Neuer Personalausweis schon geknackt?
Schöne neue Welt. Ich zitiere mal unser Bundesministerium des Inneren:
Aufgrund seines Sicherheitskonzeptes hilft der neue Personalausweis, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern
(Bildquelle: Wikipedia, gemeinfrei)
Nun lesen wir aber mal bei n24 weiter: Computerexperten knacken geheime PIN. Weitere Infos und Links: Chaos Computer Club. Wir bewegen uns in eine spannende Zukunft. Wird ja auch immer alles so toll & sicher in den TV-Werbespots dargestellt. Schön im Bett liegen, shoppen und sich mit dem neuen, 28 Euro teuren Perso identifizieren. Jaja, zum Glück ist mein alter noch bis 2018 gültig – also: vielleicht noch wacker bis zum 30.10.2010 den alten beantragen 😉
jeder kocht sein eigenes Süppchen… In Estland gibt es bereits den E-Ausweis seit einigen Jahren, inkl. E-Voting per Internet von zu Hause aus! Und für was ist Estland noch bekannt, jedoch weiß es kaum einer? Gesetzlich garantierter Internetanschluss, (meistens freies und kostenloses) WLAN in den großen Städten und Skype wurde von Studenten der TU Tallinn entwickelt und noch heute sitzen dort 300 Programmierer.
Ich bin auch kein Fan des E-Perso, das Papierteil reicht für mich völlig aus. Und der estnische E-Perso ist auch ziemlicher Murks, weil zahlreiche zentrale Datenbanken über alle angebotene Services aufgebaut werden.
Gut dass meiner auch noch bis 2016 gilt 🙂
Aber seid vorsichtig bei der Behauptung der ePA sei unsicher. Der Ausweis (die physische Karte) ist selber nicht geknackt worden. Der CCC weist auf Sicherheitslücken und Problematiken hin die durch die Verwendung in Verbindung mit unsicherer Software, unsicheren Kommunikationskanälen und minderwärtigen Hardwarekomponenten real vorhanden sind. Wenn unsere „Führer“ etwas von Software verstehen würden, könnten dies Sicherheitslücken korrigiert werden. Den direkten Zugriff auf den ePS (als Karte) und die darauf gespeicherten zertifikate ohne die im Artikel des CCC beschriebenen Lücken hat auch der CCC noch nicht bewerkstelligt. Also: Nur die Verwendung des ePA macht ihn unsicher, zurzeit.
Ich bin kein Fan von dem Ding, aber alles bitte im Kontext.
Hehe, so ein Zufall.
Ich hole meinen neuen alten PA heute im Bürgeramt ab.
Ansonsten kann ich macorama nur zustimmen. Die Verwendung des nPA kann unter Umständen sehr riskant sein. Der nPA selber wurde nicht geknackt. Wobei das wahrscheinlich nur eine Frage der Zeit ist. Deswegen nehm ich vor dem tollen neuen Konzept auch erstmal Abstand.
Im Endeffekt ist das ganze nPA-Zeugs eh nur ein Projekt der Wirtschaftslobby, wonach man sich einen unheimlichen Aufschwung der Geschäfte im Internet erhofft. Die Bundesregierung und die an der Technik beteiligten Unternehmen profitieren natürlich ordentlich davon.
Sicherer ist der nPA keinesfalls. Das darf man nicht vergessen. Und die vielen neuen Funktionen machen ihn im Gegenteil anfälliger für Risiken. Wie das eben immer so ist. Wo mehr Technik drin steckt, können auch mehr Fehler auftreten.
@macorama
Ob nun der ePerso selber geknackt wurde oder „nur“ das System um den eP darum ist doch egal. Das Gesamtsystem ist nicht so sicher, wie es die Regierung behauptet.
Der Bundesinnenminister hat ja gesagt, dass der Staat nicht für kriminelle Aktionen rund um den ePerso haftet. Der Bürger ist der Dumme, wenn er den offiziellen Sicherheitsbehauptungen glaubt und dann den Schaden hat
N24 entwickelt sich auch langsam leider negativ…
viel zu reißerisch…
dass der ePA natürlich Sicherheitslücken aufweist, sollte jedem klar sein der mitbekommen hat wie überhastet das Ding eingeführt werden soll
Rein vom Prinzip bin ich ja angetan von dem Ding
aber nicht in dem Zustand indem sich der ePA und die Software dazu befindet…
Ich bin froh, dass ich meinen neuen „alten“ Perso sowieso beantragen musste der gilt zwar bei mir nur 6 Jahre, aber immerhin…
Für normal arbeitende Unternehmen sollte das ja reichen um zumindest die gröbsten Schnitzer wieder auszubügeln…
@slash
Einen Unterschied macht es schon: Durch den Einsatz von besserer Software oder besserer Hardware bei der Verwendung kann man (wenn man den ePA unbedingt nutzen will) in Zukunft vielleicht den Sicherheitsproblemen entgegen wirken. Oder ich nutze diese Features nicht.
Wenn der ePA als Karte geknackt wäre, dann würde das Problem aber nicht bei der eigenen Verwendung anfangen sondern dabei, dass plötzlich alle Nase lang den Leuten die ePAs geklaut werden! Dann muss man nur den ePA haben und nicht die damit durchgeführten Transaktionen abfangen/überwachen/ändern/etc. um Schindluder zu treiben.
Ganz ehrlich, lieber ich nutze ihn nicht und weiß dass dadurch keine Sicherheitslücke ausgenutzt werden kann, als dass ich vor Angst, dass mir das Ding geklaut wird, ich ihn in ein Schließfach bei der Bank legen muss. Denn momentan ist es so: Wenn ich die Daten (PIN etc.) nicht eingebe kann mit meinem ePA „noch“ keiner was anfangen (im digitalen Bereich).
Zustimmung?
Sogar in der Zeitung mit den 4 Buchstaben steht es drin. Aber wie macorama schon schrieb, ist das alles ziemlich reißerisch aufgemacht. Wenn ich eine Pinnummer per „über die Schulter schauen“ (per Trojan oder eigenen Augen) herausbekomme, dann ist das in meinen Augen kein Knacken. Das Problem ist momentan eher die Hardware drumherum (Lesegeräte ohne Pintastatur).
Und wenn das Ding auch ohne Chip gültig ist, kann man es ja vielleicht mal für 1 sek in der Mikrowelle vergessen…
Also heute morgen im Radio wurde gesagt, er sei so geknackt worden, daß man den PIN ändern kann. Und das finde ich bedenklich. Naja, meiner gilt noch bis 2017 und danach laufe ich mal an einem starken Magneten vorbei 🙂
Wer bald mit einem neuen Perso auskommen muss, kann hier mal reinschauen:
http://tinyurl.com/38vesga
Schüler haben nämlich einen Weg gefunden, wie man sich einfach schützen kann :). Der Perso bleibt laut Gesetzt auch ohne elektronische Daten gültig. Alle Experimente natürlich auf eigene Gefahr.
Ich sehe das auch so das zwischen einem „unsicheren Ausweis“ und der knackbarkeit von mit dem Ausweis verwendeter Identifizierungssoftware getrennt werden muß.
Aus der oben von CarpeDraconis verlinkten BMI-Übersicht geht hervor, das ich (mein Ausweis läuft 2014 ab) wohl folgendes nutzen werde:
-Ausstellung PA, Antragsteller ab 24 Jahren: 28,80 Euro
-Deaktivieren der Online-Ausweisfunktion: gebührenfrei
Bei Bedarf und wenn es entsprechend sichere Kartenlesegeräte + Software gibt, kann ich immer noch
-Nachträgliches Aktivieren der Online-Ausweisfunktion: 6,- Euro
Also: man kriegt den neuen auch schon „ab Werk“ ohne scharfgeschaltete Onlinefunktion.
und hier noch ein Link zum Thema:
http://tinyurl.com/33dgseh
Moin,
ich dachte, man kann den alten Perso noch bis 31.10. beantragen?
Wenn ich auf der Seite http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa nichts übersehen haben, ist die Sicherheitslücke aber immer noch das Einstiegslesegerät, welches nicht über eine integrierte Tastatur verfügt. Wenn nun die PIN auf dem Ausweis abgefragt wird, muss sie per PC-Tastatur eingegeben werden. Nun kann diese von einem Trojaner abgefangen und benutzt werden, u.a. um die PIN zu ändern. Was daran neu ist und den CCC zur erneuten Veröffentlichung getrieben hat, erschließt sich mir aber nicht. Das haben die schon vor ein paar Wochen an die Öffentlichkeit gebracht…
Im übrigen ist die Aktivierung der sog. „eID“ freiwillig. Selbst wer nach dem 29.10. (der eigentliche Stichtag ist ja ein Sonntag) seinen Perso beantragt, muss sich nicht den Chip aktivieren lassen und hat somit einen sicheren (weil deaktivierten) Ausweis. Eine nachträgliche Aktivierung ist aber immer möglich (allerdings gegen Gebühr).
hach gut das mein Perso seit gut einem Jahr bereits abgelaufen ist, schnell noch den alten beantragen ^^
Zum Glück habe ich,meinen neuen Personalausweis letzte Woche schon Abgeholt. So bin ich, die Nächten 10 Jahre auf der sicheren Seite.
Nachdem ich über einen Bekannten gehört hatte dass Jemanden vor dem BVG geklagt hatte , wegen den neuen Reisepass und gewonnen hat und nicht seinen Fingerabdruck geben musste, sondern das Gericht hat als Urteil Ausgesprochen wurde . Die Bürger haben freiwillig zu entscheiden ob Sie ihren Fingerabdruck geben möchten oder nicht.
Dazu brauche ich Niemanden vom CCC, um mir sagen zu lassen der neue Personalausweis sein nicht sicher.
Als ich, dass mit dem neu Personalausweis in Zeitung gelesen habe und den Nachrichten kam, war mir von vorne rein klar, dass es nichts gutes sein kann,wegen dem neuen Reisepass vorher.
Da war mir klar vor dem 1.11.10 meinen neun Personalausweis machen möchte, und so zu mindesten die nächsten 10 Jahren den neuen Personalausweis nutzen wie noch der jetzige Personalausweis ist um auf der sicheren Seite zu sein . Dass alles ohne auf den CCC zu warten :“ob sie schaffen den neuen Personalausweis zu knacken.“
Frage schon beantwortet, in ottos Link zum WDR-Podcast wird am Ende gesagt, dass es noch bis 31.10. möglich ist den alten zu bestellen. Caschy, bitte den letzten Satz ändern. 😉
@alle die ihn jetzt extra nochmal machen für 8 euro: ich hoffe ihr verliert euren ausweis wirklich und zwar am 1.11. muahahaha bin ich böse 😉
@Tobi:
Bis zum 24. Lebensjahr ist er 6 Jahre gültig, danach 10 Jahre.
Ich habe das Glück, dass ich meinen erst vor kurzem erneuern lassen musste, so habe ich noch bis 2020 Ruhe von dem Chipgedöns. 🙂
Hab mir erst nen neuen geholt und bewusst mir nicht den digitalen geholt. Braucht man einfach nie…
gute, dass du uns erinnerst, werde meinen bestimmt auch die nächste zeit „verlieren“ 😉