Sonntag, Dezember 29, 2024
spot_img
StartNachrichtenHacker weist Sicherheitsmängel im Online-Ausweisverfahren nach

Hacker weist Sicherheitsmängel im Online-Ausweisverfahren nach

Berlin (dts Nachrichtenagentur) – Ein Hacker hat eine Sicherheitslücke im deutschen Online-Ausweisverfahren eID aufgedeckt. In einem Demonstrationsvideo, über das der „Spiegel“ berichtet, eröffnete er unter fremden Namen ein Konto bei einer großen deutschen Bank.

Dazu nutzte der Hacker, der unter dem Pseudonym „CtrlAlt“ auftritt, eine eigens entwickelte, der offiziellen AusweisApp nachempfundene App. Mit dieser konnte er die LogIn-Daten für das Ausweisverfahren abgreifen.

Die sogenannte eID-Funktion des deutschen Personalausweises ist aktuell bei rund 56 Millionen Personalausweisbesitzern aktiviert. Sie dient als Grundlage für digitale Behördengänge und wird auch zur Identifizierung bei Banken, Sparkassen und Krankenkassen genutzt. Die Bundesregierung bewirbt das Verfahren als „sicher, einfach, digital“. Die persönlichen Daten von Nutzern seien „immer zuverlässig vor Diebstahl und Missbrauch geschützt“.

Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), bestätigt, dass „CtrlAlt“ einen neuralgischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt hat. „Das ist ein realistisches Angriffszenario“, sagte er. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene Ausweisapp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.

„CtrlAlt“, der sich selbst als erfahrenen Sicherheitsforscher bezeichnet, hat das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember über seine Erkenntnisse informiert. In einer E-Mail der Behörde an ihn hieß es, sein Papier sei „technisch in nahezu jedem Aspekt korrekt“.

Dem „Spiegel“ teilte das BSI auf Anfrage mit, dass man keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“ sehe. Der von „CtrlAlt“ beschriebene Hack betreffe aus Sicht der Behörde nicht den Kern von Software und Hardware der eID, sondern setze erfolgreiche Attacken außerhalb des Onlineausweises voraus: Aus Sicht des BSI handele es sich damit nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer. Man werde aber eine „Anpassung prüfen“.


Foto: Personalausweis mit Online-Funktion (Archiv), via dts Nachrichtenagentur

Foto/Quelle: dts

UNITEDNETWORKER
UNITEDNETWORKER
Der UNITEDNETWORKER akribisch recherchierte Informationen über Gründer und Startups. Neben Porträts junger Unternehmer und erfolgreicher Startups und deren Erfahrungen liegt der Fokus auf KnowHow von A bis Z sowohl für Gründer, Startups und Interessierte. Wir begleiten, Startups von der Gründungsphase bis zum erfolgreichen Exit.

UNITEDNETWORKER NEWSLETTER

ABONNIERE jetzt unseren kostenlosen Newsletter und erhalte Regelmäßig die wichtigsten Tipps für deine Karriere bequem per eMail in dein Postfach!

spot_img
spot_img
spot_img
spot_img
spot_img
spot_img

Neueste Beiträge

Das könnte dir auch gefallen!