Neuer Personalausweis (nPA): Dagegen! [Update]

Inhaltsverzeichnis

5.3.7 Automaten
5.6 Umzug

 

1. Vorwort Inhalt

Man hat’s nicht leicht, aber leicht hat’s einen. Noch dazu, wenn man mit (sehr netten) Kollegen und Kolleginnen eines Lehrstuhls zum Mittagessen geht, die an einem Lehrstuhl für IT-Security arbeiten und sich dabei eine hitzige Diskussion über das Thema entspannt. Ich hatte schon einmal einen Artikel erstellt, inzwischen hat sich mehr Agrumentation zum bisherigen Inhalt hinzugesellt. Here goes…

2. Neuer alter Ausweis. Inhalt

Ich muss dazu etwas ausholen. Schon länger habe ich vor, den neuen Ausweis kategorisch abzulehnen, wir kommen dazu später. Weil ein Ausweis nicht verlängert, sondern nur erneuert werden kann, wollte ich gestern also einen neuen (alten) Ausweis beantragen.

Laut Webseite ist das in jedem Bürgerbüro, so auch in der Forstenrieder Allee 61a von 7:30 bis 12:00 Uhr möglich. Umso größer war meine Überraschung, als mir bereits eine lange Warteschlange aus dr Tür heraus entgegenstand. Beim Ziehen der Nummer teilte mir eine gestreßte Mitarbeiterin des Amtes mit, dass sie gerade Computerprobleme hätten und ich deswegen, so ich denn noch einen alten neuen Ausweis zu beantragen wünschte, ich (Achtung: Zitat, wie ich es in Erinnerung habe) „[…] auf eigenes Risiko hier warten kann […]“ oder „[…] auf gut Glück morgen wieder kommen kann.“

Das mit einem treuherzigen Blick vor- und an mich herangetragen, hat mir schon so einen Hals verschafft. Als nach 10 Minuten absehbar war, dass sich nichts ändern wird an der Wartesituation und es laut Auskunft der Dame genauso in allen anderen Bürgerbüros zugeht, ist mir der Kragen geplatzt. Bequemerweise konnte man den Antrag noch nicht einmal per Hand ausfüllen, „der Computer druckt den aus“. Als ob das mein Problem wäre.

Zwei Dinge sind danach passiert.

Ich habe einen Tobsuchtsanfall in diesem Laden bekommen und lautstark Erklärungen verlangt. Von den anderen Wartenden hat’s keinen interessiert. Wie Schlachtvieh (bitte das zu entschuldigen, ich kriege da jetzt noch die Kitzwut drüber) saß oder stand man in dem Büro, „jo mei, des is hoida so, do komma a nix mochat, dös is hoid die moderne dechnig“, und tat nichts. Zur Entschuldigung darf noch nicht einmal gelten, dass das Durchschnittsalter der Wartenden bei ca. 60 Jahren lag. Grausam, so etwas mit ansehen zu müssen.

Offenbar zeigt Lautstärke Wirkung: Der Chef des Ladens nahm sich meiner an. Erst hat er’s in coram publicum versucht, ging aber schief, gewachsen war mir diese unangenehme Type nicht. Dann bat er mich vor die Tür, und meinte, er hätte einen Termin mit dem Abteilungsleiter des Sachgebietes 5 in der Ruppertstraße im KVR für mich vereinbart. Ich möge direkt bei dem vorstellig werden, dort würde mir ohne Wartezeit geholfen. So war es dann auch, außer, dass ich dennoch eine Nummer ziehen mußte. Wartezeit: 10 Minuten.

Geht doch.

UPDATE: Offenbar ist es auch anderen genauso ergangen. Das Argument mit „Bahn“ und „Pünktlichkeit“ kommt mir bekannt vor, dem Anschein nach wurden hier Mitarbeiter gezielt auf das Abwimmeln von Antragstellern geschult, und ein anderer Kollege, der es in der Forstenrieder Allee 61a Montags und Dienstags auch schon probiert hat, stieß an diesen Tagen auch schon auf Computerprobleme. Eine riesengroße Sauerei ist das, es wird Zeit, dem Herrn Oberbürgermeister einen Brief zu schreiben!

