DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo taz We at Mastodon A-FsA Song RSS Twitter Youtube Tumblr Flickr Wikipedia Donation Facebook Bitmessage Betterplace Tor-Netzwerk https-everywhere
01.12.2018 Online-Funktionen des Personalausweises gehackt
Sorry, most articles are not available in English yet

Zwangs-Online-Funktion ist kein Sicherheits-Feature

Diese Meldung überrascht uns nicht, hat doch der Chaos Computer Club schon vor vielen Jahren gezeigt, dass man RFID Chips aus der Umgebung auslesen kann und dass man biometrische Fingerabdrücke oder Iris-Scans auch aus hoch auflösenden Fotos bekommen kann.

Heute geht es um die angeblich hochsichere Online-Funktion auf dem E-Perso. Diese konnte man bis zum Frühjahr 2017 bei Bedarf auf dem Ausweis aktivieren lassen. Seitdem gilt ein Gesetz, welches diese Funktion zwangsweise aktiviert und man muss sich selbst bemühen die Funktion wieder abschalten zu lassen, wenn man sie nicht braucht oder ihr misstraut. Welche Schwierigkeiten bei diesem Prozess in den zuständigen Ämtern auftreten können, haben wir hier beschrieben (Die Odyssee des biometrischen Abbilds).

Nun zu dem neuen Skandal: Das Ausweisdokument mit Online-Funktion ermöglicht es, sich bei verschiedene staatlichen aber auch privaten Organisationen auszuweisen. Sicherheitsforschern von SEC-Consult ist es gelungen sich online als beliebige Person auszuweisen, in der Demonstration als Johann Wolfgang von Goethe. Dabei nutzen sie eine Sicherheitslücke in der Software 'Governikus Autent SDK'. Sie konnten so falsche Namen verwenden, ohne dass dabei die digitale Signatur verändert werden musste.

SEC-Consult hat bereits im Juli das Problem an den Bund gemeldet. In der nun verfügbaren Version von Governikus-Autent-SDK soll diese Sicherheitslücke nicht mehr bestehen.

Glücklicherweise haben von den 48 Millionen neuen Ausweisbesitzern seit 2010 nur etwa 4 Millionen die Online Funktion aktivieren lassen. Auch wegen der geringen Akzeptanz wurde sie 2017 zur Zwangsmaßnahme. Nun müssen nur noch diese 4 Millionen ihre Software aktualisieren. ;-)

Mehr dazu bei https://www.bluebit.de/news/sicherheitsforscher-hacken-online-funktionen-des-personalausweises-31410981
und https://www.aktion-freiheitstattangst.org/de/articles/zwangsdigitalisierung.htm
und https://www.aktion-freiheitstattangst.org/de/articles/6440-20180415-die-odyssee-des-biometrischen-abbilds.htm

Kommentar: RE: 20181201 Online-Funktionen des Personalausweises gehackt

Ist sicher haben se' uns gesagt...

In., 01.12.2018 12:48

Category[32]: Datenverluste Short-Link to this page: a-fsa.de/e/2YW
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.html
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.html
Tags: #ElektronischerPersonalausweis #Hack #Zwangsdigitalisierung #Scoring #Trojaner #Datenpannen #Datenskandale #ePerso #Datensicherheit #Online-Funktion #Verluste
Created: 2018-12-01 09:51:45 Hits: 1228
Leave a Comment

 If you like a crypted answer you may copy your
public key into this field. (Optional)
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

CC license   European Civil Liberties Network   Bundesfreiwilligendienst   We don't store your data   World Beyond War   Use Tor router   Use HTTPS   No Java   For Transparency

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst We don't store user data World Beyond War Tor - The onion router HTTPS - use encrypted connections We don't use JavaScript For transparency in the civil society