Nachdem bereits im letzten Jahr die Sicherheit der AusweisApp für den neuen Personalausweis (ePerso) durch Jan Schejbal, Mitglied der Piratenpartei, widerlegt wurde [1], gelang es ihm nun erneut, eine Lücke im System des ePerso aufzudecken.
So ist es mit einfachsten Mitteln möglich, die PIN eines Nutzers auszuspähen, ohne direkt auf dem Computer des Opfers eine Manipulation durchführen zu müssen, ganz ohne Trojaner und Viren.
Der Angriff wird beim Anmeldevorgang auf der Webseite http://fsk18.piratenpartei.de demonstriert (echte Daten sind hierfür nicht notwendig). Die Lücke besteht dabei nicht im System direkt. Die PIN wird über eine so genannte Phishing-Seite abgefangen. Dabei wird die offizielle AusweisApp nur simuliert. Der Anwender glaubt sich auf der sicheren Seite, ist jedoch auf einem kompromittierten System. Für ihn ist es nicht sofort ersichtlich, dass er auf einer gefälschten Seite seine PIN eingibt und sie damit für folgende Betrügereien verfügbar macht. 
„Die letzte Sicherheitslücke in der AusweisApp, die ich gefunden hatte, ließ sich mit ein paar Zeilen Code und einem Update lösen. Dieses neue Problem bekommt man nur in den Griff, wenn man die Nutzer dazu bringt, aufzupassen – und das ist viel schwieriger“ sagt Jan Schejbal zu seiner Idee, die er – zusammen mit einer Anleitung, wie man sich schützen kann – in seinem Blog [2] ausführlich erklärt. „Der Nutzer kann sich zwar schützen, indem er auf bestimmte Merkmale achtet, aber das wird in den Hochglanzbroschüren zum Ausweis leider nicht erwähnt.“
Bernd Schreiner, politischer Geschäftsführer der PIRATEN Thüringen, ergänzt: „Wir PIRATEN sind froh, dass offenbar vor Jan Schejbal niemand auf den Gedanken gekommen ist, diese Schwachstelle auszunutzen. Jetzt wollen wir mit der Seite http://fsk18.piratenpartei.de die Öffentlichkeit für das Problem sensibilisieren. Mit dieser Methode werden aber sicherlich Betrüger, auch trotz der jetzigen Veröffentlichung, so manchen Nutzer überrumpeln und dessen PIN missbrauchen. Wir hoffen, dass die Medien unsere Warnung ähnlich breit kommunizieren wie die angebliche Sicherheit des Ausweises, der ja nicht für sich alleine funktioniert, sondern auf Computer, Netzwerk und Lesegerät und letztlich auch den Nutzer angewiesen ist“.
Noch Ende Oktober 2010 warb unser Bundesinnenminister Thomas de Maizière (CDU) um Vertrauen: „Der ePerso ist sicher“, las man damals in der Presse.
Auch seine Wiederholungen einen Monat später und der Hinweis, dass noch niemand den „Chip geknackt“ hat, zeigen, dass trotz gut bezahlter Mitarbeiter im Bundesamt für Sicherheit in der Informationstechnik und langen Entwicklungszeiten das Gesamtsystem nicht sicher ist. So hatte Jan Schejbal schon in der ersten Nacht nach Veröffentlichung der AusweisApp, also des Computerprogramms zur Nutzung der Sicherheitsfunktionen des ePersos am eigenen Rechner , eine gravierende Sicherheitslücke entdeckt.
Dies zeigt einmal mehr, dass die dem Bürger von der Regierung vorgegaukelte Sicherheit keinerlei Substanz hat. Jedes Jahr werden Unsummen für Sicherheitsinfrastruktur, Nacktscanner, Überwachungskameras, Analyseprogramme für Bewegungsmuster und vieles mehr ausgegeben, doch die Sicherheit des einzelen Bürgers wird damit nicht erhöht.
Bernd Schreiner: „Es wird Zeit einzugestehen, dass es gewisse Risiken gibt und dass der Kontroll- und Überwachungswahn keinesfalls die persönliche Sicherheit verbessert. Wir benötigen im Gegenteil eine Vertrauenspolitik. Der Staat muss dem Bürger einen Vertrauensvorschuss geben, ganz ohne Chip auf dem Personalausweis, einem Dokument, das nicht nur um 350% teurer wurde, sondern auch keinen Sicherheitsgewinn bringt.“
Carsten Eckart, Vorsitzender des PIRATEN Kreisverbandes in Jena, weist in diesem Zusammenhang auf die Zunahme von Überwachungskameras hin [3]. „Unsere Aktion zur Video- und Kameraüberwachung in Jena zeigt den Standort vieler Kameras im Stadtgebiet und der oft fraglichen Legalität dieser. In London, der Hauptstadt der Kameraüberwachung, konnte kein nennenswerter Rückgang der Straftaten beobachtet werden. Sicherer vor Einbruch oder Überfall ist durch die Überwachung der Bevölkerung niemand.“
Hinweis:
Auch wer noch nicht Besitzer der AusweisApp ist, kann die Schwachstellen durch die Eingabe einer beliebigen PIN beim Anmelden auf der Seite http://fsk18.piratenpartei.de nachvollziehen.
[1] http://web.piratenpartei.de/Pressemitteilung-101109-Piratenpartei-beweist-AusweisApp-des-ePerso-ist-unsicher
[2] https://janschejbal.wordpress.com/2011/01/17/eperso-pin-diebstahl-ohne-malware/
[3] http://big-brother.piraten-jena.de/