Und noch eins, liebe Leser. Die Moral hiervon muss unbedingt sein, sich auf gar keinen Fall etwas gefallen zu lassen. Macht den Mund auf, werdet laut, werdet unbequem. Das funktioniert in Frankreich, und es funktioniert auch hier, wie man sieht.

3. Neuer neuer Ausweis? Nein, danke. Inhalt

Bin ich altmodisch? Ich glaube nicht. Vielleicht etwas konservativ, das ist richtig, dennoch halte ich es für sehr wichtig, ausführlich und detailliert auf das neue System zu schauen und über eventuelle Schwachstellen und mögliche Angriffe zu sprechen. Es existieren einige „Issues“, die leider in den Medien aufgrund von mangelnder Sachkenntnis oder anderen Gründen nicht richtig behandelt werden. Es scheint keiner so recht Bescheid zu wissen.

Die folgenden Ausführen versuche ich so untechnisch wie möglich zu gestalten. Details können Interessierte in den Quellen nachlesen.

4. Proargumente entkräften Inhalt

Zuerst werden wir Pro-Argumente entkräften und danach Kontra geben.

4.1 Hoheitsfunktion Inhalt

Befürworter führen gerne an, dass der neue Ausweis durch seine Maschinenlesbarkeit eine bessere Unterstützung der Hoheitsfunktion („Ausweis noch gültig“, „Personenstammdaten“) bietet, als der alte. Sprich: bei einer Personenkontrolle oder auf dem Amt kann der Beamte schneller auf die Daten des Ausweises zugreifen und diese prüfen.

Ich halte das Argument für Quatsch:

  1. Auch der alte Ausweis ist maschinenlesbar, man braucht (im Wesentlichen) nur die Nummer.
  2. Zum Prüfen der Gültigkeit benötige ich bei beiden Systemen zwingend eine Onlineverbindung zum Herausgeber (auch beim nPA müßte das Terminal die Certificate-Revocation-List, CRL, des jeweiligen Landes prüfen).
  3. Über diese Online-Verbindung wird beim alten System der Inhalt des Ausweises übertragen (etwa zum Ausfüllen eines Formulares im Amt); das wird derzeit schon praktiziert. Die Dame im KVR mußte nicht meine Daten abtippen vom bisherigen Ausweis, sie hatte sie schon im Rechner vorhanden.

Fazit: Kein Gewinn hier.

4.2 Einsparen von Kosten für den Staat Inhalt

Befürworter unterstreichen, dass der Ausweis auf lange Sicht Kosten spart. Kann natürlich sein, nur definieren Sie mir einmal „lange Sicht“. Es existieren zwei Argumente dagegen.

  1. Ich habe keine Rechnung gesehen, in der der Break-Even errechnet wird. Gewinn macht das System aus dem Ausweisverkauf, den Einnahmen durch PKI-Verwaltung, Feature-Ein/Ausschalten auf dem Ausweis und aus eingesparten Personalkosten.
    Die Ausgaben entstehen durch Rechnerkauf/-Betrieb, Techniker vor Ort, Schulungen der Anwender, Entwicklung und weitere Posten. Bis die Rechnung nicht vorliegt, kostet das System den Staat und damit mich nur unnötig und mehr Geld.
  2. Einige Features (z.B. Reset der PIN, Ein/Ausschalten der ID-Funktion) kann ich nur auf dem Amt ändern lassen. Das heißt, dass dafür in jedem Falle Kapazitäten vorgehalten werden müssen; das Argument des Personalkostensparens dürfte damit um einiges an Gewicht verlieren.

Fazit: Nochmal kein Gewinn.

4.3 Verhindern von Mißbrauch gestohlener Dokumente Inhalt

Auch sagen Befürworter, dass endlich der Mißbrauch von gestohlenen Dokumenten verhindert wird. Aber Moment: Das funktioniert auch schon mit dem alten Ausweis. Der reguläre Inhaber meldet ihn als vermißt bei der Polizei („zur Fahndung ausschreiben“) und jedes System in Deutschland meldet, wenn bei einer Kontrolle ein solcher Ausweis online geprüft wird.

