News Neuer Personalausweis unsicher, durch einfache Lesegeräte Datenspionage möglich
User-News
Von Gast29012019_2
Hinweis: Diese "User-News" wurde nicht von der Planet 3DNow! Redaktion veröffentlicht, sondern vom oben genannten Leser, der persönlich für den hier veröffentlichten Inhalt haftet.Wie aus einem Bericht von "Plusminus" hevorrgeht, gelang es dem CCC mittels vorhandener Test Basis Lesegeräte die Daten des Chips abzugreifen unter anderem die 6 stellige Pin.
Für entsprechende Betrüger wäre es also ein leichtes auf Datenspionage zu gehen und die gesammelten Daten für andere Zwecke zu missbrauchen.
Ein Hinweis an den Bundesinnenminister Thomas de Maizière (CDU) brachte kein Erfolg -es bestände dahingehend kein Handlungsbedarf.
Die Lesegeräte werden benötigt um sich am Computer bei Onlinegeschäften zu identifizieren. Zunächst werden mehr als 1 Million Geräte auf Kosten des Staates kostenlos über PC-Zeitschriften und auserwählte Banken als sog. Starter-Kits verteilt.
Später soll es Geräte für unterschiedliche Anforderungen geben in unterschiedlichen Preisklassen.
Für Interessierte wird dieses Thema in der heutigen Plusminus Sendung heute um 21:50 Uhr
behandelt.
Quellverweise ->
Welt.de
Man kann jedem nur raten dieses Feature nicht zu nutzen, solange es keine Lesegeräte gibt die einem hohen Standard entsprechen.
Update:
Im Physikunterrricht gelang es Schülern der 9. Klassen des Grevenbroicher Pascal-Gymnasiums unter Anleitung ihres Lehrers mit einfachsten Mitteln innerhalb von 2 Stunden den Chip zu deaktivieren. Die Gültigkeit des Perso wird dadurch nicht beeinträchtigt. Die Informationen besorgte man sich aus dem Internet, wo es schon Anleitungen dafür gibt.
Mehr dazu hier
Für entsprechende Betrüger wäre es also ein leichtes auf Datenspionage zu gehen und die gesammelten Daten für andere Zwecke zu missbrauchen.
Ein Hinweis an den Bundesinnenminister Thomas de Maizière (CDU) brachte kein Erfolg -es bestände dahingehend kein Handlungsbedarf.
Die Lesegeräte werden benötigt um sich am Computer bei Onlinegeschäften zu identifizieren. Zunächst werden mehr als 1 Million Geräte auf Kosten des Staates kostenlos über PC-Zeitschriften und auserwählte Banken als sog. Starter-Kits verteilt.
Später soll es Geräte für unterschiedliche Anforderungen geben in unterschiedlichen Preisklassen.
Für Interessierte wird dieses Thema in der heutigen Plusminus Sendung heute um 21:50 Uhr
behandelt.
Quellverweise ->
Welt.de
Man kann jedem nur raten dieses Feature nicht zu nutzen, solange es keine Lesegeräte gibt die einem hohen Standard entsprechen.
Update:
Im Physikunterrricht gelang es Schülern der 9. Klassen des Grevenbroicher Pascal-Gymnasiums unter Anleitung ihres Lehrers mit einfachsten Mitteln innerhalb von 2 Stunden den Chip zu deaktivieren. Die Gültigkeit des Perso wird dadurch nicht beeinträchtigt. Die Informationen besorgte man sich aus dem Internet, wo es schon Anleitungen dafür gibt.
Mehr dazu hier
Zuletzt bearbeitet:
Fusseltuch
Vice Admiral Special
Tja, das ist wohl für Politiker ein völlig normaler Vorgang. Wenn sich das Steckenpferd als eine faule Nummer zu erkennen gibt, dann grefien die üblichen Mechanismen: herunterspielen, leugnen, verschleiern.
Wenn dem nicht so wäre, müsste man ja Konsequenzen ziehen. Und das wollen wir ja nicht...
![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
Das ist der normale Reflex der Berufspolitiker. Irgendwer hat immer etwas auszusetzen an dem was sie gerade sagen oder beschließen und ist daher erstmal als unbegründet abzutun. Das es aber auch berechtigte Kritik gibt wissen sie. Allerdings ist "berechtigte" Kritik nur dann berechtigt und führt zu Veränderungen (Meinung/Beschlüssen), wenn sie lange anhält, an Masse zunimmt und von den Medien aufgegriffen wird. Dass sie (die Politiker) meistens kein Technikverständnis haben und sich nur an den tollen Möglichkeiten berauschen die sie von der Industrie vorgeführt bekommen, kommt noch dazu. Kann aber nicht als Ausrede dienen, da sie ja schließlich dafür da sind darüber zu entscheiden.
gurkenstix
Grand Admiral Special
- Mitglied seit
- 18.05.2007
- Beiträge
- 2.794
- Renomée
- 98
war zu erwarten
KGBerlin
Grand Admiral Special
- Mitglied seit
- 03.12.2007
- Beiträge
- 11.566
- Renomée
- 356
Diese Reaktion von Lothar de Maizière..ähhh ne ich mein Clement..nein..Ulrich.... Thomas mein ich
Markus Everson
Grand Admiral Special
Genau das ist nicht passiert. Es wurde nichts entschlüsselt.
