Deutscher Personalausweis ermöglichte Identitätsklau

dj

22.11.2018

Dank einer Sicherheitslücke konnte man sich online etwa als «Erika Mustermann» ausgeben.
Keystone

Sicherheitslücke: In der Online-Funktion des deutschen Personalausweises konnte man eine völlig neue Identität annehmen.

Seit 2010 ist der deutsche Personalausweis mit einem RFID-Chip ausgestattet, mit dessen Hilfe sich der Besitzer etwa bei bei Web-Diensten von Behörden oder Versicherungen vermeintlich sicher identifizieren kann. Zur Nutzung ist allerdings noch ein extra Lesegerät anzuschaffen – einer der Gründe, warum der Dienst bisher unter den Deutschen kaum Anklang gefunden hat.

Nun wurde auch noch eine Sicherheitslücke beim eID-Dienst des Personalausweis festgestellt, die es Angreifern ermöglichen soll, sich gegenüber Web-Diensten unter einem falschen oder ganz fiktiven Namen auszuweisen.

Authentifizierung manipuliert

Die Sicherheitsfirma SEC Consult will es geschafft haben, den Authentifizierungsprozess zwischen der Software auf dem Computer des Bürgers und dem Server des Web-Dienstes zu manipulieren. Bei der von vielen Diensten genutzten Komponente Autent SDK des IT-Dienstleisters Governikus sei es möglich, echte Identitätsdaten mit falschen zu vermischen und so einen Web-Dienst über die eigene Person zu täuschen. Ein YouTube-Video demonstriert den Angriff:

SEC Consult hat im Juli die deutschen Behörden informiert, und ein entsprechendes Update wurde bereits verteilt. Governikus sagte golem.de, der Angriff sei in der Praxis gar nicht durchführbar gewesen, da SEC Consult für seine Demonstration eine Probe-Anwendung genutzt habe. In einer eigenen Stellungnahme am 23. November ergänzte Governikus, dass in der Praxis von den Anbietern weitere Sicherheitsmassnahmen implementiert werden sollen, die SEC Consult nicht berücksichtigt habe.

Bilder des Tages

Zurück zur Startseite