Auch gehören die deutschen Ausweise mit zu den fälschungssichersten des Planeten. Von 2001-2009 sind gerade einmal 495 Urkundendelikte (unter anderem(!) versuchte Fälschungen) in der deutschen Kriminalstatistik verzeichnet (PDF, Seite 1 unten).

Wir beachten außerdem: Die Zuordnung von Ausweis zu Benutzer bzw. Person geschieht auch beim nPA nur über das Foto, die Fingerabdrücke sind (noch) nicht verpflichtend.

Fazit: Zum dritten mal kein Gewinn.

5. Kontra geben Inhalt

Nicht alles, was glänzt ist Gold. Im Folgenden möchte ich aus Sicht des Anwenders ein paar Dinge untersuchen, die angeblich einfacher oder überhaupt erst möglich werden, und sie soweit wie möglich entkräften.

5.1 Komplexität des Systems Inhalt

Neben dem Ausweis muss jeder PC mit einem Leser ausgestattet werden, für Laptops muss ich den dabeihaben.

Dann muss auf dem Rechner eine Middleware („Bürgerclient“) installiert und gewartet werden. Zwingend nötig ist außerdem ein Antivirenprogramm, ob es dafür BMI Zertifizierungen geben wird, steht noch in den Sternen.

Ob das System tatsächlich einfach zu bedienen oder zu komplex für den Nicht-IT-ler ist, wird sich zeigen.

Persönlich halte ich den Vorgang des Herausnehmens des Ausweises, Auflegen, Eintippen der PIN und sofortiges Wegpacken des Ausweises für sehr umständlich. Das kann aber eine Eigenart meinerseits sein.

5.2 Endanwender ist für IT-Sicherheit verantwortlich Inhalt

Laut Herrn de Maizière und Gesetz ist der Endanwender dafür veranwortlich, seinen Rechner nach „dem Stand der Technik“ sicher zu halten. Damit ist auch der Endanwender im Mißbrauchsfalle in der Beweispflicht, die Einhaltung der Sicherheit nachzuweisen.

Was ist denn mit „in dubio pro reo“ passiert? Und kann er das überhaupt nachweisen? Wenn ein Virus oder ein Trojaner eindringen konnte, ist sein System trotz Antivirenprogramm überhaupt noch nach dem Stand der Technik gesichert?

Beweisen Sie das einmal, der Gesetzgeber läßt konkrete Maßnahmen bewußt mit der sehr unscharfen Formulierung „Stand der Technik“ offen.

Auch kann hier das Argument angeführt werden, dass vielleicht Informatiker ihre Rechner sauberhalten können, aber Sie glauben doch nicht im Ernst, dass ein aktuelles, signaturbasiertes Antivirenprogramm gegen die Code-Morphing-Viren und -Würmer nur die Spur einer Chance hat? Schwachstellen existieren genug auf modernen Betriebssystemen und deren Anwendungen.

UPDATE: Ein Internetteilnehmer hat es auf den Punkt gebracht:

Aber nur wenn der Bürger nicht die vom Bundesinnenministerium gesponserten Billig-Lesegeräte benutzt und/oder 100%ig garantieren kann, dass sein Recher nicht kompromitiert ist. Wenn man letzteres garantieren kann, dann sind aber eigentlich auch alle herkömmlichen Identifikations- und Authentisierungsverfahren sicher. Ganz ohne elektronsichen Ausweis.

Mit anderen Worten, ob sicher oder nicht liegt weiterhin einzig und allein in der Hand des jeweiligen Bürgers. Die Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Der neue Ausweis verändert daran überhaupt nichts. Außer dass er vielleicht ein trügerisches Gefühl der Sicherheit vermittelt, weil ja die Verantwortlichen immer wieder ein Loblied auf seine absolute Sicherheit singen.

5.3 Anwendungsfälle aus Sicht des Benutzers Inhalt

Hier werden eine Reihe von nützlichen Anwendungsfällen beschrieben, für die der nPA Erleichterungen bringen soll.

5.3.1 Bürgerkonto Inhalt

Was ist das? Hatte ich bisher nicht, brauche ich das in Zukunft? Ich habe online leider keine Information darüber gefunden, was man sich darunter vorstellen darf.

