computerwoche.de

Security

Sicherheit für den ePA-Ausweis

Personalausweis - Experten warnen

25.08.2010
Von 
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.
Alle Posts des Autors Email:

Nicht klar, was man tatsächlich signiert

Auch bei dieser Anwendung zum rechtsgültigen Signieren mit einer Smart Card ist das Problem, dass der Benutzer nicht sieht, was er tatsächlich signiert. Er hat alle Informationen nur auf dem Computerbildschirm. Diese können jedoch ebenfalls durch Schadsoftware auf dem PC manipuliert sein.

Porada beschreibt einen denkbaren Fall: "Sie wollen ein Word-Dokument signieren. Die Bürgerclient-Middleware hat eine Funktion, mit der dieses Word-Dokument an die Smartcard oder eben den Personalausweis geschickt wird." Hierbei muss der Anwender wieder seine PIN eingeben. Danach sind die Daten signiert. Das heißt, so wie die Daten an die Smartcard geschickt wurden, kommen sie wieder zusammen mit der Signaturprüfsumme zurück.

Das Problem ist aber, dass der Anwender eben nicht sieht, was er wirklich signiert. "Der User sieht auf seinem Bildschirm zwar das Dokument, die E-Mail oder was immer und signiert diese - wie er glaubt. Tatsächlich hat er aber etwas signiert, was ein Trojaner ihm untergeschoben hat," sagt der Sicherheitsberater. Wenn das dann eine Banküberweisung sei, könne das teuer werden. Auf dem Bildschirm sieht der Anwender das Word-Dokument. Signiert hat er aber etwas ganz anderes.

Unterbrochene Kommunikation: DLL-Hooking

Der Trojaner unterbricht bei diesem Vorgang den Kommunikationskanal (durch DLL-Hooking) zwischen dem Reader des Personalausweises und dem PC und unterlegt heimlich seine eigenen Daten. Die werden dann signiert. "Beweisen Sie einmal vor Gericht, das Sie eine Banküberweisung oder einen Kaufvertrag gar nicht signiert haben." Das Signaturgesetz jedenfalls sagt, das mit der Signatur ein rechtskräftiges Abkommen getroffen wurde und die Signatur einer Unterschrift gleichkommt.

Die Behörden kennen das Problem, für das es noch keine Lösungen gibt - anders als beim Online-Banking. Dort kann man den Reader mit einem Display und einem PIN-Pad ausstatten, dass jede Überweisung auf dem Reader anzeigt und dort noch mal bestätigt werden muss. Beim Online-Banking, bei dem nur ganz wenige Informationen wie PIN und TAN auf dem Display angezeigt werden müssen, geht das auch. "Wenn Sie aber große Dokumente signieren und dann auch anzeigen wollen auf einem Readerdisplay, brauchen sie schlicht größere Displays etwa für RFID-Reader wie für den Personalausweis." Die aber gibt es noch nicht in der Form, dass sie Angriffen mit Schadsoftware standhalten würden. Ein Handy mit seinem Display wäre beispielsweise - zumindest heute noch - nicht geeignet.