Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer Hacker weist Sicherheitsmängel im Online-Ausweisverfahren nach

Hacker weist Sicherheitsmängel im Online-Ausweisverfahren nach

Archivmeldung vom 16.02.2024

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 16.02.2024 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Mary Smith
Hacker
Hacker

Foto von Sora Shimazaki von Pexels

Ein Hacker hat eine Sicherheitslücke im deutschen Online-Ausweisverfahren eID aufgedeckt. In einem Demonstrationsvideo, über das der "Spiegel" berichtet, eröffnete er unter fremden Namen ein Konto bei einer großen deutschen Bank. Dazu nutzte der Hacker, der unter dem Pseudonym "CtrlAlt" auftritt, eine eigens entwickelte, der offiziellen AusweisApp nachempfundene App. Mit dieser konnte er die LogIn-Daten für das Ausweisverfahren abgreifen.

Die sogenannte eID-Funktion des deutschen Personalausweises ist aktuell bei rund 56 Millionen Personalausweisbesitzern aktiviert. Sie dient als Grundlage für digitale Behördengänge und wird auch zur Identifizierung bei Banken, Sparkassen und Krankenkassen genutzt. Die Bundesregierung bewirbt das Verfahren als "sicher, einfach, digital". Die persönlichen Daten von Nutzern seien "immer zuverlässig vor Diebstahl und Missbrauch geschützt". Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), bestätigt, dass "CtrlAlt" einen neuralgischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt hat. "Das ist ein realistisches Angriffszenario", sagte er. "Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene Ausweisapp im Handy für eID-Authentifizierungen registrieren und einklinken kann". 

"CtrlAlt", der sich selbst als erfahrenen Sicherheitsforscher bezeichnet, hat das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember über seine Erkenntnisse informiert. In einer E-Mail der Behörde an ihn hieß es, sein Papier sei "technisch in nahezu jedem Aspekt korrekt". Dem "Spiegel" teilte das BSI auf Anfrage mit, dass man keinen Anlass für eine "Änderung der Risikobewertung beim Einsatz der eID" sehe. Der von "CtrlAlt" beschriebene Hack betreffe aus Sicht der Behörde nicht den Kern von Software und Hardware der eID, sondern setze erfolgreiche Attacken außerhalb des Onlineausweises voraus: Aus Sicht des BSI handele es sich damit nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer. Man werde aber eine "Anpassung prüfen".

Quelle: dts Nachrichtenagentur

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte frag in folgendes Feld um den Spam-Filter zu umgehen

Anzeige