5.3.2 Überprüfung gewerblich Beschäftigter Inhalt

Bedeutet was? In Deutschland ist es z.B. im öffentlichen Dienst nicht gestattet, bei Anstellung den Ausweis von deutschen Staatsbürgern zu verlangen (ausländischen Beschäftigten schon), damit ist dieser Punkt wohl ebenfalls hinfällig, denn Ausländer werden keinen neuen Personalausweis haben (zumindest noch nicht).

5.3.3 KFZ An- und Ummeldung Inhalt

Geh bitte. Zum einen mach ich das nur 1x in 5 Jahren, wenn überhaupt, zum zweiten muss ich die Schilder sowieso abholen und drittens kann ich das per Fax oder per Brief auch erledigen.

UPDATE: Offenbar ist dafür die Qualifizierte Elektronische Signatur (QES) notwendig, da ein solcher Akt eine rechtsgültige Unterschrift verlangt. Siehe Rechnung unten, wenn ich das zweimal in 10 Jahren mache, kostet mich die gesparte Fahrt zum Amt fast 400 EUR.

Überhaupt scheint nicht klar zu sein, für welche Vorgänge man welche Funktion des Ausweises benötigt und wie die Prozesse dann ablaufen.

5.3.4 Finanzdienstleistung Inhalt

Kontoeröffnung: Siehe oben, Onlineverbindungen etc., gilt für Banken genauso, da benötige ich den neuen Ausweis nicht. Post-Ident funktioniert super und bietet den Vorteil, dass der reguläre Inhaber tatsächlich vorstellig werden muss. Beim nPA kann sich die Bank nie sicher sein, ob der Inhaber auch tatsächlich seine Zustimmung gegeben hat oder ob nicht eine Malware den Auftrag erteilte. Die Funktion QES des nPA ist hierfür übrigens zwingend Voraussetzung.

Sehr wichtig ist in diesem Zusammenhang zu erwähnen, dass bei Post-Ident neben der Identität auch die Intention des Antragstellers zweifelsfrei feststeht, da er selbst am Schalter vorspricht. Dessen kann ich mir bei einer rein elektronischen Signatur wie beim nPA niemals (!) sicher sein. Denken Sie darüber nach.

Online-Banking: Halte ich auch für überflüssig. PIN/iTAN funktionieren schon seit mehreren Jahren zuverlässig, die gemeldeten Straftaten in diesem Bereich der Computerkriminalität sind kontinuierlich abnehmend (PKS Jahrbuch, Grafik auf Seite 236) und selbst Trojaner, die ganze Webseiten emulieren („ZeuS“-Kit), können mit der Vielfalt der Onlinebankingsysteme nicht mehr mithalten. Auch müßte meiner Meinung nach die QES-Funktion für eine Überweisungsbestätigung verwendet werden; jede TAN ist ja im Prinzip rechtlich gesehen ein Unterschriftsersatz.

Ich bin bereit einzuräumen, dass das Onlinebanking mit der QES-Funktion möglicherweise tatsächlich sicherer als bisher gestaltet werden kann, nur müßten wir dazu vergleichen, wie groß denn der Schaden tatsächlich ist. Anders: Würde es sich für eine Bank lohnen, ihr PIN/TAN-System einzustampfen, um auf dem deutschen Markt das ePA-System zu unterstützen? Ich weiß es nicht.

5.3.5 Online-Handel Inhalt

Geschäfte und Firmen sind nicht an Identitäten interessiert sondern an Geld. Bis auf wenige Ausnahmen existiert im Internet in Deutschland das System „Vorkasse“. Ich bezahle zuerst, dann erhalte ich die Ware. Was interessiert es also das Geschäft, wer sich wann was bestellt, wenn man einmal vom Nischengeschäft des Online-Sextoy-Handels absieht, das gesetzlich zur Prüfung verpflichtet ist. Aber ehrlich, wie oft bestelle ich mir denn etwas beim Orionversand? Und falls das doch einer macht, muss er seinen Ausweis nur einmal hinschicken, dann ist sein Konto freigeschaltet.

