Die Schlagzeilen um den neuen elektronischen Personalausweis reißen nicht ab. Seine immer wieder betonte Sicherheit hat einen weiteren Kratzer erhalten. Eine neue Sicherheitslücke wurde nun bekannt. Diese neue Hiobsbotschaft könnte auf die bisher vorgesehene Verwendung von Lesegeräten und ihren Gebrauch weitreichende Auswirkungen haben, um die beabsichtigte Nutzung des neuen Ausweises im Internet sicher zu machen.
Der Computerspezialist Jan Schejbal hatte schon vor einiger Zeit ein größeres Sicherheitsmanko publiziert. Dabei beschrieb er eine relativ simple Methode, wie die PIN von Unbefugten ausgelesen werden konnte. Jan Schejbal ist als Mitglied der Piratenpartei Spezialist für Internetfragen und hegt keine kriminellen Absichten. Er versteht sein Wirken als Aufklärung. Ihm wurde von den Verantwortlichen der Behörden entgegengebracht, dass ein möglicher Täter mit dem unbefugten Auslesen der PIN nicht viel anfangen könne. Die restlichen Daten des Ausweises seien absolut sicher. Genau das hat Schejbal nun widerlegt. Sein Vorgehen wurde von unabhängigen Testern wie chip.de und heise.de überprüft und verifiziert. Der Datenklau und ein Missbrauch sind unter bestimmten Bedingungen tatsächlich möglich.
Voraussetzung für den Diebstahl der Ausweisinhalte ist zunächst einmal ein Lesegerät für den Ausweis. Dieses Lesegerät muss dem weitverbreiteten niedrigen Standard als Basislesegerät entsprechen. Derartige Lesegeräte und die zugehörige Software werden von der Bundesregierung empfohlen und sogar gefördert. Ein Starterkit inklusive Software der Firma Reiner SCT wurde zum Beispiel als Beilage der Bildzeitung verbreitet. Bei der Installation der Software wird auch ein Browser-Plugin namens OWOK installiert. Dieses ermöglicht später den Zugriff auf die Ausweisdaten durch fremde Websites. Dem versierten Computernutzer könnte lediglich bei einer einzigen Sicherheitsabfrage ein Zweifel kommen. Die meisten Nutzer haben gar keine Chance, die Unregelmäßigkeit zu erkennen. Scheijbal entdeckte sogar eine Möglichkeit, die verdächtige Sicherheitsabfrage zu unterdrücken.
Der Ablauf ist in mehreren Stufen gegliedert. Zunächst muss der schon lange bekannte Diebstahl der PIN bereits geschehen sein. Der Nutzer wird nun auf eine für ihn interessante Website gelockt. Dort wird er zur Legitimation seines Alters aufgefordert, weil die Inhalte der FSK-18 oder ähnlich unterliegen. Der Nutzer klickt auf die Legitimation und öffnet nun die Applikation zum Lesen des Ausweises. Er legt seinen Ausweis ein und beantwortet die Sicherheitsabfrage, ob auf das Lesegerät zugegriffen werden darf. Durch diese Antwort gibt er auch den Zugriff anderer Websites frei und kann ausspioniert werden. Grund ist die mangelhafte Ausrüstung und schlechte Software der Basislesegräte. Diese speichern offensichtlich die Zulassung des Zugriffs anderer Websites, wenn er nur ein einziges Mal genehmigt wurde. Dem Datendieb liegen nun neben der PIN die weiteren Daten des Ausweises vor. Damit können zum Beispiel Einkäufe auf Kosten des Ausweisinhabers im Internet getätigt werden. Dem Ausweisinhaber wird es schwerfallen, einen Betrug zu beweisen. Die Verwendung des Ausweises wird nach bisheriger Rechtsprechung als Beweis gewertet.
Wie gefährlich die Kombination aus einer Phishing-Webseite, dem Browser-Plugin der AusweisApp und unverdächtigen Internet-Angeboten mit XSS-Lücken ist, beschreibt Jan Schejbal in seinem Blog, unter „ePerso kann remote missbraucht werden„. Dort wird der Angriffsversuch in allen Einzelheiten beschrieben.
Geschickt kombiniert er drei Sicherheitslücken im Software-Umfeld des neuen Personalausweises, um sich mit dem Personalausweis des Opfers ausweisen zu können. Der Heise-Verlag hat das Angriffsszenario bereits verifiziert.
Die Ausführungen von Schejbal klingen zunächst kompliziert und an den Haaren herbeigezogen. Manche mögen denken dieses Angriffsszenario sei zu kompliziert. Zu viele Bedingungen müssten bei den Angriffsopfern erfüllt sein, damit ein Angriff wirklich gelingt. Doch bald werden Millionen unbedarfter Computer-Laien aus Faulheit ihren Ausweis auf dem Lesegerät liegen lassen. Unrealistisch ist dieser Angriff also nicht.