Signierprodukte haben Sicherheitslöcher - Digitale Unterschriften im Kreuzfeuer
(12.6.2001) An der Universität Bonn haben Forscher Sicherheitslücken in verschiedenen Signaturprodukten entdeckt. Die Software soll eigentlich einen sicheren Umgang mit digitalen Unterschriften im Internet gewährleisten, was die Bundesregierung erst im Mai gesetzlich geregelt hat. Obwohl inzwischen informiert, glänzte das zuständige Bundesamt durch Inaktivität, berichtet das IT-Magazin iX aus dem Heise-Verlag in der Ausgabe 7/01 (Erscheinungstermin 14. Juni).
Die Geburtsurkunde oder Baugenehmigungen übers Internet, bei der Bundestagswahl per Mausklick wählen: All das soll der Einsatz von digitalen Signaturen vor Manipulation schützen. Doch vorerst müssen diese Ansinnen als gescheitert gelten. Bereits im September 2000 konnten Forscher an der Uni Bonn einen so genannten Trojaner programmieren, der die Sicherheitsvorkehrungen bei verschiedenen Signierprodukten außer Kraft setzt. Der Computerschädling liest nicht nur die PIN-Nummer aus, sondern kann ein signiertes Dokument nachträglich manipulieren. Auch ein zertifiziertes Produkt konnte durch den eingeschleusten Schädling überlistet werden.
Die Wissenschaftler haben ihre Ergebnisse erstmals im Mai diesen Jahres auf einem Kongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorgestellt. Dort berichteten Adrian Spalka und Hanno Langweg, wie sie im Rahmen ihrer Forschungsarbeit die von der Deutschen Post AG und der Deutschen Telekom AG verwendete Software knacken konnten. In ihrem Test erwies sich nur ein einziges Produkt als resistent gegen einen Angriff.
Die Deutsche Post AG bat zunächst die Wissenschaftler, das Problem nicht zu veröffentlichen. Im Januar erfuhr die RegTP (Regulierungsbehörde für Post und Telekommunikation) von dem Vorfall und ergänzte Ende Februar ihre Webseiten um einen Warnhinweis. Das BSI hingegen hatte im Vorfeld seines Kongresses die Wissenschaftler aufgefordert, auf die Nennung der Post im Vortrag zu verzichten. Langweg und Spalka wollten sich darauf nicht einlassen, anschließend legte das BSI eine zuvor in Aussicht gestellte Kooperation auf Eis. Gegenüber iX verweigerte das Bundesamt jegliche Stellungnahme.
siehe auch:
- iX - Heise-Verlag
- "Verschlüsselung und digitale ID" sowie "sicheres Internet" bei GLOSSAR.de
- BSI - Bundesamt für Sicherheit in der Informationstechnik
- RegTP - Regulierungsbehörde für Post und Telekommunikation
- Meldung vom 5.6.2001: Startschuss für Leitprojekt zur elektronischen Vergabe
- Meldung vom 5.5.2001: eGovernmentArea - Neues Kompetenzzentrum für die öffentliche Verwaltung auf der SYSTEMS
- Meldung vom 27.4.2001: Virtuelle Rathäuser bleiben vorerst Zukunftsmusik
- "Bauplattformen" bei BAULINKS.de
- "Internet-News incl. 'Bauportale'" im AEC.WEB