Ich habe leider keine Zahlen gefunden, Geschäft halten sich mit Betrugsfällen sehr bedeckt. Gefühlt würde ich aber sagen, dass es im besten Interesse des Kunden liegt, seine eigene Adresse einzutippen, ansonsten bekommt er keine Ware für sein Geld.

Auch müssen die Geschäfte mindestens 10 Jahre lang noch Alternativen zum nPA-Auth bereitstellen; wir werden sehen, ob sich das System durchsetzt. Erfahrungen aus Österreich, die ein ähnliches System („Bürgerkarte“) haben, lassen wenig positives vorausahnen.

Ob es aus Sicht des Benutzers Sinn macht? Ich glaube nicht, da auch ein zertifiziertes Geschäft auf einmal Schindluder (bezahlte Ware nicht liefern) treiben kann, ohne dass der Benutzer dagegen etwas unternehmen oder das vorher absehen kann. Bewertungssysteme im Internet scheinen sich für die Bewertung der Vertrauernswürdigkeit sehr viel besser zu eignen. Stichwort: Cloud Based Trust.

5.3.6 Luftverkehr Inhalt

Verstehe ich nicht. Es gibt den Online-Check-In, und jemand muss auch beim neuen nPA das Foto vergleichen. Beachte: Finger-Biometrie ist optional beim nPA. Damit scheint es hier wenig Vorteile zu geben.

5.3.7 Automaten Inhalt

Wohl Kippenautomaten gemeint: Geht mit aktuellem Perso oder Führerschein genauso. Die Hardware für ein nPA-Lesegerät und ein PIN-Pad, damit der Automat auch lesen darf, sowie eine Onlineverbindung, damit er die Gültigkeit noch prüfen kann, erscheint mir ziemlich teuer und damit sinnfrei.

5.3.8 Login bei VZ-Netzwerken Inhalt

Muhar. Funktioniert von daheim aus sehr gut, richtig. Dann ist der VZ-aktive Mensch unterwegs, und dann? Im Hotel in Österreich -hups- da hat’s keinen Leser mehr, und wir bleiben doch bei User/Passwort. Meine Güte, wie blauäugig kann man denn sein?

5.4 Personenprofile Inhalt

Gesetzt, dass jeder Anbieter in Deutschland auf den neuen Ausweis setzt und ausschließlich dessen Daten zuläßt, so ergibt sich eine sehr einfach Möglichkeit, ein vollständiges Personenprofil zu erstellen. Insbesondere in Cloud- oder Hosted-Services wird es im Datenspeicher sehr einfach sein, genau nach Name, Vorname und z.B. Geburtsdatum zu suchen. Diese werden für eine Identität unter den obigen Voraussetzungen immer gleich sein.

Der Primärschlüssel einer Identität muss damit nicht mehr eine Nummer sein, wir können mit dem obigen Szenario einfach bestimmte ihrer Attribute zusammenführen und kommen zum gleichen Ergebnis.

Bisher ist das nicht ohne weiteres möglich, einmal z.B. schreibt man seinen Namen „ss“, auf einer anderen Seite mit „ß“; hier gibt man seine eine Mail-Adresse ein, auf der nächsten Seite seine andere, eben um dieses Matching zu erschweren.

5.5 Fernauslese, Profiling Inhalt

Offiziell ist die Reichweite auf wenige cm beschränkt. Ob ich mit leistungsstarken Transceivern und Richtantennen nicht etwas weiterkomme, hat noch keiner widerlegt. Ein Papier des BSI beschreibt eine zuverlässige mögliche Reichweite von 2m mit einer entsprechend großen Antenne ohne Signalverarbeitung. Mit entsprechenden DSPs, größerer Sendeleistung und angepaßter Antenne dürften auch größere Reichweiten machbar sein.

Dennoch wird nicht so einfach möglich sein, ein identifizierendes Datum anonym auszulesen: Die Kommunikation mit jeder der drei Funktionen (Hoheit, eID, QES) des Chips ist über PACE gesichert. Bevor der Chip benutzt werden kann, muss dafür aus der Machine-Readable-Zone (MRZ) aus der aufgedruckten Card Access Number (CAN) ein Sitzungsschlüssel für Ausweis und Lesegerät abgeleitet werden, ansonsten bleibt es bei Low-Level-Antworten der Elektronik auf die Anfragen des Lesegeräts sowie den zugehörigen Initialisierungsparametern des Chips für PACE.

