eRecht24 - Portal zum Internetrecht von Rechtsanwalt Sören Siebert

Neuer Personalausweis: Sicherheitslücke entdeckt

Mit der Sicherheitslücke, die ein Computerexperte beim neuen Personalausweis entdeckte, können Betrüger die Identität des Ausweis-Inhabers über das Internet stehlen. Der Informatikstudent Jan Schejbal berichtet in seinem Blog, dass die Schwachstelle nicht auf den Ausweis zu finden ist, sondern auf der dazu gehörigen Software. In der Vergangenheit hat der Student schon einige Schwachstellen in der Software aufgedeckt.

Problem sei die Browser-Erweiterung, die User für den Kartenleser installieren. Dieses sogenannte Plugin erlaube einer bestimmten Internetseite, auf das Kartenlesegerät und den Ausweis zuzugreifen. Nun müsste der Betrüger nur noch die Geheimzahl, also den PIN kennen und schon kann er den Ausweis ungehindert nutzen. Wie Betrüger den PIN herausfinden können, hat der Student bereits Anfang des Jahres erklärt.

Nur Basisgeräte sind betroffen

Die gute Nachricht ist, dass die teuren Standard- und Komfort-Lesegeräte nicht betroffen sind, jedoch das Basislesegerät. Das in den Starter-Kids enthaltene Plugin OWOK ist eine weitere Voraussetzung für Betrüger. Und der Ausweis muss dazu im Lesegerät stecken. Sind diese Voraussetzungen gegeben, zusammen mit der Ausspähung des PINs, können Betrüger mit dem Ausweis im Internet einkaufen oder ihn für ihre kriminellen Aktivitäten nutzen.

Schutz vor Betrüger

Es wird empfohlen, auf das Basisgerät zu und das Plugin OWOK zu verzichten. Zudem sollte der eigene PC mit einer aktuellen Sicherheitssoftware ausgestattet werden.
Bei Kartenlesegeräten mit eigenem Ziffernblock lässt sich die Geheimnummer nicht ausspähen. Wer schon das Plugin OWOK installiert hat, sollte es deinstallieren, sofern anders auf die Chipkarte zu