Neuer Personalausweis schon geknackt?
Schöne neue Welt. Ich zitiere mal unser Bundesministerium des Inneren:
Aufgrund seines Sicherheitskonzeptes hilft der neue Personalausweis, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern
(Bildquelle: Wikipedia, gemeinfrei)
Nun lesen wir aber mal bei n24 weiter: Computerexperten knacken geheime PIN. Weitere Infos und Links: Chaos Computer Club. Wir bewegen uns in eine spannende Zukunft. Wird ja auch immer alles so toll & sicher in den TV-Werbespots dargestellt. Schön im Bett liegen, shoppen und sich mit dem neuen, 28 Euro teuren Perso identifizieren. Jaja, zum Glück ist mein alter noch bis 2018 gültig – also: vielleicht noch wacker bis zum 30.10.2010 den alten beantragen 😉
Es ist doch keine Panik. Vielmehr sollte man es so sehen, wie bei den Warnungen zu AV und FW Software: Man sollte nie brain.exe ausschalten. Natürlich sind viele Dinge nötig, damit das Szenario passieren kann, aber genau damit diese nicht passieren, sollte man auf die Gefahren hinweisen.
Übrigens, daß der CCC nicht genau zeigt wie es geht, hat rechtliche sowie Vernunftgründe: Man darf nicht zeigen wie es geht, damit es keiner nachmacht, ansonsten hätten sie ganz schnell eine Klage wegen Beihilfe am Hals.
Übrigens ist der Diebstahl sehr wohl einfacher als bei der EC-Karte, auch wenn er weiterhin schwer ist. Denn bei der EC-Karte, zumindest meines Wissens nach, muß der Dieb physischen Kontakt zur Karte haben. Beim Paß nicht. Wenn ich genügend Trojaner verbreitet habe, warte ich ab, bis mir einer, salopp gesagt anzeigt, wenn jemand seine Karte nutzt, dann klinke ich mich ein. ist mir ja egal wer es ist. Auch wenn die Technik hinter dem Paß wohl besser ist, aber die wird ja nicht außer Kraft gesetzt sondern nur umgangen durch die Schwachstelle Windows (Trojaner) und Lesegerät. Übrigens ist letzteres heftig, weil genau die Lesegeräte, die vom Bund gesponsort werden, die sind, die anfällig sind. Die sicheren sponsorn sie nicht.
Einen habe ich noch! Und dann klink‘ ich mich hier aus, bevor es ausartet 🙂
Auf http://www.personalausweisportal.de (eine Website des BMI) wird eindeutig darauf hingewiesen, dass ein Sicherheitsrisiko durch Trojaner und Keylogger besteht, inkl. dessen Folgen.
Eine interessante Diskussion, geprägt von solidem Halbwissen und Panikmacherei. Wenn der Chip nicht aktiviert wird, ist der neue Personalausweis genauso nutzbar wie der alte. Der Vorteil liegt in der Größe. Ob man die biometrischen Zusatzleistungen (Fingerabdruck) benutzt liegt bei einem selber. Mir wird in keinem sogenannten Fachartikel klar gemacht, wie es zur weiteren Verwendung der Pin gekommen ist. Immer steht im Vordergrund, dass die erste Pin ausgespäht wurde! Nach meiner heutiger Wissenslage, hat es der CCC nicht geschafft, die Pin eines EPa direkt auszulesen.
Für alle die, denen der neue nicht EPa geheuer ist, nehmt den alten Personalausweis oder lasst die Zusatzfunktionen einfach gesperrt. Ich werde den EPa nehmen.
Der CCC möchte die pauschale Aussage des BSI zur Sicherheit beim Einsatz des neuen Personalausweises widerlegen. Die Schlagzeilen die hieraus aber entstanden sind, sind größtenteils Quatsch.
Ich werde im November den neuen Ausweis mit *aktivierter* eID-Funktion beantragen.
Meine Sicht der Dinge habe ich in meinem Blog beschrieben: http://bit.ly/dho99k
ich hab vor 2 Wochen mir noch den alten geholt… hab nun erstmal ruhe und nur 8€ bezahlt.
eigentlich wollte ich ja gar nichts mehr schreiben, damit die Diskussion hier ihr Ende hat, aber nur ganz kurz:
@Timo: Wieso hälst du dich an meiner Wortwahl so auf? Die Aussage bezieht sich auf Aussagen wie „einfach Perso kopieren“, wobei du mir hoffentlich Recht gibts.
Was Trojaner angeht, gebe ich dir im Grunde Recht, nur bin ich der Meinung, dass ein staatliches Institut sich darüber im Klaren sein muss, dass es eben doch eine ganze Menge naive Nutzer gibt (Beispiel habe ich genannt), die in einem solchen Fall ganz einfach Schaden verursachen können, daher die Aussage zur Funktionseinschränkung.
Und das der CCC keine eigentliche Sicherheitslücke des Konzepts bzw. schon gar nicht des Chips zeigt, sollten wir uns in diesen Punkten doch soweit einig sein.
Ich schließe mich Tommi an: Ich bin einfach froh, dass sie das Format mal Geldbeutelfreundlicher gestaltet haben. Der Rest ist mir mal vorerst sch…egal!
In diesem Sinne!