Es ist aber beim Basisleser vollkommen problemlos möglich die Pin per Keylogger abzugreifen.
Es gibt Keylogger? Wie überraschend....
Nicht falsch verstehen, das Sicherheitskonzept ist mit Basisleser dessen Pin über das OS des Wirtsystem läuft broken by design. Das war aber von vornherein klar, die Plusminus Sendung ist wieder nur Dummenfang im Sommerloch.
gurkenstix
Grand Admiral Special
- Mitglied seit
- 18.05.2007
- Beiträge
- 2.794
- Renomée
- 98
eigendlich beidesDiese Reaktion von Lothar de Maizière..ähhh ne ich mein Clement..nein..Ulrich.... Thomas mein ich
daß der absolut fälschungssichere und unknackbare neue
doch geknackt werden kann
und die reaktion der verantwortlichen darauf
So lange man diese Funktion nicht nutzt, kann man auch von dieser nicht betroffen werden. Die Frage ist nur wofür diese einmal eingeführte Funktion in der Zukunft noch verwendet wird. Ich kann mir kaum vorstellen, dass das nur bei der Abwicklung von Internet-Geschäften zur Identifizierung bleibt.
CapJo
Admiral Special
Wie schon geschrieben ... geknackt wurde nichts und ich gehe davon aus, dass die Karten soweit sicher sind, bis nichts anderes erwiesen ist.
Zu bemängeln sind allerdings die ausgegeben Kartenleser (ohne eigene Tastatur - Klasse-1. Pin läuft damit über ein "nicht vertrauenswürdiges System (PC)".)
Chipkarten werden beim HBCI-Banking ja schon längere Zeit genutzt und haben sich mit einem Klasse-2-Leser (mit Tastenfeld) als "sicher" erwiesen.
100%ig sicher ist jedoch nichts, es ist meist nur eine Frage des Aufwands.
Zu bemängeln sind allerdings die ausgegeben Kartenleser (ohne eigene Tastatur - Klasse-1. Pin läuft damit über ein "nicht vertrauenswürdiges System (PC)".)
Chipkarten werden beim HBCI-Banking ja schon längere Zeit genutzt und haben sich mit einem Klasse-2-Leser (mit Tastenfeld) als "sicher" erwiesen.
100%ig sicher ist jedoch nichts, es ist meist nur eine Frage des Aufwands.
G
Gast29012019_2
Guest
Stimmt die Formulierung paßt so nicht, es geht vielmehr um die Geräte die keinen Schutz bieten. Das gleiche Theater bestand wohl auch mit den ersten Geräten um sein Homebanking machen zu können, oder die Eingabe direkt PC und man die Möglichkeit hatte die Tan vorher abzugreifen um selbst dann diese nutzen zu können. Habs oben editiert.
Zuletzt bearbeitet:
Ähm... und was ist an den Lesegeräten dann irgendwie besonders?
Ich meine, es gibt dutzende an Kartensystemen, wenn dieses hier nichtmal ein eigenes Tastenfeld für die Key-Eingabe vorsieht, wofür brauch ich den sch**** dann, warum nicht gleich herkömmliche chipkarten einsetzen, wäre auch nicht teurer und wenigstens erprobte Technik...!?
Wenn man mich fragt ist das wiedermal purer Lobbyismus der Herstellerfirmen solcher Hardware... die einzigen die dabei was gewinnen sind die Hersteller...
Aber unsere Herren Politiker sind ja zu dusslich einfach mal jemanden zu fragen der sich auskennt (und nicht auf der Gehaltsliste einer Firma steht die daran verdienen will) wie den CCC zum Beispiel...
Ich meine, es gibt dutzende an Kartensystemen, wenn dieses hier nichtmal ein eigenes Tastenfeld für die Key-Eingabe vorsieht, wofür brauch ich den sch**** dann, warum nicht gleich herkömmliche chipkarten einsetzen, wäre auch nicht teurer und wenigstens erprobte Technik...!?
