ;-)

Evil 22. September 2010 um 18:32 Uhr

Danke für die Info. Ich werde die Tage mal losstrunkeln, und mir nochmal flux den alten sichern. (meinen momentanen hab ich natürlich wie immer verloren. Ich hab schon ne ganze Sammlung ) Nicht das ich n bißchen Paranoid währ, aber ich muss nicht immer und überall meine ganzen Daten hinterlassen. Ich hab auch kein Handy. Und an umfragen im Supermarkt, wegen Postleitzahl und so nehme ich auch nicht teil. Und wenn mich irgendwelche Leute wegen einer nutzlosen umfrage auf m Haustelefon nervender weise anrufen, und mir irgendwelche fragen stellen, stell ich einfach gegenfragen. (hast DU n Hund…wie sieht der aus! welche Farbe hat deine Gardine! Haste gestern ….. gesehen/gelesen/gehört! nunja jetzt bin ich schon wieder abgeschweift :-)
bis die tage keine frage. bin dann ma wech. und ihr seht zu, das ihr zum frisÖr kommt, weil wegen Fotos fürn Ausweis.

MfG Evil

David 22. September 2010 um 18:44 Uhr

Österreich ist einfach toll. :) Unzensierte “Killer-Spiele” ^^ und:

“Der Personalausweis ist in Österreich unüblich, da keine Ausweispflicht besteht. Er wurde im Jahr 2002 im Scheckkartenformat eingeführt.”

Matze_B 22. September 2010 um 19:13 Uhr

Heute abend 21:55 WDR Bericht aus Brüssel, ausserdem kann man doch inzwischen im Web genaueres lesen, kling nicht gut.

IanG 22. September 2010 um 20:02 Uhr

Ich werde den neuen nehmen und die Funktion deaktivieren. Ich hasse die aktuelle Größe von dem Lappen, der neue kostet zwar mehr, aber ist kleiner.

Dodger 22. September 2010 um 20:53 Uhr

Oh Mann…wie ich diese Panikmache liebe!

Ich habe in dem Beitrag des CCC keine klare Sicherheitslücke aufgezeigt bekommen, die gegen die Sicherheit des Chips spricht. Wenn jemand natürlich ungeschickt genug ist, sich einen Trojaner etc. einzufangen, der die PIN-Eingabe abfängt ist er selbst Schuld.

Und mal ehrlich, wie hoch ist die Wahrscheinlichkeit, dass jemand neben Dir steht, die PIN “abfängt” und dann im gleichen Zug dann den PIN ändert? Am besten noch zu Dir sagt: “Herr X, gehen Sie mal bitte kurz aus dem Raum, ich muß Ihren PIN ändern.”. Und wenn ich das hier lese: “Mit dem Wissen um die PIN kann ein Angreifer nun den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt.” Sorry, aber da kann ich nur schmunzeln.

Bei dem Chip handelt es sich um einen hochsicheren Microcontrollerchip des Typs SmartMX und nicht um ein Pille-Palle-Teil.

Wie sicher ist der alte PA denn? Könnte ja auch jemand fotokopieren…seeeehr sicher ;-)

Das Abfangen der Daten am Lesegerät hat also rein gar nichts mit der Sicherheit des Chips zu tun. Was bringt es Dir, wenn Du 5 Schlösser an der Haustüre hast, aber den Schlüssel auf die Fußmatte legst? NIX!

Nur mal eine hypothetische Frage: wer von Euch hat denn eine EC-Karte? So…wie sicher ist dieser Chip denn, wenn die PIN ausgespäht wird? Ihr habt deswegen sicher auch nicht all Euer Geld zuhause im Stumpf versteckt. Dort traut jeder der EC-Karte, aber hier wird (weil es NEU ist und RFID kaum einer kennt) eine unnötige Panikmache betrieben. Leute werft Eure EC Karte weg oder verliert sie zufällig und kauft nur noch mit Bargeld ein!

Genauso wie der Blödsinn, man könne mit riesigen Antennen in Flughäfen den elektr. Reisepass auf mehrere Meter auslesen und identifizieren. Technisch UNMÖGLICH, aber einige Experten verbreiten eben gerne gefährliches Halbwissen.

