Neue Version der AusweisApp wird in Kürze bereitgestellt

10. November 2010 von Hinterlasse einen Kommentar

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), 10.11.2010

Bonn, 10. November 2010. Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) hat am 8. November 2010 die Software AusweisApp zur Nutzung der eID-Funktion des neuen Personalausweises bereitgestellt.
Inzwischen wurde über eine Schwachstelle berichtet, über die Angreifer im
Rahmen der Update-Funktion Schadsoftware auf Nutzerrechner einschleusen können. Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen. Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht. Auch beeinflusst dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führt auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis
ausgelesen werden können.

Die beteiligten Firmen OpenLimit SignCubes AG und Siemens IT Solutions and Services GmbH werden in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt.

Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen
Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitung implementiert, um auf derartige Probleme kurzfristig
reagieren zu können.

Erläuterung der Schwachstelle und Hinweise für die Nutzer

Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die
Verwendung der AusweisApp selbst, sondern auf die automatische
Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines
sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung
des Server-Namens „download.ausweisapp.bund.de“ zu einer IP-Adresse
manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann
könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen
eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren.

Die neue Version der AusweisApp wird in Kürze zum Download auf der Webseite http://www.ausweisapp.bund.de zur Verfügung stehen. Das BSI empfiehlt Nutzern, die die AusweisApp bereits heruntergeladen haben, nicht die Update-Funktion der Software zu verwenden, sondern die AusweisApp neu zu installieren. Nach dem Einspielen der neuen Version können die Nutzer die Auto-Update-Funktion der AusweisApp wie vorgesehen nutzen.

——————————————–
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Pressestelle
Godesberger Allee 185 -189
53175 Bonn

Postfach 20 03 63
53133 Bonn

Telefon: +49 (0)228 99 9582 5777
Telefax: +49 (0)228 99 9582 5455
E-Mail: presse@bsi.bund.de
Internet:
www.bsi.bund.de
www.bsi-fuer-buerger.de

Gespeichert unter Neuer Personalausweis Getaggt mit , , , , , , , , , ,

Datenschutz und Datensicherheit beim neuen Personalausweis

5. November 2010 von Hinterlasse einen Kommentar

Quelle: Der Bundesbeauftrgte für den Datenschutz und die Informationsfreiheit (bfd.bnd.de), 29.10.2010

Wie bisher dürfen Behörden und Unternehmen die Seriennummern grundsätzlich nicht zum Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien verwenden.

Fingerabdrücke dürfen nur auf freiwilliger Basis und nur auf dem Chip im Ausweis gespeichert werden. Die Benachteiligung von Personen, auf deren Ausweisen keine Fingerabdrücke gespeichert sind, ist unzulässig.

Bei Nutzung des neuen Personalausweises zur Identifikation gegenüber Internetdiensten (der sogenannten eID-Funktion) sollten nur sichere Chipkarten-Lesegeräte (mindestens der Sicherheitsklasse 2, sogenannte „Standardlesegeräte“) verwendet werden. Man erkennt die Standardgeräte  insbesondere an einer integrierten Tastatur, mit der die PIN zur Freischaltung der eID-Funktion eingegeben wird.

Die Nutzung der Signaturfunktion ist technisch nur mit Lesegeräten der höchsten Sicherheitsklasse 3 („Komfortlesegeräte“) möglich. Diese besitzen unter anderem als festen Bestandteil eine eigene Tastatur und ein Display.

Da die Chipkarten-Lesegeräte der Sicherheitsklasse 1 („Basislesegeräte“), über keine eigene Tastatur verfügen, muss bei diesen die PIN über die PC-Tastatur eingegeben werden. Dadurch könnte es Hackern möglich sein, die PIN auszuspähen, wenn der PC durch Spionagesoftware infiziert ist. Angesichts dieser Gefahr ist es insbesondere bei der Verwendung von  Basislesegeräten unbedingt erforderlich, dass der zur elektronischen Identifizierung eingesetzte PC durch aktuelle Antiviren-Software und eine Firewall gegen Trojaner und Computerviren geschützt ist.

