Zwangs-Online-Funktion ist kein Sicherheits-Feature
Diese Meldung überrascht uns nicht, hat doch der Chaos Computer Club schon vor vielen Jahren gezeigt, dass man RFID Chips aus der Umgebung auslesen kann und dass man biometrische Fingerabdrücke oder Iris-Scans auch aus hoch auflösenden Fotos bekommen kann.
Heute geht es um die angeblich hochsichere Online-Funktion auf dem E-Perso. Diese konnte man bis zum Frühjahr 2017 bei Bedarf auf dem Ausweis aktivieren lassen. Seitdem gilt ein Gesetz, welches diese Funktion zwangsweise aktiviert und man muss sich selbst bemühen die Funktion wieder abschalten zu lassen, wenn man sie nicht braucht oder ihr misstraut. Welche Schwierigkeiten bei diesem Prozess in den zuständigen Ämtern auftreten können, haben wir hier beschrieben (Die Odyssee des biometrischen Abbilds).
Nun zu dem neuen Skandal: Das Ausweisdokument mit Online-Funktion ermöglicht es, sich bei verschiedene staatlichen aber auch privaten Organisationen auszuweisen. Sicherheitsforschern von SEC-Consult ist es gelungen sich online als beliebige Person auszuweisen, in der Demonstration als Johann Wolfgang von Goethe. Dabei nutzen sie eine Sicherheitslücke in der Software 'Governikus Autent SDK'. Sie konnten so falsche Namen verwenden, ohne dass dabei die digitale Signatur verändert werden musste.
SEC-Consult hat bereits im Juli das Problem an den Bund gemeldet. In der nun verfügbaren Version von Governikus-Autent-SDK soll diese Sicherheitslücke nicht mehr bestehen.
Glücklicherweise haben von den 48 Millionen neuen Ausweisbesitzern seit 2010 nur etwa 4 Millionen die Online Funktion aktivieren lassen. Auch wegen der geringen Akzeptanz wurde sie 2017 zur Zwangsmaßnahme. Nun müssen nur noch diese 4 Millionen ihre Software aktualisieren. ;-)
Mehr dazu bei https://www.bluebit.de/news/sicherheitsforscher-hacken-online-funktionen-des-personalausweises-31410981
und https://www.aktion-freiheitstattangst.org/de/articles/zwangsdigitalisierung.htm
und https://www.aktion-freiheitstattangst.org/de/articles/6440-20180415-die-odyssee-des-biometrischen-abbilds.htm
Kommentar: RE: 20181201 Online-Funktionen des Personalausweises gehackt
Ist sicher haben se' uns gesagt...
In., 01.12.2018 12:48
Kategorie[32]: Datenverluste Short-Link dieser Seite: a-fsa.de/d/2YW
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.htm
Tags: #ElektronischerPersonalausweis #Hack #Zwangsdigitalisierung #Scoring #Trojaner #Datenpannen #Datenskandale #ePerso #Datensicherheit #Online-Funktion #Verluste
Erstellt: 2018-12-01 09:51:45 Aufrufe: 1315
Kommentar abgeben