In diesem Sinne, viel Spaß in der Panikwelle! Ich bleib cool, weil ich weiß, WIE SICHER der Chip wirklich ist und ich gesunden Menschenverstand besitze und niemand an meinen PC, mit Karte auf dem Leser liegend, lasse der dann über den Trojaner den er zuvor heimlich per Telepathie installiert hat, die ausgelesene PIN ändert.

Matze_B 22. September 2010 um 22:29 Uhr

.. beschäftige dich mal mit den möglichen Funktionen. Ich glaube nicht, daß jeder extra zu dir nach Hause kommt an deinen Super-Sicher-PC. Kann ich mir nicht vorstellen.

Thomas K. 22. September 2010 um 23:27 Uhr

langer Text, wenig Substanz…
Der alte PA ist sicher, weil man ihn nicht einfach kopieren kann, in dieser Hinsicht ist es der neue ePA ja auch. Lediglich neu hinzugefügte Funktionen in Zusammenhang mit Internet-Authentifizierung werden iinfrage gestellt.

Im Grunde stimmt es doch, dass es leichter ist, via Keylogger Benutzername und Passwort abzufangen, als dfen Moment abzuwarten, indem der Perso auf dem Leser liegt und dann den Login zu untergraben.

Insofern ist der ePA ja sogar ein gewisser Fortschritt. Falsch wäre es jetzt nur, diese höhere Sicherheit als Festung zu beschreien und damit alles über diesen Kanal freizugeben.

Bezogen auf Online-Wahlen zum Beispiel ist ja irrelevant, wer da gerade den Perso benutzt, solange er Wahlrecht besitzt. Wenn dann nur 10000 Otto-Normal-Verbraucher, die idR alle Meldungen des Virenscanner (sofern vorhanden, ich kenn da auch Win98 Online-Banker (IE5!!!)…) einfach wegklicken, per Zufall wählen, wäre das schon diskussionswürdig.

Letzten Endes sollte das Sicherheitsniveau des Persos schlicht Einfluss bei der Auswahl der angebotenen Dienste haben.

IMHO

coriandreas 23. September 2010 um 00:12 Uhr

@Dodger
FULL ACK!
Apropos: Wieso gibts vom CCC eigentlich kein cccPAD? Ein unkomprimittierbares System “build by CCC” mit eingebautem E-Perso-Leser mit seperater Identifizierung?
So wäre der CCC als nützlich zu bezeichnen, nicht jedoch mit dieser (typisch linken) “Contra”-, Dagegen”- und “No”-Haltung, die mich echt nervt.

werner67 23. September 2010 um 07:27 Uhr

28 Euronen ? Gelobtes Land ! In Helvetien kostet so ein Ding incl. Porto 70 Franken, sprich ca. 54 €. Und da ist noch nicht mal ein Chip drauf ;-)

Wixxer 23. September 2010 um 08:52 Uhr

Oh je, hier geht es ja ab … und ich will mit dabei sein: Daher: Was regt ihr euch denn alle so über den Ausweis auf: Wie alles kostet er halt nur mehr. Die einen begründen das mit dem nicht vorhandenen Teuro, die anderen mit der nicht vorhandenen Sicherheit. Schluss endlich wird ein Großteil der e-Pässe einmal eine Spule zu Gesicht bekommen, die direkt an die 230 V Steckdose angeschlossen wird. Daraufhin springt die Sicherung raus, die selbstgebastelte Spule für 13 Cent ist im Hintern und jeder der Ausweise ist lediglich ein Ausweis – ohne Schutz und anderen Schnickschnak, den bis heute keiner braucht. Und wieso brauchte man dafür jetzt eine Einwegkamera?

@coriandreas: Weil zu wenige Menschen (du weißt sicher wen ich meine) wissen, wie es denn um die wahre Natur der ganzen Sache steht. Auch trotz der ganzen Aufregung wird sich “dumm” durchsetzen, denn nicht das Volk sondern die Dummheit regiert! Das war so und wird so bleiben, denn Denken ist wirklich anstrengend – könnte man meinen, wenn man sich so alles anschaut. Und Warum um alles in der Welt soll der CCC etwas das es schon gibt neu erfinden? Sie prangern doch nur an UND ZEIGEN AUF wie es nicht sein darf. Nebenbei: Machst Du Homebaning immer noch über (i)Pin und (i)Tan? Oder benutzt du schon eine Chipkarte und wenn ja, hast Du dir einen Klasse 3 Leser gekauft? Nein?

