Ein Sicherheitsexperte schlägt Alarm: Eine Lücke in der Online-Ausweisfunktion des Personalausweises soll Identitätsdiebstahl und unberechtigte Kontoeröffnungen ermöglichen. Angreifer könnten die Identität eines Nutzers komplett übernehmen, heißt es.
eID: Sicherheitslücke bei Online-Ausweisfunktion
Ein Sicherheitsexperte hat nach eigenen Angaben eine gravierende Schwachstelle im deutschen eID-System entdeckt. Diese würden dem Identitätsdiebstahl Tür und Tor öffnen.
Ihm selbst sei es gelungen, über die Online-Ausweisfunktion die Identität einer anderen Person zu übernehmen. Damit habe er dann bei einer Deutschen Bank ein Konto eröffnet. Auch sei es möglich gewesen, Behördengänge in fremdem Namen digital zu erledigen.
Die entdeckte Schwachstelle soll es Angreifern ermöglichen, die Identität eines Nutzers komplett zu übernehmen, indem sie sowohl den Ausweis als auch die dazugehörige PIN in ihren Besitz bringen – ohne dass der eigentliche Besitzer etwas davon merkt. Das Fehlen einer echten Ende-zu-Ende-Verschlüsselung und die lückenhafte Validierung zwischen eID-Server und eID-Client machten das eID-Verfahren zu einem unsicheren Hafen für persönliche Daten.
Ein erfolgreicher Angriff setzt voraus, dass das Opfer eine schädliche App installiert. Diese könne als gefälschte Ausweis-App fungieren und unbemerkt sensible Daten abgreifen. Ein physischer Zugriff sei nicht notwendig, der Angriff könne aus der Ferne erfolgen (Quelle: CtrlAlt bei Medium).
Auch am Telefon können Gefahren lauern, wie unser Video zeigt:
Online-Ausweis: BSI bestätigt Sicherheitslücke
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Schwachstelle nach Angaben des Sicherheitsexperten bestätigt. Die Kritik des BSI, dass die Nutzer für die Sicherheit ihrer Geräte verantwortlich seien, weist er als unzureichend zurück. Er argumentiert, dass die Sicherheit nicht allein in den Händen der Nutzer liegen kann, insbesondere wenn die Schwachstellen im System selbst liegen.