Gespeichert unter Neuer Personalausweis Getaggt mit , , , , , , , , , , , , , ,

BSI weist Sicherheitsbedenken zum neuen Personalausweis erneut zurück

23. September 2010 von Hinterlasse einen Kommentar

Folgende Pressemitteilung hat die Pressestelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) am 22.09.20101 veröffentlicht:

Bonn, 22.09.2010.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die
wiederholt in den Medien geäußerten Sicherheitsbedenken bei der Verwendung des neuen Personalausweises zurück. Der Westdeutsche Rundfunk (WDR) hat heute in einer vorab zum Magazin “Bericht aus Brüssel” (WDR Fernsehen, 22. September 2010, 21:55 Uhr) veröffentlichten Pressemitteilung angebliche Sicherheitslücken des neuen Personalausweises thematisiert. Mittelpunkt des geschilderten Angriffsszenarios ist ein mit Schadsoftware infizierter Rechner, auf den ein Unbefugter mithilfe eines Hackerangriffs Zugriff erlangt hat. Ist dieser Angriff erfolgreich, kann der Angreifer unabhängig von der genutzten Anwendung heimlich alle Tastatureingaben oder Bildschirmanzeigen mitlesen. Dies schließt beispielsweise auch das Mitlesen von E-Mails oder anderer Internetkommunikation ein. Auch eine per PC-Tastatur eingegebene PIN
des neuen Personalausweises könnte bei der Verwendung eines Basislesegerätes auf diese Weise mitgelesen werden.

Im Gegensatz zum bisher üblichen Authentisierungsverfahren mittels
Benutzername und Passwort kann jedoch beim neuen Personalausweis allein durch Kenntnis der Ausweis-PIN der Angreifer den Personalausweis nicht
missbrauchen, da er zur Nutzung der Online-Ausweisfunktion zudem Zugriff auf die Ausweiskarte selbst benötigt. Eine Änderung der Ausweis-PIN durch den Angreifer wäre nach Erspähen der alten PIN und Zugriff auf die Karte zwar grundsätzlich möglich, würde aber zu einer wahrscheinlichen Entdeckung des Angriffs durch den Inhaber führen, da dessen PIN nicht mehr funktioniert.

Befolgt der Ausweisinhaber die vom Bundesministerium des Innern und vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis, so sind diese Szenarien auszuschließen. Empfohlen wird insbesondere Folgendes:
1. Anwender sollten eine Personal Firewall und einen leistungsfähigen
Virenscanner nutzen und diese stets aktualisieren.

2. Neben dem Browser sollten auch das Betriebssystem und alle weitere
eingesetzte Software durch regelmäßige Sicherheitsupdates auf dem neuesten Stand gehalten werden.

3. Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das
Lesegerät gelegt werden.

4. Anwender, die das Gefühl haben, ihre PIN sei ausspioniert oder manipuliert worden, sollten diese an einem nicht infizierten PC oder in der
Personalausweisbehörde ändern oder den Ausweis sperren lassen. Dies ist
jederzeit auch über eine telefonische Hotline möglich.

Bei der Nutzung des neuen Personalausweises ist die Ausweisfunktion von der Signaturfunktion zu unterscheiden. Kern der Online-Ausweisfunktion ist die gegenseitige Authentisierung von Dienstanbieter und Ausweisinhaber. Bei der Ausweisfunktion handelt es sich nicht um eine rechtsverbindliche Unterschrift. Technisch ist diese Authentisierung analog zum Vorzeigen des
Ausweises gestaltet, insbesondere hat der Dienstanbieter keinen Nachweis
gegenüber Dritten über die Verwendung der Ausweisfunktion. Die optional
nutzbare rechtsverbindliche Signaturfunktion kann ausschließlich mit einem
Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden und unterscheidet sich damit grundlegend von der Ausweisfunktion.

Vergleich nPA mit SuisseID

Die Funktionen des deutschen Personalausweises und der Schweizer SuisseID sind technisch grundlegend verschieden gestaltet und nicht miteinander vergleichbar, insbesondere lassen sich Aussagen über die SuisseID nicht auf das deutsche System übertragen.

Weitere Informationen zum neuen Personalausweis sowie Tipps zur Vorbeugung von Hackerangriffen sind unter http://www.personalausweisportal.de und http://www.bsi-fuer-buerger.de abrufbar.

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Pressestelle
Godesberger Allee 185 -189
53175 Bonn

Postfach 20 03 63
53133 Bonn

Gespeichert unter Neuer Personalausweis Getaggt mit , , , , , , , ,

Follow

Bekomme jeden neuen Artikel in deinen Posteingang.

%d Bloggern gefällt das: