Ein Hacker hat eine Sicherheitslücke im deutschen Online-Ausweisverfahren eID aufgedeckt. In einem Demonstrationsvideo, über das der „Spiegel“ berichtet, eröffnete er unter fremden Namen ein Konto bei einer großen deutschen Bank.
Dazu nutzte der Hacker, der unter dem Pseudonym „CtrlAlt“ auftritt, eine eigens entwickelte, der offiziellen AusweisApp nachempfundene App. Mit dieser konnte er die LogIn-Daten für das Ausweisverfahren abgreifen.
Die sogenannte eID-Funktion des deutschen Personalausweises ist aktuell bei rund 56 Millionen Personalausweisbesitzern aktiviert. Sie dient als Grundlage für digitale Behördengänge und wird auch zur Identifizierung bei Banken, Sparkassen und Krankenkassen genutzt. Die Bundesregierung bewirbt das Verfahren als „sicher, einfach, digital“. Die persönlichen Daten von Nutzern seien „immer zuverlässig vor Diebstahl und Missbrauch geschützt“.
Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), bestätigt, dass „CtrlAlt“ einen neuralgischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt hat. „Das ist ein realistisches Angriffszenario“, sagte er. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene Ausweisapp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.
„CtrlAlt“, der sich selbst als erfahrenen Sicherheitsforscher bezeichnet, hat das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember über seine Erkenntnisse informiert. In einer E-Mail der Behörde an ihn hieß es, sein Papier sei „technisch in nahezu jedem Aspekt korrekt“.
Dem „Spiegel“ teilte das BSI auf Anfrage mit, dass man keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“ sehe. Der von „CtrlAlt“ beschriebene Hack betreffe aus Sicht der Behörde nicht den Kern von Software und Hardware der eID, sondern setze erfolgreiche Attacken außerhalb des Onlineausweises voraus: Aus Sicht des BSI handele es sich damit nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer. Man werde aber eine „Anpassung prüfen“.