Michael 23. September 2010 um 09:16 Uhr

@Wixxer und generell mal @ALLE:

Vergesst doch diese ganzen Methoden, wie man den ollen Chip auf dem Ausweis kaputtmachen oder sabotieren kann. Laßt ihn Euch bei der Ausstellung bzw. Abholung einfach nicht freischalten/aktivieren und ihr bekommt einen stinknormalen Plastikausweis ohne “Funktion”.

Und dass die Medien davon berichten, dass der Ausweis “geknackt” wurde, ist auch völliger Blödsinn. Der Ausweis-Chip kann vielleicht unbrauchbar gemacht werden, aber das Ändern der PIN ist nur mit der vorhandenen PIN möglich. Und da muss erst ein Trojaner ins Spiel kommen, der die Tastatureingaben am PC abfängt, wenn das Lesegerät keine eigene Tastatur hat. Wer seinen neuen Ausweis mal verliert, muss sich (bislang) keine Sorgen machen, dass der Finder da einfach ‘ne neue PIN drauf macht und den Ausweis dann missbrauchen kann. Das wird von den Medien völlig überzogen rübergebracht.
LÖSUNG 1: Chip nicht freischalten, wenn nicht benötigt. LÖSUNG 2: wer den Chip nutzen möchte, kauft sich ein Lesegerät mit INTEGRIERTER Tastatur.
FERTIG…

Timo 23. September 2010 um 09:56 Uhr

@Coriandreas: danke, endlich mal jemand der sich nicht von der Panik anstecken läßt ;-)

@Thomas K: wenig Substanz? Mal kurz gelacht… ;-) Wie gesagt, wenn der User unvorsichtig ist und sich einen ePA-Trojaner etc. einfängt ist er IMHO selbst Schuld. Beispiel mit dem Schlüssel und der Türe. Sorry…wieder zu wenig Substanz ;-)

Da der CCC nicht klar darlegt, wie er das mit der PIN-Änderung gemacht haben will und nur schwammiges dazu schreibt ist es für mich nur haltloses Gesülze. Der CCC ist für mich kein offizielles Prüflabor, somit können die in Ihren Test ja alles “zeigen”. Sorry, wieder keine Substanz ;-)

Kreditkarten benutzt heutzutage auch jeder und die sind noch einfacher zu mißbrauchen, als ein ePA Ausweis. Und wer jammert da, dass dort alles sichtbar aufgedruckt ist? Kein Mensch!

Wie gesagt, sobald etwas neues herauskommt und sich die breite Masse mit dem Thema sich nicht auskennt, eignet sich das hervorragend um Panik zu verbreiten.

Ich kenne aus beruflichen Gründen den Chiphersteller sehr gut und weiß wie sicher der Chip selbst ist. Und ich kann mir nicht vorstellen, dass das darauf laufene Applet eine PIN-Änderung erlaubt. Oder kann man die PIN seiner EC-Karte ändern? Zumal es sich ja wohl um “Prototypen” gehandelt hat beim CCC. Dort sind evtl. auch Funktionen testweise freigeschaltet, die es nacher nicht geben wird. Mal daran gedacht oder ist das auch wieder ohne Substanz?

Ich werde mich jedenfalls nicht von undurchsichtigen, weil nicht genau beschriebenen, CCC-Tests verrückt machen lassen. Wenn der CCC doch so überzeugt ist, wieso geht er damit nicht zu einem unabhängigen Prüflabor, gibt es ja genug.

Aber bevor es wieder ein zu langer Texte ohne Substanz gibt, mache ich lieber Schluss ;-)))

Timo 23. September 2010 um 09:58 Uhr

@Michael…FULL ACK! Noch jemand, der mal hinter diesen CCC-Test blickt und in die gleiche Richtung argumentiert wie ich. Aber Vorsicht Michael…könnte als “wenig Substanz” bezeichnet werden ;-)

Ich 23. September 2010 um 10:06 Uhr

Es ist doch keine Panik. Vielmehr sollte man es so sehen, wie bei den Warnungen zu AV und FW Software: Man sollte nie brain.exe ausschalten. Natürlich sind viele Dinge nötig, damit das Szenario passieren kann, aber genau damit diese nicht passieren, sollte man auf die Gefahren hinweisen.
Übrigens, daß der CCC nicht genau zeigt wie es geht, hat rechtliche sowie Vernunftgründe: Man darf nicht zeigen wie es geht, damit es keiner nachmacht, ansonsten hätten sie ganz schnell eine Klage wegen Beihilfe am Hals.

