Sicherheit des elektronischen Personalausweis
Am 08.08.2011 veröffentlichte Jan Schejbal einen Meldung bei dem er die Möglichkeit beschrieb den neuen Personalausweis (nPA) remote zu missbrauchen. Diese Meldung wurde durch die Presse aufgegriffen und weiterverbreitet. Wobei durch verschiedene Medien die Kernaussage „der neue Personalausweis (nPA) wurde gehackt“ publiziert wurde. Bei genauem Lesen der Meldung von Jan Schejbal ist diese Kernaussage aber so nicht richtig, da in diesem das spezielle Setup des später angegriffenen Systems (inklusive neuem Personalausweis (nPA)) ausführlich dargestellt wird. Dieses umfasst die Punkte:
- Rechner mit Internetzugang
- Nutzung eines Basislesegerät
- Nutzung eines Browser mit installiertem OWOK-Plug-IN (sowie Zugriffsrecht dessen auf den neuen Personalausweis (nPA))
- der neue Personalausweis (nPA) muss auf dem Basisgerät aufliegen
Diese Auflistung macht deutlich, dass es einer sehr speziellen Konfiguration des anzugreifenden Rechners bedarf. Weiterhin wird erläutert, dass zusätzlich die PIN für die eID-Funktion-Nutzung vom Angreifer ausgespäht werden muss. Eine mögliche Umsetzungsvariante ist eine extra dafür präparierte Webseite, die z. B. einen FSK 18-Bereich vortäuscht. Die Möglichkeit wird in diesem Video verdeutlicht.
