Eine neu aufgedeckte Sicherheitslücke beim elektronischen Personalausweis erlaubt es Angreifern sich gegenüber anderen Webseiten mit der Identität ihrer Opfer auszuweisen. Dies ist ein erneuter Rückschlag für die Sicherheit des ePerso: Pirat Jan Schejbal wies bereits im November 2010, kurz nach Einführung des ePerso, die Unsicherheit der dazugehörigen AusweisApp nach (die Flaschenpost berichtete). Im Januar diesen Jahres demonstrierte er eine Möglichkeit, mit der Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN aber noch der Zugriff auf den Ausweis selbst nötig ist, konnte durch diese Lücke allein der Ausweis noch nicht missbraucht werden. Jetzt hat Schejbal eine Möglichkeit entdeckt, wie ein Angreifer gleichzeitig zum PIN-Diebstahl auch auf das Lesegerät, und somit direkt auf den Ausweis eines Nutzers zugreifen kann. Wegen der über den ePerso erfolgten Identifizierung wäre es für das Opfer sehr schwer, den Betrug vor Gericht nachzuweisen.
Der Angriff nutzt eine Funktion des Browser-Plugins “OWOK”, das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. »Das Plugin gehört zu einem der sogenannten “Starter-Kits”, mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden«, so Jan Schejbal. »Ich gehe aber davon aus, dass auch andere Plugins betroffen sind.« Die technischen Details, sowie ein Video des Angriffs hat Jan Schejbal in seinem Blog veröffentlicht. Die Piratenpartei befürchtet, dass der ePerso genutzt werden könnte, um eine Klarnamenpflicht im Internet durchzusetzen. Innenminister Friedrich (CSU) forderte eine solche Pflicht am gestrigen Sonntag gegenüber dem SPIEGEL. Axel E. Fischer (CDU), Vorsitzender der Enquête-Kommission Internet und digitale Gesellschaft, erhob im November 2010 dieselbe Forderung und schlug explizit vor, sie mit Hilfe des ePersos durchzusetzen. »Wir halten die Möglichkeit, sich anonym oder pseudonym zu äußern, für einen wichtigen Pfeiler der Meinungsfreiheit«, erklärt Sebastian Nerz, Vorsitzender der Piratenpartei Deutschland. »Wie die neue Sicherheitslücke des ePersos erneut beweist, wäre ein Klarnamengebot aber nicht nur politisch gefährlich, sondern auch unsinnig. Technisch versierte Nutzer werden immer Möglichkeiten finden, den Behörden einen Schritt voraus zu sein. Statt Meinungsfreiheit für alle hätten wir dann eine Klassengesellschaft: Wer die Lücken findet, benutzt die Identität anderer, wer sich nicht gut genug auskennt, ist der Dumme. Oder man veröffentlicht einfach im Ausland: Das Internet kennt keine klassischen Landesgrenzen.«