Jeder Chip im Feld des Lesegeräts benötigt eine eindeutige Nummer zur Kommunikation auf Bitebene, der ePA generiert hierfür bei jeder Sitzung eine zufällige Adresse („UID“ laut 14443-Standard, Part 3) und benutzt diese zur Kommunikation mit dem Leser. Die einzige Möglichkeit bestünde damit für Angreifer im Auslesen von zufällig generierten Nummern (UIDs).

Selbst wenn den offiziellen Stellen die CAN jedes Ausweises bekannt ist, und es ein Richtfunksystem zum Auslesen mehrerer Ausweise gibt, so würde es dennoch nicht möglich sein, zur von einem Ausweis zufällig generierten UID die passende CAN zu finden. Und durchprobieren wird durch PACE ebenfalls verhindert, da jedesmal eine neue initiale Zufallsnummer (Schritt 1 im PACE) erzeugt wird.

5.6 Umzug Inhalt

Muss ich wie bisher einen Aufkleber mit der neuen Adresse draufpappen lassen und das: Genau. Im Amt. Die gespeicherten Daten werden allerdings elektronisch geändert.

5.7 Datensicherheit Inhalt

Auch der Ausweis verhindert keinen Datenmißbrauch. Wenn ein Onlineshop seine Datenbank verkauft, guckt der Anwender genauso in die Röhre. Den jeweiligen Käufer wirds freuen: Er kann sich noch auf eine staatlich verbriefte Echtheit der Daten verlassen. Mal schauen, wann das erste Datenleck auftritt.

5.8 6,53 EUR pro Monat Inhalt

Das Teil ist schweineteuer. Es bleibt ja nicht nur bei den 28,80 (von denen 6,00 € übrigens an die ausstellende Gemeinde gezahlt wird, HALLO?) für die Anschaffung und die 40,00 EUR pro PC für einen Basisleser, der benutzt werden soll, nein, auch für bestimmte Features, die ich aktivieren oder deaktivieren möchte, muss ich als Anwender bezahlen.

Hier mal ein Rechenbeispiel, sofern man alle Features (eID, QES) nutzen möchte und alle Komponenten 10 Jahre halten:

  • 28,80 € für den Ausweis.
  • 155,00 € für einen zugelassenen Klasse-3 Leser mit Display und Tasten.
  • 600,00 € für das Signatur-Zertifikat für 10 Jahre.

Macht summa summarum 783,80 € für 10 Jahre, und damit 6,53 € pro Monat, die aller Wahrscheinlichkeit nach an den Hersteller fließen. Mann, was haben wir Kosten gespart.

UPDATE: Inzwischen scheinen ein paar mehr Preise durchzusickern. Offenbar muss ein Systembetreiber, der die eID-Funktion nutzen möchte, einen Server (als hosted-service, wohlbemerkt) von mieten. Damit löhnt der willige Webshop für den Spaß z.B. beim Anbieter ]init[ für einen virtuellen eID-Server:

  • 7500,00 € Einrichtungsgebühr
  • 2750,00 € monatliche Betriebsgebühr

6. Angriffe Inhalt

Auch scheinen zumindest drei zwei Angriffe realistisch durchführbar zu sein, sofern keine Vorkehrungen getroffen wurden.

6.1 Setzen der PIN Inhalt

Voraussetzungen:

  1. eID-Funktion aktiviert.
  2. PIN noch nicht gesetzt.

Sofern die eID-Funktion aktiviert, aber die zugehörige PIN noch nicht gesetzt ist, kann der Benutzer dies an seinem PC durchführen. Gibt er so seinen Ausweis aus der Hand, setzt der Angreifer die PIN und geht lustig einkaufen. Er hat ja dann Ausweis und PIN. Es reicht eine Verweildauer von wenigen Minuten, um böses anzurichten.

