Neuer Personalausweis schon geknackt?

22. September 2010 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Schöne neue Welt. Ich zitiere mal unser Bundesministerium des Inneren:

Aufgrund seines Sicherheitskonzeptes hilft der neue Personalausweis, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern


(Bildquelle: Wikipedia, gemeinfrei)

Nun lesen wir aber mal bei n24  weiter: Computerexperten knacken geheime PIN. Weitere Infos und Links: Chaos Computer Club. Wir bewegen uns in eine spannende Zukunft. Wird ja auch immer alles so toll & sicher in den TV-Werbespots dargestellt. Schön im Bett liegen, shoppen und sich mit dem neuen, 28 Euro teuren Perso identifizieren. Jaja, zum Glück ist mein alter noch bis 2018 gültig – also: vielleicht noch wacker bis zum 30.10.2010 den alten beantragen ;)

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16464 Artikel geschrieben.


92 Kommentare

Philipp 22. September 2010 um 09:33 Uhr

Du hasts gut, meiner läuft schon 2015 aus. ;)

OT: Warum werden die Kommentar-Formulardaten Name, Email und Webseite gespeichert, aber nicht der Twittername?

caschy 22. September 2010 um 09:35 Uhr

Das funktioniert auch ohne neues Ausfüllen, bleibt gespeichert. Probier es mal aus :)

Chris 22. September 2010 um 09:38 Uhr

“Jaja, zum Glück ist mein alter noch bis 2018 gültig…”
ich hab meinen glücklicherweise im Urlaub vergangenen Monat bei nem Bootsausflug verloren, somit bleibt mir dieser neue Bullshit auch noch 10 Jahre erspart.
Der “alte” ist auch noch günstig – kostet nur 8 €uro.

ChackZz 22. September 2010 um 09:38 Uhr

Der entscheidene Vorteil ist doch, dass der neue Perso nicht mehr dieses schreckliche Format hat, sondern endlich eine annehmbare Größe ;)

Olli 22. September 2010 um 09:38 Uhr

Wenn man seinen Perso jetzt noch “zufällig” verliert, bekommt man für 10 Jahre noch einen alten. Ab Novemver (bin nicht zu 100% sicher) gibt es dann ausschließlich den Neuen!

Ingo Coknito 22. September 2010 um 09:38 Uhr

Nur so als Tipp:

Man kann auch *einfach so* einen neuen Perso beantragen das is günstiger als die 28 Euronen für den neuen und wenn man über 25 ist hält er dann auch 10 jahre. Stichtag is der 30.Sep.

Und mal im ernst, in 10 jahren kann viel passieren, bis dahin is die Sache hoffentlich wieder untern Tisch gefallen :)

Keine Garantie aber so hat mir das meine Bekannte ausm Bürgerbüro gesagt :)

Philipp 22. September 2010 um 09:38 Uhr

Nope, obwohl eben eingetragen ist jetzt das Feld Twittername leer. Vielleicht muss ich mal die von dir (stadt-bremerhaven.de) angelegten Cookies resetten!?

Marvin 22. September 2010 um 09:40 Uhr

War klar das dies passiert.
Frag mich auch welcher Praktikant im Innenministerium das ding entwickelt hat -.-

Geheim 22. September 2010 um 09:41 Uhr

WTF! Da muss der Speicher meines baldig neuen Ausweises wohl einen mechanischen Defekt erleiden.

Unsere Entscheidungsträger sind scheinbar alles MeisterInnen im Traumtanzen.

Jay F. Kay 22. September 2010 um 09:50 Uhr

Der größte Vorteil ist mit Sicherheit das neue benutzerfreundliche Format. Und der Chip… nun, der sei ja angeblich doch nicht so unempfindlich wie man immer geglaubt hat und kann schon mal nach kurzer Zeit einen Defekt aufweisen… ;-)

Ted 22. September 2010 um 09:53 Uhr

alter Perso weniger als 6 Monate gültig € 8
alter Perso weniger mehr als 6 Monate gültig € 13

wenn man den alten verloren hat und ihn zufälligerweise wiederfindet, sollte man ihn nicht mehr nutzen, da dies als Ordnungswidrigkeit mit Bußgeld belegt ist

CarpeDraconis 22. September 2010 um 09:56 Uhr

Ich glaube ich verliere meinen auch noch, dann hab ich 8 Jahre länger Ruhe vor dem neuen, überteuerten Mist, wo jede optionale Zusatzfunktion mit extra Gebühren berechnet wird. Also 28,80 € für den Lappen an sich plus 6 € je Zusatzfunktion. Wir hatten in der Tageszeitung (Neue OZ) letztens eine nette Übersicht über die Kosten.
Siehe auch hier:
http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2010/ohneMarginalspalte/08/gebuehren_vo_perso.html