Übrigens ist der Diebstahl sehr wohl einfacher als bei der EC-Karte, auch wenn er weiterhin schwer ist. Denn bei der EC-Karte, zumindest meines Wissens nach, muß der Dieb physischen Kontakt zur Karte haben. Beim Paß nicht. Wenn ich genügend Trojaner verbreitet habe, warte ich ab, bis mir einer, salopp gesagt anzeigt, wenn jemand seine Karte nutzt, dann klinke ich mich ein. ist mir ja egal wer es ist. Auch wenn die Technik hinter dem Paß wohl besser ist, aber die wird ja nicht außer Kraft gesetzt sondern nur umgangen durch die Schwachstelle Windows (Trojaner) und Lesegerät. Übrigens ist letzteres heftig, weil genau die Lesegeräte, die vom Bund gesponsort werden, die sind, die anfällig sind. Die sicheren sponsorn sie nicht.

Michael 23. September 2010 um 10:31 Uhr

Einen habe ich noch! Und dann klink’ ich mich hier aus, bevor es ausartet :-)

Auf http://www.personalausweisportal.de (eine Website des BMI) wird eindeutig darauf hingewiesen, dass ein Sicherheitsrisiko durch Trojaner und Keylogger besteht, inkl. dessen Folgen.

Tommi 23. September 2010 um 11:04 Uhr

Eine interessante Diskussion, geprägt von solidem Halbwissen und Panikmacherei. Wenn der Chip nicht aktiviert wird, ist der neue Personalausweis genauso nutzbar wie der alte. Der Vorteil liegt in der Größe. Ob man die biometrischen Zusatzleistungen (Fingerabdruck) benutzt liegt bei einem selber. Mir wird in keinem sogenannten Fachartikel klar gemacht, wie es zur weiteren Verwendung der Pin gekommen ist. Immer steht im Vordergrund, dass die erste Pin ausgespäht wurde! Nach meiner heutiger Wissenslage, hat es der CCC nicht geschafft, die Pin eines EPa direkt auszulesen.
Für alle die, denen der neue nicht EPa geheuer ist, nehmt den alten Personalausweis oder lasst die Zusatzfunktionen einfach gesperrt. Ich werde den EPa nehmen.

snix 23. September 2010 um 12:37 Uhr

Der CCC möchte die pauschale Aussage des BSI zur Sicherheit beim Einsatz des neuen Personalausweises widerlegen. Die Schlagzeilen die hieraus aber entstanden sind, sind größtenteils Quatsch.

Ich werde im November den neuen Ausweis mit *aktivierter* eID-Funktion beantragen.

Meine Sicht der Dinge habe ich in meinem Blog beschrieben: http://bit.ly/dho99k

Nostrx 24. September 2010 um 18:35 Uhr

ich hab vor 2 Wochen mir noch den alten geholt… hab nun erstmal ruhe und nur 8€ bezahlt.

Thomas K. 25. September 2010 um 16:01 Uhr

eigentlich wollte ich ja gar nichts mehr schreiben, damit die Diskussion hier ihr Ende hat, aber nur ganz kurz:

@Timo: Wieso hälst du dich an meiner Wortwahl so auf? Die Aussage bezieht sich auf Aussagen wie “einfach Perso kopieren”, wobei du mir hoffentlich Recht gibts.

Was Trojaner angeht, gebe ich dir im Grunde Recht, nur bin ich der Meinung, dass ein staatliches Institut sich darüber im Klaren sein muss, dass es eben doch eine ganze Menge naive Nutzer gibt (Beispiel habe ich genannt), die in einem solchen Fall ganz einfach Schaden verursachen können, daher die Aussage zur Funktionseinschränkung.

Und das der CCC keine eigentliche Sicherheitslücke des Konzepts bzw. schon gar nicht des Chips zeigt, sollten wir uns in diesen Punkten doch soweit einig sein.

Mac 27. September 2010 um 18:02 Uhr

Ich schließe mich Tommi an: Ich bin einfach froh, dass sie das Format mal Geldbeutelfreundlicher gestaltet haben. Der Rest ist mir mal vorerst sch…egal!

In diesem Sinne!


Deine Meinung ist uns wichtig...

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.