E-Perso: Piraten warnen vor Phishing-Angriffen

+
Der neue Personalausweis.

Berlin - Ein Computerexperte der Piratenpartei warnt vor einem Phishing-Trick, mit dem Online-Kriminelle die PIN des neuen elektronischen Personalausweises ausspionieren können.

Die Masche ist einfach: Eine Website brauche dem Nutzer nur vorzugaukeln, dass sie die Identifizierungsfunktion des E-Perso aktiviert, erläuterte Piraten-Mitglied Jan Schejbal am Montag. Der Trick sei dann, eine gefälschte Anmeldemaske dem Äußeren der sogenannten AusweisApp nachzuempfinden. Der Nutzer denke, er melde sich mit Hilfe des Personalausweises an, das elektronische Dokument sei in Wirklichkeit aber gar nicht im Einsatz.

Als Beispiel wird der Angriff beim Anmeldevorgang auf der Webseite http://fsk18.piratenpartei.de simuliert. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bestritt auf Anfrage nicht, dass ein solches Szenario möglich sei. Es handele sich dabei um einen “klassischen Phishing-Trick“ und nicht um eine Schwachstelle des neuen Personalausweises oder der Software AusweisApp, betonte ein Sprecher.

Keinerlei Schaden durch Ausspähen der PIN

“Weitere Folgen hat das von Schejbal dargestellte Szenario für den Ausweisinhaber jedoch nicht.“ Allein dadurch, dass einem Angreifer die PIN bekannt sei, entstehe dem Ausweisinhaber noch keinerlei Schaden, “denn zur Nutzung der elektronischen Ausweisfunktion ist neben der Kenntnis der PIN auch der Zugriff auf den Ausweis selbst erforderlich“. Schejbal weist auch darauf hin, dass ein Nutzer sehen könne, ob der Personalausweis gerade aktiv ist.

Die AusweisApp habe bei angeschlossenem Lesegerät ein Chip-Symbol in der Taskleiste neben der Uhr, das bei aufgelegter Karte grün werde. “Ist die AusweisApp aktiv, wechselt es die Farbe zu Blau. Das ist ein weiteres Sicherheitsmerkmal, auf das man achten sollte“, schrieb er in seinem Blog. Vor dem Start des elektronischen Personalausweises im November hatte es bereits zahlreiche Diskussionen über mögliche Lücken und Angriffe gegeben.

Das BSI hatte wiederholt beteuert, dass der Ausweis auch bei Einsatz einfacher Lesegeräte ausreichend sicher sei. Bisher sind keine Attacken bekanntgeworden. dpa

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken, um Missbrauch zu vermeiden.

Die Redaktion

Kommentare

Unsere Kommentarfunktion wird über den Anbieter DISQUS gesteuert. Nutzer, die diesen Dienst nicht verwenden, können sich hier über das alte HNA-Login anmelden.

Hinweise zum Kommentieren:
In der Zeit zwischen 17 und 9 Uhr werden keine neuen Beiträge freigeschaltet.

Auf HNA.de können Sie Ihre Meinung zu einem Artikel äußern. Im Interesse aller Nutzer behält sich die Redaktion vor, Beiträge zu prüfen und gegebenenfalls abzulehnen. Halten Sie sich beim Kommentieren bitte an unsere Richtlinien: Bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht. Bitte halten Sie sich bei Ihren Beiträgen an das Thema des Artikels. Lesen Sie hier unsere kompletten Nutzungsbedingungen.

Die Kommentarfunktion unter einem Artikel wird automatisch nach drei Tagen geschlossen.