Wenn man mich fragt ist das wiedermal purer Lobbyismus der Herstellerfirmen solcher Hardware... die einzigen die dabei was gewinnen sind die Hersteller...
Aber unsere Herren Politiker sind ja zu dusslich einfach mal jemanden zu fragen der sich auskennt (und nicht auf der Gehaltsliste einer Firma steht die daran verdienen will) wie den CCC zum Beispiel...
Markus Everson
Grand Admiral Special
Wie kommst Du darauf das das (bezogen auf das Interface) keine gewöhnlichen Chipkarten sind?
Beerman
Commodore Special
- Mitglied seit
- 23.09.2003
- Beiträge
- 470
- Renomée
- 7
Finde auch das es ein bissken aufgebauscht wird das Thema...
Reicht es hier nicht evtl. die Pin per Bildschirmtastatur einzugeben? Evtl. reicht dann so auch ein Softwareupdate des Herstellers, der diese Funktion (Eingabe per Maus) nachrüstet.
Ich denke damit ist die Gefahr der "gewöhnlichen" Keylogger erst einmal gebannt
Reicht es hier nicht evtl. die Pin per Bildschirmtastatur einzugeben? Evtl. reicht dann so auch ein Softwareupdate des Herstellers, der diese Funktion (Eingabe per Maus) nachrüstet.
Ich denke damit ist die Gefahr der "gewöhnlichen" Keylogger erst einmal gebannt
CapJo
Admiral Special
Selbst wenn die Karten zu den üblichen Kartenlesern (HBCI) nicht kompatibel sein sollten, müsste sich dies durch ein Firmwareupdate des Kartenlesers lösen lassen.
Bildschirmtastaturen sind wohl etwas besser als Eingabe per Tastatur, aber keine Lösung, da die Pin ja immer noch über den PC zur Karte transportiert wird und abgefangen werden könnte. Ein Trojaner könnte den PC überwachen und auf die Passworteingabe per Bildschirmtastatur warten. Bildschirmtastaturen würden somit nur effizient gegen dumm Software- und Hardware-Keylogger helfen.
Ein Leser mit Tastatur ist wohl die beste Lösung. Ein zusätzliches Display am Leser würde, wenn es denn auch sinnvoll verwendet wird, die Sicherheit nochmal erhöhen.
Bildschirmtastaturen sind wohl etwas besser als Eingabe per Tastatur, aber keine Lösung, da die Pin ja immer noch über den PC zur Karte transportiert wird und abgefangen werden könnte. Ein Trojaner könnte den PC überwachen und auf die Passworteingabe per Bildschirmtastatur warten. Bildschirmtastaturen würden somit nur effizient gegen dumm Software- und Hardware-Keylogger helfen.
Ein Leser mit Tastatur ist wohl die beste Lösung. Ein zusätzliches Display am Leser würde, wenn es denn auch sinnvoll verwendet wird, die Sicherheit nochmal erhöhen.
Zuletzt bearbeitet:
Dalai
Grand Admiral Special
Wie soll das gehen, wenn der Ausweis ausschließlich per RFID (kontaktlos), HBCI-Karten ausschließlich kontaktbehaftet gelesen werden? Ich versteh grad nicht, worauf du hinaus willst.MfG Dalai
CapJo
Admiral Special
MfG Dalai
Das war natürlich Unsinn von mir ... hab mir den Ausweis nicht genauer angesehen und angenommen, dass da ein herkömmlicher Chip drauf wäre.
Aber egal wie die Daten vom Chip zum Leser kommen, das Problem mit der sicheren Eingabe der Pin bleibt bestehen. Seit jeher schon bekannt aber aktuell wieder neu aufgegriffen.
Was mir etwas Sorgen bereitet bei RIFD, ist einerseits die Reichtweite und andererseits die Haltbarkeit.
Einsatzgebiete gibt es ja doch einige ... Vermeidung vom Behördengängen wäre ein wichtiger Punkt.
Zuletzt bearbeitet:
Dalai
Grand Admiral Special
Tja, schön wär's... wobei: für die Haltbarkeit spricht ein herkömmlicher Chip nicht unbedingt. Schließlich soll der Ausweis 10 Jahre gültig sein - auf die Dauer übersteht wohl kein Chip die Ein-/Aussteckvorgänge während einer solchen Zeitdauer.
Stimmt.
Bei der Haltbarkeit sehe ich eindeutig RFID im Vorteil, weil das Ding keinen Kontakt braucht und somit physikalisch nicht abnutzt. Die Reichweite soll auf wenige Zentimeter begrenzt sein. Ob das in der Praxis einzuhalten ist, werden wir sehen.
