DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
01.12.2018 Online-Funktionen des Personalausweises gehackt

Zwangs-Online-Funktion ist kein Sicherheits-Feature

Diese Meldung überrascht uns nicht, hat doch der Chaos Computer Club schon vor vielen Jahren gezeigt, dass man RFID Chips aus der Umgebung auslesen kann und dass man biometrische Fingerabdrücke oder Iris-Scans auch aus hoch auflösenden Fotos bekommen kann.

Heute geht es um die angeblich hochsichere Online-Funktion auf dem E-Perso. Diese konnte man bis zum Frühjahr 2017 bei Bedarf auf dem Ausweis aktivieren lassen. Seitdem gilt ein Gesetz, welches diese Funktion zwangsweise aktiviert und man muss sich selbst bemühen die Funktion wieder abschalten zu lassen, wenn man sie nicht braucht oder ihr misstraut. Welche Schwierigkeiten bei diesem Prozess in den zuständigen Ämtern auftreten können, haben wir hier beschrieben (Die Odyssee des biometrischen Abbilds).

Nun zu dem neuen Skandal: Das Ausweisdokument mit Online-Funktion ermöglicht es, sich bei verschiedene staatlichen aber auch privaten Organisationen auszuweisen. Sicherheitsforschern von SEC-Consult ist es gelungen sich online als beliebige Person auszuweisen, in der Demonstration als Johann Wolfgang von Goethe. Dabei nutzen sie eine Sicherheitslücke in der Software 'Governikus Autent SDK'. Sie konnten so falsche Namen verwenden, ohne dass dabei die digitale Signatur verändert werden musste.

SEC-Consult hat bereits im Juli das Problem an den Bund gemeldet. In der nun verfügbaren Version von Governikus-Autent-SDK soll diese Sicherheitslücke nicht mehr bestehen.

Glücklicherweise haben von den 48 Millionen neuen Ausweisbesitzern seit 2010 nur etwa 4 Millionen die Online Funktion aktivieren lassen. Auch wegen der geringen Akzeptanz wurde sie 2017 zur Zwangsmaßnahme. Nun müssen nur noch diese 4 Millionen ihre Software aktualisieren. ;-)

Mehr dazu bei https://www.bluebit.de/news/sicherheitsforscher-hacken-online-funktionen-des-personalausweises-31410981
und https://www.aktion-freiheitstattangst.org/de/articles/zwangsdigitalisierung.htm
und https://www.aktion-freiheitstattangst.org/de/articles/6440-20180415-die-odyssee-des-biometrischen-abbilds.htm


Kommentar: RE: 20181201 Online-Funktionen des Personalausweises gehackt

Ist sicher haben se' uns gesagt...

In., 01.12.2018 12:48


Kategorie[32]: Datenverluste Short-Link dieser Seite: a-fsa.de/d/2YW
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.html
Tags: #ElektronischerPersonalausweis #Hack #Zwangsdigitalisierung #Scoring #Trojaner #Datenpannen #Datenskandale #ePerso #Datensicherheit #Online-Funktion #Verluste
Erstellt: 2018-12-01 09:51:45
Aufrufe: 1328

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.

Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft