Piratenpartei warnt vor Phishing beim neuen Personalausweis
Der neue elektronische Personalausweis
Foto: BMI
Ein Mitglied der Piratenpartei warnt vor
einem Phishing-Trick, mit dem Online-Kriminelle die PIN des neuen
elektronischen Personalausweises ausspionieren können. Die Masche ist
einfach: Eine Website brauche dem Nutzer nur vorzugaukeln, dass sie
die Identifizierungsfunktion des E-Perso aktiviert, erläuterte
der Piratenpartei-Computerexperte Jan Schejbal. Der Trick sei dann, eine
gefälschte Anmeldemaske dem Äußeren der sogenannten AusweisApp
nachzuempfinden. Der Nutzer denke, er melde sich mit Hilfe des
Personalausweises an, das elektronische Dokument sei in
Wirklichkeit aber gar nicht im Einsatz. Als Beispiel wird der Angriff
beim Anmeldevorgang auf der Webseite http://fsk18.piratenpartei.de
simuliert.
BSI: "Klassischer Phishing-Trick"
Der neue elektronische Personalausweis
Foto: BMI
Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) räumte ein, dass ein solches Szenario möglich
sei. Es handele sich allerdings um einen "klassischen Phishing-Trick" und
nicht um eine Schwachstelle des neuen Personalausweises oder der
Software AusweisApp, sagte ein Sprecher. "Weitere Folgen hat das
von Schejbal dargestellte Szenario für den Ausweisinhaber jedoch
nicht." Allein dadurch, dass einem Angreifer die PIN bekannt sei,
entstehe dem Ausweisinhaber noch keinerlei Schaden, "denn zur Nutzung
der elektronischen Ausweisfunktion ist neben der Kenntnis der PIN
auch der Zugriff auf den Ausweis selbst erforderlich".
Das Piratenpartei-Mitglied Schejbal weist auch darauf hin, dass ein Nutzer sehen könne, ob der Personalausweis gerade aktiv ist. Die AusweisApp habe bei angeschlossenem Lesegerät ein Chip-Symbol in der Taskleiste neben der Uhr, das bei aufgelegter Karte grün werde. "Ist die AusweisApp aktiv, wechselt es die Farbe zu Blau. Das ist ein weiteres Sicherheitsmerkmal, auf das man achten sollte", schreibt er in seinem Blog.
Vor dem Start des elektronischen Personalausweises im November hatte es bereits zahlreiche Diskussionen über mögliche Lücken und Angriffe gegeben. Das BSI hatte wiederholt beteuert, dass der Ausweis auch bei Einsatz einfacher Lesegeräte ausreichend sicher sei. Bisher sind keine Attacken bekanntgeworden.