Hacker deckt Sicherheitslücke im Online-Personalausweis auf: Risiken der eID-Funktion enthüllt

Online-Personalausweis: Hacker spürt Sicherheitslücke auf

Ein Hacker hat mithilfe einer eigenen App eine Sicherheitslücke in der eID-Funktion des Online-Personalausweises entdeckt. Statt der vorgeschriebenen AusweisApp nutzte er seine eigene Anwendung um Login-Daten für die eID-Funktion zu erhalten und damit unrechtmäßig ein Bankkonto zu eröffnen.



Der Online-Personalausweis: Digitale Identität für Behördengänge und Co.


Die eID-Funktion des Online-Personalausweises soll den Personalausweis ebenfalls für die digitale Welt nutzbar machen. Mit einem Chip in der Ausweiskarte können Behördengänge geschäftliche Transaktionen im Internet und Identifizierungsvorgänge bei Banken schnell und einfach erledigt werden. Rund 50 Millionen Personen haben die eID-Funktion aktiviert.



Sicherheit auf dem Prüfstand: Hacker entlarvt Schwachstelle


Trotz Beteuerungen des Bundesministeriums des Inneren und für Heimat (BMI), dass die persönlichen Daten vor Diebstahl und Missbrauch geschützt seien, konnte der Hacker eine Schwachstelle im System aufdecken. Bereits Ende letzten Jahres informierte er das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber. Auch der Chaos Computer Club (CCC) bestätigte das Angriffsszenario als realistisch.



CCC warnt vor potenziellen Risiken


Der Hacker stieß auf eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten was laut CCC ein realistisches Angriffsszenario darstellt. Es besteht die Gefahr, dass nicht autorisierte Apps sich für eID-Authentifizierungen registrieren und in den Prozess eingreifen können. Trotzdem sah das BSI keine unmittelbare Notwendigkeit die Risikobewertung für die eID zu ändern.



Es bleibt abzuwarten, ebenso wie die Behörden auf die Sicherheitslücke reagieren und welche Maßnahmen ergriffen werden um die Online-Identität der Bürger zu schützen.






Kommentare


Anzeige