Hacker weist Sicherheitsmängel im Online-Ausweisverfahren nach

Personalausweis mit Online-Funktion (Archiv)

Hacker weist Sicherheitsmängel im Online-Ausweisverfahren nach

Berlin () – Ein Hacker hat eine Sicherheitslücke im deutschen Online-Ausweisverfahren eID aufgedeckt. In einem Demonstrationsvideo, über das der „Spiegel“ berichtet, eröffnete er unter fremden Namen ein Konto bei einer großen deutschen Bank.

Dazu nutzte der Hacker, der unter dem Pseudonym „CtrlAlt“ auftritt, eine eigens entwickelte, der offiziellen AusweisApp nachempfundene App. Mit dieser konnte er die LogIn-Daten für das Ausweisverfahren abgreifen.

Die sogenannte eID-Funktion des deutschen Personalausweises ist aktuell bei rund 56 Millionen Personalausweisbesitzern aktiviert. Sie dient als Grundlage für digitale Behördengänge und wird auch zur Identifizierung bei Banken, Sparkassen und Krankenkassen genutzt. Die Bundesregierung bewirbt das Verfahren als „sicher, einfach, digital“. Die persönlichen Daten von Nutzern seien „immer zuverlässig vor Diebstahl und Missbrauch geschützt“.

Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), bestätigt, dass „CtrlAlt“ einen neuralgischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt hat. „Das ist ein realistisches Angriffszenario“, sagte er. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene Ausweisapp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.

„CtrlAlt“, der sich selbst als erfahrenen Sicherheitsforscher bezeichnet, hat das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember über seine Erkenntnisse informiert. In einer E-Mail der Behörde an ihn hieß es, sein Papier sei „technisch in nahezu jedem Aspekt korrekt“.

Dem „Spiegel“ teilte das BSI auf Anfrage mit, dass man keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“ sehe. Der von „CtrlAlt“ beschriebene Hack betreffe aus Sicht der Behörde nicht den Kern von Software und Hardware der eID, sondern setze erfolgreiche Attacken außerhalb des Onlineausweises voraus: Aus Sicht des BSI handele es sich damit nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer. Man werde aber eine „Anpassung prüfen“.

Siehe auch:  Brandenburgs Wirtschaftsminister übt scharfe Kritik an Elon Musk
Text-/Bildquelle: Übermittelt durch www.dts-nachrichtenagentur.de
Bildhinweis: Personalausweis mit Online-Funktion (Archiv)

Zusammenfassung

  • Hacker entdeckt Sicherheitslücke im deutschen Online-Ausweisverfahren eID
  • Eröffnete Konto bei großer deutscher Bank unter fremdem Namen
  • Nutzte eigens entwickelte App, um LogIn-Daten abzugreifen
  • eID-Funktion bei 56 Millionen Personalausweisbesitzern aktiviert
  • Linus Neumann vom Chaos Computer Club bestätigt realistisches Angriffszenario
  • Bundesamt für Sicherheit in der Informationstechnik hält Änderungen der Risikobewertung für unnötig

Fazit

Ein Hacker hat eine Sicherheitslücke im deutschen Online-Ausweisverfahren eID entdeckt und damit unter fremdem Namen ein Konto bei einer großen deutschen Bank eröffnet. Die eID-Funktion des deutschen Personalausweises ist bei rund 56 Millionen Personalausweisbesitzern aktiviert und dient als Grundlage für digitale Behördengänge sowie zur Identifizierung bei Banken, Sparkassen und Krankenkassen. Der Hacker informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits Ende Dezember über seine Erkenntnisse. Das BSI sieht keinen Anlass für eine Änderung der Risikobewertung beim Einsatz der eID, will aber eine Anpassung prüfen.

Deutsche Textservice Nachrichtenagentur GmbH
Letzte Artikel von Deutsche Textservice Nachrichtenagentur GmbH (Alle anzeigen)