MfG Dalai
Schön... ich warte schon auf die ersten Berichte von leuten bei denen der dumme Chip plötzlich nimmer funktioniert, nachdem sie über einen gut besuchten Weihnachtsmarkt gelaufen sind, wo ein Scherzkeks mit nem RFID-Zapper in der Jackentasche rumgelaufen ist... 
Wenn man sich so aneinander vorbei drücken muss, nunja...
Ein Lesegerät würds auch tun... nach dem Motto "wer war denn alles da?"....
Schöne neue digitale Welt...
Sollen sie lieber kontaktbasierte Chips nehmen und dann alle 3 Jahre nen neuen machen, ham wer unterm Strich mehr davon.
IMHO liegt der hauptnutzen von RFID darin die Anbeiter zu bereichern und uns der Kontrolle zu berauben.
Eigentlich kann man in dem Fall gleich auf die Karte verzichten und sich den Chip unter die Haut implantieren lassen, (Haus-)Tiere werden ja schließlich auch gechippt...
Wenn man sich so aneinander vorbei drücken muss, nunja...
Ein Lesegerät würds auch tun... nach dem Motto "wer war denn alles da?"....
Schöne neue digitale Welt...
Sollen sie lieber kontaktbasierte Chips nehmen und dann alle 3 Jahre nen neuen machen, ham wer unterm Strich mehr davon.
IMHO liegt der hauptnutzen von RFID darin die Anbeiter zu bereichern und uns der Kontrolle zu berauben.
Eigentlich kann man in dem Fall gleich auf die Karte verzichten und sich den Chip unter die Haut implantieren lassen, (Haus-)Tiere werden ja schließlich auch gechippt...
KGBerlin
Grand Admiral Special
- Mitglied seit
- 03.12.2007
- Beiträge
- 11.566
- Renomée
- 356
Falls ich mal so einen Auweis bekomme, wird meine Mikrowelle gleich ein schönes Loch einbrennen
Der ist mir aus versehen mit reingefallen^^
Soweit kommt es noch das ich als Sendestation durch die Gegend laufe.
Im Internet kann ich auch so einkaufen und in der freien Wildbahn sowieso.
Was ist eigentlich an den Gerüchten dran, daß der digitale Ausweis gleich mit der Krankenkassenkarte, Führerschein und Kreditkarte kombiniert und Bargeld, Girokonten usw. abgeschafft werden?
Das würde doch eine Menge erleichtern.
Der ist mir aus versehen mit reingefallen^^
Soweit kommt es noch das ich als Sendestation durch die Gegend laufe.
Im Internet kann ich auch so einkaufen und in der freien Wildbahn sowieso.
Was ist eigentlich an den Gerüchten dran, daß der digitale Ausweis gleich mit der Krankenkassenkarte, Führerschein und Kreditkarte kombiniert und Bargeld, Girokonten usw. abgeschafft werden?
Das würde doch eine Menge erleichtern.
Zuletzt bearbeitet:
Dalai
Grand Admiral Special
Und das zahlst du dann auch freiwillig? Ich halte diesen ganzen technischen Kram für Unfug. Zum Einkaufen im Internet ist das Teil unbrauchbar, weil man eh noch Kontodaten angeben muss - die nicht verifizierbar sind (mal von Bezahlung per Vorkasse/Rechnung abgesehen). Und Behördengänge mache ich weiterhin lieber offline, auch wenn man dafür teilweise ein wenig Zeit mitbringen muss.
Hier übrigens mal ein interessanter Artikel von ZDnet über den neuen Ausweis.
MfG Dalai
Markus Everson
Grand Admiral Special
Echt jetzt? Ist mir neu. Ich habe nur gehört das Neuwagen ab 2014 zwingend eine Schnittstelle zum nPA und einen RFID-Chip in der Stoßstange haben müssen.
In der Tat. Nie wieder Ärger mit zu spät abgebuchten Knöllchen oder Mautgebühren. Mal ganz abgesehen davon das der Chef einen nicht ständig mit der Frage nervt wo man am Mittwoch abend war..
Auch bei mir wird der neue Chip als erstes einem bedauerlichen Unfall zum Opfer fallen der glücklicherweise die Ausweisfunktion nicht beeinträchtigt.
-- schnipp --
Gesetz über Personalausweise und den elektronischen Identitätsnachweis
sowie zur Änderung weiterer Vorschriften*)
Vom 18. Juni 2009
Der Bundestag hat das folgende Gesetz beschlossen:
§ 28
(3) Störungen der Funktionsfähigkeit des elektronischen
Speicher- und Verarbeitungsmediums berühren
nicht die Gültigkeit des Personalausweises.
-- schnipp --
KGBerlin
Grand Admiral Special
- Mitglied seit
- 03.12.2007
- Beiträge
- 11.566
- Renomée
- 356