Marcel 22. September 2010 um 09:56 Uhr

Meiner läuft schon Anfang 2012 aus. :-( Eine Überlegung wert, das grausame Foto schon jetzt durch ein neues zu ersetzen. ;-)

Gast 22. September 2010 um 10:04 Uhr

Bis zu welchem Datum kann man denn nun den alten noch beantragen?
So wie im Text angegeben bis 30.09. oder doch bis zum 31.10.?
Da der neue erst ab November zu haben ist, dachte ich eigentlich letzteres. =/

Tobi 22. September 2010 um 10:05 Uhr

Wie alt muss man denn sein damit er 10 Jahre gültig ist? Ich bin glaub ich noch zu klein oder? (meiner hält nur bis 2012)

marvo 22. September 2010 um 10:07 Uhr

N24 ist sicherlich auch nicht die beste Informationsquelle. Denke es hängt auch viel damit zusammen wie man das ganze nutzt.
Hier noch ein Link zu einem aktuellen CCC Beitrag, mit noch mehr Links falls es einen Interessiert.
http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa

Slash 22. September 2010 um 10:10 Uhr

Mein alter Perso war noch über 2 Jahr gültig, konnte ich ohne Angabe von Gründen für 8 Euro neu beantragen.

“Perso verlieren” ist nicht so gut. Dann muss man über viel Geld eidesstattliche Erklärung abgeben etc etc.

Ein Bekannter hatte beim Unterlagen abheften aus Versehen seinen Perso gelocht :-)) War danach leider ungültig :((

hoschi 22. September 2010 um 10:10 Uhr

“Neuer Personalausweis schon geknackt” – Ja und? Der alte war schon von Anfang an geknackt. Ich seh den ganzen Elektronik-Spass eher als Zusatz

Tom 22. September 2010 um 10:11 Uhr

@Ted: “alter Perso weniger als 6 Monate gültig € 8
alter Perso weniger mehr als 6 Monate gültig € 13″

Ich hab mir gerade nen alten neuen beantragt, für 8 Euro. Mein aktueller wäre noch bis 2013 gültig. Liegt wohl auch an den Beamten vor Ort.
Man muss ihn auch nicht verlieren oder so. Wenn der neue da ist, wird getauscht, fertig. Kann man ständig machen, wenn es einem Spaß macht. ;)

Thomas 22. September 2010 um 10:12 Uhr

Das ganze ist mal wieder eine Zeichen dafür, wie unfähig unsere Bundesregierung einfach nur ist. Wenns es selbst einer9te Klasse gelingt, mit Hilfe einer 10 Euro Wegwerfkamera die Fingerabdruckfunktion ausser Kraft zu setzen und der Innenminister trotzdem noch von Super-Sicherem Ausweiss erzählt – kann ich mich darüber nur noch totlachen.
Mein Ausweiss ist zum Glück noch 7 Jahre gültig…..

Paul Peter 22. September 2010 um 10:20 Uhr

jeder kocht sein eigenes Süppchen… In Estland gibt es bereits den E-Ausweis seit einigen Jahren, inkl. E-Voting per Internet von zu Hause aus! Und für was ist Estland noch bekannt, jedoch weiß es kaum einer? Gesetzlich garantierter Internetanschluss, (meistens freies und kostenloses) WLAN in den großen Städten und Skype wurde von Studenten der TU Tallinn entwickelt und noch heute sitzen dort 300 Programmierer.
Ich bin auch kein Fan des E-Perso, das Papierteil reicht für mich völlig aus. Und der estnische E-Perso ist auch ziemlicher Murks, weil zahlreiche zentrale Datenbanken über alle angebotene Services aufgebaut werden.

macorama 22. September 2010 um 10:26 Uhr

Gut dass meiner auch noch bis 2016 gilt :-)

Aber seid vorsichtig bei der Behauptung der ePA sei unsicher. Der Ausweis (die physische Karte) ist selber nicht geknackt worden. Der CCC weist auf Sicherheitslücken und Problematiken hin die durch die Verwendung in Verbindung mit unsicherer Software, unsicheren Kommunikationskanälen und minderwärtigen Hardwarekomponenten real vorhanden sind. Wenn unsere “Führer” etwas von Software verstehen würden, könnten dies Sicherheitslücken korrigiert werden. Den direkten Zugriff auf den ePS (als Karte) und die darauf gespeicherten zertifikate ohne die im Artikel des CCC beschriebenen Lücken hat auch der CCC noch nicht bewerkstelligt. Also: Nur die Verwendung des ePA macht ihn unsicher, zurzeit.

