Online-Personalausweis: Hacker spürt Sicherheitslücke auf

A

Antonia Frank

Guest
Hacker verschafft sich Zugriff auf Online-Personalausweis-eID-Funktion

Mittels eigener App erlangte ein Hacker Login-Daten für die eID-Funktion beim Online-Personalausweis. Er informierte das BSI.

c4d8a3871cf04c36804eae9a0ac12516


Statt der eigentlich zu verwendenden AusweisApp, nutzte ein Hacker eine selbst entwickelte App. Damit gelang es ihm, Login-Daten der eID-Funktion vom Online-Personalausweis für seine Zwecke zu nutzen. Gemäß Spiegel-Information eröffnete er damit unter fremdem Namen ein Konto bei einer großen Bank.

Die Online-Personalausweis-eID-Funktion ist gemäß dem Bericht bei ca. 50 Millionen Besitzern aktiviert. Mit der Online-Funktion soll sich der Personalausweis auch für die digitale Welt eignen. Der Chip in der Ausweiskarte ermöglicht es dabei laut BMI, „Behördengänge und geschäftliche Angelegenheiten einfach und schnell im Internet und an Automaten beziehungsweise Bürgerterminals“ abzuwickeln. Darunter findet er zudem zur Identifizierung bei Banken Verwendung.

Sicherheit von Online-Personalausweis auf Prüfstand​


In einem Online-Beitrag weist das Bundesministerium des Inneren und für Heimat (BMI) noch darauf hin, dass bei dem Verfahren persönliche Daten „immer zuverlässig vor Diebstahl und Missbrauch geschützt“ seien. In der Praxis bestätigte sich diese These nun allerdings nicht. Bereits Ende letzten Jahres, am 31. Dezember, informierte der auch unter dem Pseudonym „CtrlAlt“ bekannte Hacker das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine diesbezügliche Schwachstelle.

CtrlAlt deckte dabei auf, dass die Methode mittels eigener App angreifbar sei. Eine Schwachstelle ermöglichte es ihm immerhin, bei einer großen Bank, ein Konto auf fremden Namen einzurichten. Laut Spiegel-Bericht sah das BSI allerdings in Mitteilung des Hackers keine Notwendigkeit, eine „Änderung der Risikobewertung beim Einsatz der eID“ vorzunehmen. Schließlich erfolgte der Angriff nicht auf das Online-Personalausweis-eID-System. Vielmehr zielte dieser auf die User-Endgeräte. Prüfen werde man aber dennoch eine Anpassung.

CCC weist auf realistisches Angriffsszenario hin​


Eine Bestätigung des erfolgreichen Hack-Angriffs erhielt der Spiegel auch vom Chaos Computer Club (CCC). Ein CCC-Sprecher wies darauf hin, der Hacker hätte einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgedeckt. Er führte aus, dies sei „ein realistisches Angriffsszenario“. Man müsse diesbezüglich verhindern, „dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.

Tarnkappe.info

Der Artikel Online-Personalausweis: Hacker spürt Sicherheitslücke auf erschien zuerst auf Tarnkappe.info

Lese weiter....
 

Über TV-Base.com

  • Willkommen bei TV-Base.com, dem Zentrum für Cardsharing und IPTV-Enthusiasten. Hier verbindet Leidenschaft für digitales Fernsehen Mitglieder aus aller Welt. Unser Forum bietet eine Plattform für Austausch, Wissen und Innovation. Egal ob Anfänger oder Experte, hier findet jeder Unterstützung und Inspiration. Treten Sie unserer Gemeinschaft bei und erkunden Sie die Zukunft des Fernsehens mit uns.

Quick Navigation

User Menu