Ja soll man da nun lachen oder weinen? Die Tatsache, das es – zumindest für in diesem Bereich versierte Menschen – mit relativ wenig Aufwand möglich ist, den digitalen Personalausweis einer fremden Person für eigene Zwecke zu nutzen, ist wohl ohne jeden Zweifel traurig. Die ganze Geschichte um das neue “Wunderkärtchen” betrachtet, ist ohne jeglichen Humor aber wohl schon gar nicht mehr auszuhalten.

Bereits kurz nach dem Start des digitalen Personalausweise, im November 2010 machte der Pirat Jan Schejbal eindrucksvoll auf eine Schwachstelle der, zur Nutzung des Ausweises benötigten AusweisApp aufmerksam. Ein Fehler in der Update-Funktion besagter App, würde es Angreifern ermöglichen, diversen Schadcode einzuschleusen mit dem sich wiederum die PIN-Nummer des Ausweise ausspähen ließe.

Seinerzeit war man von offizieller Seite noch stets darum bemüht das Ganze klein zu reden und baldige Besserung zu geloben. Man könne mit der PIN-Nummer eh nichts anfangen, wenn man den Ausweis nicht hat.

Erklärungen, wie man sie inzwischen gewohnt ist und eigentlich gar nicht mehr anders erwartet… In einem neuen Blogpost beschreibt Schejbal nun allerdings erneut eindrucksvoll, wie sich auch dieser Punkt aus der Ferne bewerkstelligen lässt.

Dabei setzt er auf eine Browser-Erweiterung, die Nutzer bestimmter Lesegeräte installieren können und welche angeblich Bestandteil des “Starter-Kits”, damit weit verbreitet wäre. Diese erlaube es einer Website, auf den Kartenleser und den darauf liegenden Ausweis zuzugreifen. Wenn ein Angreifer nun die PIN-Nummer kenne, könne er den Ausweis faktisch für seine eigenen Zwecke missbrauchen.

In seinem oben verlinkten Blogpost beschreibt er die ganze Prozedur ausführlich und zeigt sie sogar in einem kleinen Video. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte, diversen Medienberichten zufolge, jedoch  weitgehend gelassen auf diese Angriffsmöglichkeit. Man wolle das Ganze zunächst einmal prüfen und dann weitere Maßnahmen ergreifen. Was mich allerdings schon wieder zum Anfangs angesprochenen Humor bringt. Bis das BSI die AusweissApp überarbeitet, getestet und zum download angeboten hatte, vergingen schon mehrere Monate. Nun will man “erst mal prüfen”.

Einmal mehr bin ich froh das mein alter, analoger, langweiliger Ausweis noch eine Zeit lang gültig ist und ich mich mit dem “neuen” nicht zu beschäftigen brauche. Dabei fällt mir ein: war es nicht unser Innenminister – damals noch Thomas de Mazière, heute Hans-Peter Friedrich – der die ganze Sache zu “überwachen” hatte? Herr Friedrich überwacht scheinbar gerne alles mögliche, nur nicht die Sicherheit des ePerso.