Ich bin kein Fan von dem Ding, aber alles bitte im Kontext.

ron 22. September 2010 um 10:41 Uhr

Hehe, so ein Zufall.
Ich hole meinen neuen alten PA heute im Bürgeramt ab.

Ansonsten kann ich macorama nur zustimmen. Die Verwendung des nPA kann unter Umständen sehr riskant sein. Der nPA selber wurde nicht geknackt. Wobei das wahrscheinlich nur eine Frage der Zeit ist. Deswegen nehm ich vor dem tollen neuen Konzept auch erstmal Abstand.
Im Endeffekt ist das ganze nPA-Zeugs eh nur ein Projekt der Wirtschaftslobby, wonach man sich einen unheimlichen Aufschwung der Geschäfte im Internet erhofft. Die Bundesregierung und die an der Technik beteiligten Unternehmen profitieren natürlich ordentlich davon.
Sicherer ist der nPA keinesfalls. Das darf man nicht vergessen. Und die vielen neuen Funktionen machen ihn im Gegenteil anfälliger für Risiken. Wie das eben immer so ist. Wo mehr Technik drin steckt, können auch mehr Fehler auftreten.

Slash 22. September 2010 um 10:44 Uhr

@macorama

Ob nun der ePerso selber geknackt wurde oder “nur” das System um den eP darum ist doch egal. Das Gesamtsystem ist nicht so sicher, wie es die Regierung behauptet.
Der Bundesinnenminister hat ja gesagt, dass der Staat nicht für kriminelle Aktionen rund um den ePerso haftet. Der Bürger ist der Dumme, wenn er den offiziellen Sicherheitsbehauptungen glaubt und dann den Schaden hat

DragonHunter 22. September 2010 um 10:48 Uhr

N24 entwickelt sich auch langsam leider negativ…
viel zu reißerisch…
dass der ePA natürlich Sicherheitslücken aufweist, sollte jedem klar sein der mitbekommen hat wie überhastet das Ding eingeführt werden soll

Rein vom Prinzip bin ich ja angetan von dem Ding
aber nicht in dem Zustand indem sich der ePA und die Software dazu befindet…

Ich bin froh, dass ich meinen neuen “alten” Perso sowieso beantragen musste der gilt zwar bei mir nur 6 Jahre, aber immerhin…
Für normal arbeitende Unternehmen sollte das ja reichen um zumindest die gröbsten Schnitzer wieder auszubügeln…

macorama 22. September 2010 um 10:51 Uhr

@slash
Einen Unterschied macht es schon: Durch den Einsatz von besserer Software oder besserer Hardware bei der Verwendung kann man (wenn man den ePA unbedingt nutzen will) in Zukunft vielleicht den Sicherheitsproblemen entgegen wirken. Oder ich nutze diese Features nicht.
Wenn der ePA als Karte geknackt wäre, dann würde das Problem aber nicht bei der eigenen Verwendung anfangen sondern dabei, dass plötzlich alle Nase lang den Leuten die ePAs geklaut werden! Dann muss man nur den ePA haben und nicht die damit durchgeführten Transaktionen abfangen/überwachen/ändern/etc. um Schindluder zu treiben.

Ganz ehrlich, lieber ich nutze ihn nicht und weiß dass dadurch keine Sicherheitslücke ausgenutzt werden kann, als dass ich vor Angst, dass mir das Ding geklaut wird, ich ihn in ein Schließfach bei der Bank legen muss. Denn momentan ist es so: Wenn ich die Daten (PIN etc.) nicht eingebe kann mit meinem ePA “noch” keiner was anfangen (im digitalen Bereich).

Zustimmung?

leosmutter 22. September 2010 um 10:58 Uhr

Sogar in der Zeitung mit den 4 Buchstaben steht es drin. Aber wie macorama schon schrieb, ist das alles ziemlich reißerisch aufgemacht. Wenn ich eine Pinnummer per “über die Schulter schauen” (per Trojan oder eigenen Augen) herausbekomme, dann ist das in meinen Augen kein Knacken. Das Problem ist momentan eher die Hardware drumherum (Lesegeräte ohne Pintastatur).
Und wenn das Ding auch ohne Chip gültig ist, kann man es ja vielleicht mal für 1 sek in der Mikrowelle vergessen…