Zur Lösung dieses Problems wird übrigens das Paßgesetz geändert: Der Ausweis darf nicht mehr aus der Hand gegeben oder kopiert werden, zumindest im Inland.

UPDATE: Anscheinend wird es bei von Anfang an aktivierter eID-Funktion nicht möglich sein, die PIN zu setzen, ohne die von der Bundesdruckerei vergebene sogenannte „Transport-PIN“ zu kennen. Diese wird dem Inhaber per Post zugeschickt. Damit dürfte der beschriebene Angriff nicht mehr möglich sein, da auch bei nachträglich aktivierter eID-Funktion die PIN im Amt gleich vom Benutzer gesetzt werden muß.

6.2 Gehackter Endanwenderrechner Inhalt

Hierfür existieren vier Voraussetzungen:

  1. Trojaner auf dem Rechner
  2. Benutzer hat seine PIN mindestens einmal eingegeben, diese ist dem Trojaner damit bekannt.
  3. Der Ausweis liegt auf dem Lesegerät.
  4. Das Lesegerät ist ein einfaches 40-EUR Lesegerät ohne eigenes Keypad.

Der Angriff geschieht dann wie folgt (Innerhalb weniger Millisekunden, wohlbemerkt):

  1. Der Trojaner, der volle Kontrolle über das System (Tastatur, Maus, Bildschirm!) hat, bestellt etwas im Internet.
  2. Das Ausweis-Subsystem fragt den Benutzer „Bestellung mit diesen Daten ausführen?“
  3. Der Trojaner klickt auf den „OK“-Knopf.
  4. Das Ausweis-Subsystem fragt den Benutzer nach seiner PIN.
  5. Der Trojaner „tippt“ die gespeicherte PIN ein und bestätigt.

Die digitale ID paßt, die IP-Adresse paßt, der Ausweis lag auf dem Lesegerät, nun lassen Sie diesen Benutzer mal beweisen, dass er nichts bestellt hat. Selbst als Techniker ist das fast nicht möglich, ohne den Rechner vollständig zu analysieren.

Und jetzt der Umkehrschluss: Wenn sich die Internetgeschäfte nicht auf die eID-Funktion verlassen können, welchen Wert hat sie dann noch?

6.3 Manipuliertes öffentliches Terminal Inhalt

Hier funktioniert der Angriff, indem man einerseits per Keypad/Folie die PIN mitliest und auf der anderen Seite ein weiteres Lesegerät in das Terminal einbaut. Zwar kann man die Lesegeräte nicht übereinander montieren, aber man könnte als Angreifer ein Schild anbringen „Bitte Ausweis nach Verwendung unbedingt hier neben den Leser legen“, wo der 2. Leser montiert ist. 10% der User würden darauf hereinfallen.

Damit hat der Angreifer PIN und Ausweis auf einem Lesegerät und kann wiederum die eID-Funktion beliebig ausnutzen. Wie gesagt, es reichen wenige Millisekunden, um eine erfolgreiche Bestellung oder eine andere Onlinefunktion abzusetzen.

Dass dieser Angriff realistisch ist, sollten die diversen modifizierten Geldautomaten sowie EC-Karten-Terminals in Supermärkten aufzeigen.

Update: Unklar ist, ob jedes einzelne 40 EUR Lesegerät sein eigenes Zertifikat besitzt und dieses wie bei der Hoheitsfunktion alle 24h erneuern muss. Falls die eID- und QES-Leser ein generelles Zertifikat erhalten, das nicht zurückgezogen werden kann, kann ich im Prinzip auch die QES-Funktion auf diese Weise mißbrauchen.

7. Fazit Inhalt

Das System hat definitiv Schwachstellen, und bringt zumindest mir persönlich nichts. Ich kann deswegen nur wiederholen: Danke, aber nein Danke.

Ein Kommentar zu “Neuer Personalausweis (nPA): Dagegen! [Update]”

1.   Kommentar von Jakob.F
Erstellt am 11. November 2010 um 10:15 Uhr.

Ich stimme dir da zu. Das System ist einfach unnötig und unsicher. Wieder etwas das eigentlich über die Bürger hinweg, zu seinem Nachteil durchgewunken wird.

Einen Kommentar hinterlassen