Software des neuen Personalausweises bereits von Hacker geknackt

16.11.2010

Erst einen Tag war der Ausweis-App des neuen, elektronischen Personalausweises zum Download verfügbar, da war die Software bereits geknackt. Dem Hacker Jan Schejbal zufolge, waren die Sicherheitslücken „dumme Fehler“ und zudem laut Experten bekannt.

Schejbal schreibt in seinem Blog, dass er die Update-Funktion des Programms von außen manipuliert habe. Das hatte zur Folge, dass die Update-Funktion auf einen anderen Server zugriff, als vorgesehen. Mit solch einer Handhabung könnten Angreifer die Software anweisen, anstelle einer Modernisierung Schadsoftware auf den Computer des Nutzers aufzuspielen. Das der Personalausweis über diese Lücke ausspioniert werden kann, ist zwar unwahrscheinlich, jedoch könnten dadurch Viren oder ähnliches in den Rechner des Users eindringen.

Schejbal teilt mit, dass die Sicherheitsmaßnahmen ausgeklügelt sind und sein Hack nicht ganz trivial war. Die Entwickler der Software hätten diese Lücke jedoch erkennen müssen. Experten des "c't" Computer-Magazins haben zwischenzeitlich den Angriff wiederholt und bestätigten die Lücke. Darüber hinaus wollen Experten weitere Sicherheitslücken aufweisen. Das Bundesamt für Sicherheit der Informationstechnik, die zuständige Behörde, überprüft es bereits.
Die Software wurde eigentlich dazu entwickelt, dem Bürger zu ermöglichen mit Hilfe des elektronischen Personalausweises plus des dazugehörigen Lesegeräts, online Geschäfte abzuschließen. Zudem sollte er zur Identifikation gegenüber Behörden dienen.

Verfasst von: Marc Hartung-Knöfler
Quelle: spiegel.de/netzwelt