Fraggle 22. September 2010 um 11:02 Uhr

Also heute morgen im Radio wurde gesagt, er sei so geknackt worden, daß man den PIN ändern kann. Und das finde ich bedenklich. Naja, meiner gilt noch bis 2017 und danach laufe ich mal an einem starken Magneten vorbei :)

otto 22. September 2010 um 11:07 Uhr

Wer bald mit einem neuen Perso auskommen muss, kann hier mal reinschauen:

http://tinyurl.com/38vesga

Schüler haben nämlich einen Weg gefunden, wie man sich einfach schützen kann :). Der Perso bleibt laut Gesetzt auch ohne elektronische Daten gültig. Alle Experimente natürlich auf eigene Gefahr.

der_bud 22. September 2010 um 11:09 Uhr

Ich sehe das auch so das zwischen einem “unsicheren Ausweis” und der knackbarkeit von mit dem Ausweis verwendeter Identifizierungssoftware getrennt werden muß.
Aus der oben von CarpeDraconis verlinkten BMI-Übersicht geht hervor, das ich (mein Ausweis läuft 2014 ab) wohl folgendes nutzen werde:
-Ausstellung PA, Antragsteller ab 24 Jahren: 28,80 Euro
-Deaktivieren der Online-Ausweisfunktion: gebührenfrei

Bei Bedarf und wenn es entsprechend sichere Kartenlesegeräte + Software gibt, kann ich immer noch
-Nachträgliches Aktivieren der Online-Ausweisfunktion: 6,- Euro

Also: man kriegt den neuen auch schon “ab Werk” ohne scharfgeschaltete Onlinefunktion.

otto 22. September 2010 um 11:12 Uhr

und hier noch ein Link zum Thema:

http://tinyurl.com/33dgseh

Sebastian 22. September 2010 um 11:12 Uhr

Moin,

ich dachte, man kann den alten Perso noch bis 31.10. beantragen?

Michael 22. September 2010 um 11:22 Uhr

Wenn ich auf der Seite http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa nichts übersehen haben, ist die Sicherheitslücke aber immer noch das Einstiegslesegerät, welches nicht über eine integrierte Tastatur verfügt. Wenn nun die PIN auf dem Ausweis abgefragt wird, muss sie per PC-Tastatur eingegeben werden. Nun kann diese von einem Trojaner abgefangen und benutzt werden, u.a. um die PIN zu ändern. Was daran neu ist und den CCC zur erneuten Veröffentlichung getrieben hat, erschließt sich mir aber nicht. Das haben die schon vor ein paar Wochen an die Öffentlichkeit gebracht…
Im übrigen ist die Aktivierung der sog. “eID” freiwillig. Selbst wer nach dem 29.10. (der eigentliche Stichtag ist ja ein Sonntag) seinen Perso beantragt, muss sich nicht den Chip aktivieren lassen und hat somit einen sicheren (weil deaktivierten) Ausweis. Eine nachträgliche Aktivierung ist aber immer möglich (allerdings gegen Gebühr).

David 22. September 2010 um 11:22 Uhr

hach gut das mein Perso seit gut einem Jahr bereits abgelaufen ist, schnell noch den alten beantragen ^^

Gast Waldfee321 22. September 2010 um 11:27 Uhr

Zum Glück habe ich,meinen neuen Personalausweis letzte Woche schon Abgeholt. So bin ich, die Nächten 10 Jahre auf der sicheren Seite.

Nachdem ich über einen Bekannten gehört hatte dass Jemanden vor dem BVG geklagt hatte , wegen den neuen Reisepass und gewonnen hat und nicht seinen Fingerabdruck geben musste, sondern das Gericht hat als Urteil Ausgesprochen wurde . Die Bürger haben freiwillig zu entscheiden ob Sie ihren Fingerabdruck geben möchten oder nicht.

Dazu brauche ich Niemanden vom CCC, um mir sagen zu lassen der neue Personalausweis sein nicht sicher.

Als ich, dass mit dem neu Personalausweis in Zeitung gelesen habe und den Nachrichten kam, war mir von vorne rein klar, dass es nichts gutes sein kann,wegen dem neuen Reisepass vorher.

Da war mir klar vor dem 1.11.10 meinen neun Personalausweis machen möchte, und so zu mindesten die nächsten 10 Jahren den neuen Personalausweis nutzen wie noch der jetzige Personalausweis ist um auf der sicheren Seite zu sein . Dass alles ohne auf den CCC zu warten :“ob sie schaffen den neuen Personalausweis zu knacken.”

Sebastian 22. September 2010 um 11:28 Uhr

Frage schon beantwortet, in ottos Link zum WDR-Podcast wird am Ende gesagt, dass es noch bis 31.10. möglich ist den alten zu bestellen. Caschy, bitte den letzten Satz ändern. ;-)

nippelnuckler 22. September 2010 um 11:55 Uhr

@alle die ihn jetzt extra nochmal machen für 8 euro: ich hoffe ihr verliert euren ausweis wirklich und zwar am 1.11. muahahaha bin ich böse ;)

Christoph 22. September 2010 um 12:03 Uhr

@Tobi:
Bis zum 24. Lebensjahr ist er 6 Jahre gültig, danach 10 Jahre.

Ich habe das Glück, dass ich meinen erst vor kurzem erneuern lassen musste, so habe ich noch bis 2020 Ruhe von dem Chipgedöns. :)

kwoxer 22. September 2010 um 12:15 Uhr

Hab mir erst nen neuen geholt und bewusst mir nicht den digitalen geholt. Braucht man einfach nie…

clarkkent 22. September 2010 um 12:15 Uhr

gute, dass du uns erinnerst, werde meinen bestimmt auch die nächste zeit “verlieren” ;-)

SoehnelS 22. September 2010 um 13:01 Uhr

Also ich will das Chip-Dingens nicht haben,
aber ich habe auch immer so meine Bedenken.
(Online-Banking mache ich z.B. erst seit nem halben Jahr…;))

Was mich ärgert: Die Regierung/Wirtschaft/Wirtschaftsregierung drückt den Bürgern einen neuen Ausweis auf – und auch die Kosten dafür!
Entweder beim Ersten kostenlos oder zum Preis des alten oder nur als Option – das wäre für mich akzeptabler.

BadBoyz-Mode=on: @Gast Waldfee321: Du bist Deutschland! :P

gurkensalat 22. September 2010 um 13:02 Uhr

Alle labern, aber keiner hat Ahnung!

Der Perso wurde nur teilweise geknackt. Der Hack erfordert zwingend, dass der Nutzer ein Lesegerät verwendet, bei dem man die PIN über den PC eingeben muss. Um den PIN auslesen zu können, muss der PC kompromittiert sein.

Ansonsten bleibt das System sicher!

Fraggle 22. September 2010 um 13:18 Uhr

Und Gurkensalat hat Ahnung ;)

WDR2 Nachrichten heute morgen, im Chip kann der PIN geändert werden. Ob es stimmt kann weder ich, noch Du behaupten.

Tobias 22. September 2010 um 13:20 Uhr

@SoehnelS:
Wer soll die Kosten denn sonst tragen, wenn nicht der Bürger!?

SoehnelS 22. September 2010 um 13:25 Uhr

@Tobias: Die Heinis, die den Mist umgesetzt haben wollen.
Die Leute aus der Wirtschaft, nicht die in der Regierung sitzenden…

leosmutter 22. September 2010 um 13:36 Uhr

@gurkensalat

Der Perso an sich wurde gar nicht gehackt. Die Pin wird abgefangen, was jeder x-beliebige Keylogger schafft. Und dann per Api irgendwas signieren, wenn man die Pin hat… Wow, was für ein “Hack”. Wenn ePa, dann bitte mit Keypad-Terminal und nicht anders. Pin-Abfragen sind sicher, solange der Weg von Pin zur Karte,ePa,… sicher ist.

Julian 22. September 2010 um 13:43 Uhr

Die Frau bei mir aufm Bürgerbüro meinte neulich noch dass man auch den alten nächstes Jahr noch beantragen kann (ohne das elektronische), nur dass das doch eh keiner tun würde… Na die wird sich wundern :D

ben 22. September 2010 um 13:45 Uhr

@SoehnelS

Wie? Zwischen denen gibt es einen Unterschied?

Gast Waldfee321 22. September 2010 um 13:46 Uhr

@SoehnelS sagt: ich bin Deutschland, aber ich habe mich einfach schlau gemacht und mich belesen und Information einbezogen.

Jedenfalls bin froh dass neuen Personalausweis in der alten Version machen lasen habe. Ich habe es auch vielen Freunde und bekannten erzählt und ich kann, nur hoffen das sie dass auch weiter erzählt haben.

SoehnelS 22. September 2010 um 13:53 Uhr

@Gast Waldfee321: Das war der Satyr in mir. Es ging mir nur um Deinen Schreibstil.
Keiner (nicht mal ich!) ist perfekt, aber Dein Text war etwas schwer zu lesen…;)
Also: Wo kommst Du denn her?


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.