E-Ausweis: Kontoeröffnung auf falschen Namen und mehr möglich

Die Online-Funktionen des Personalausweises haben offenbar eine schwe­re Sicherheitslücke. Ein Hacker demonstrierte gegenüber dem Nach­rich­ten­ma­ga­zin Der Spiegel, wie er online ein Konto bei einer großen deutschen Bank unter fremdem Namen anlegte.
Regierung, Bsi, Bundestag, Personalausweis, Bundesrat, Elektronischer Personalausweis, E-ID
Bundesamt für Sicherheit in der Informationstechnik

Identität ist weg

Die Eröffnung eines Bankkontos gehört zu den Paradebeispielen für den Einsatz der digitalen Funktionen des Personalausweises. So muss man nicht mehr länger in der Filiale oder per Video-Ident die eigene Identität nachweisen, sondern kann einfach den Ausweis zusammen mit dem Smartphone verwenden und sich legitimieren.

Durch die Nutzung falscher Identitäten können auch andere Dienste in Anspruch genommen werden, bei denen man sich gegenüber dem Anbieter ausweisen muss. So kann man sich beispielsweise auch die persönlichen Daten anderer Menschen bei der Rentenversicherung ansehen.


Der Hacker, der in dem Fall unter dem Pseudonym "CtrlAlt" auftritt, legte der Spiegel-Redaktion auch eine ausführliche Dokumentation über die Schwachstelle vor, die er ausnutzte. "Ich war überrascht, wie einfach sich das System kompromittieren ließ", erklärte er. Seine Motivation für die tiefgehende Untersuchung des Systems begründete er damit, dass er die digitalen Ausweisfunktionen selbst nutze.

BSI wiegelt ab

Die Dokumentation soll auch der zuständigen Sicherheitsbehörde zugeschickt worden sein - also wohl dem BSI. Wie die Sache im Detail funktioniert, wurde nicht komplett öffentlich gemacht. Der Hacker nutzte aber Teile des Open-Source-Quellcodes der AusweisApp, um eine eigene Fake-Anwendung zu entwickeln, die anderen Nutzern untergeschoben wird. Wenn diese nun Personalausweisfunktionen über ihr Smartphone nutzen, kann die sechsstellige PIN abgegriffen und in Verbindung mit anderen ausgeleiteten Daten vom Angreifer genutzt werden.

Beim BSI sieht man die Sache allerdings nicht als dramatisches Problem an. Ähnliche Angriffe wurden demnach auch schon in der Vergangenheit beschrieben. In der Praxis wurden bisher aber noch keine Fälle bekannt. Das Problem liegt hier letztlich auch nicht unbedingt in technischen Schwächen der Ausweis-Infrastruktur, sondern darin, dass Nutzer Malware auf ihre Geräte laden, wenn sie nicht aufpassen. Das ist letztlich kaum vollständig zu verhindern. Allerdings ließe sich durchaus sicherstellen, dass nur die echte AusweisApp mit dem jeweiligen Dienst kommunizieren kann.

Zusammenfassung
  • Hacker nutzt Sicherheitslücke bei Online-Ausweisfunktionen
  • Kontoeröffnung bei Bank unter fremdem Namen online möglich
  • Falsche Identitäten ermöglichen Zugriff auf diverse Dienste
  • Hacker "CtrlAlt" präsentiert Dokumentation der Schwachstelle
  • BSI informiert, Details der Methode nicht öffentlich gemacht
  • Eigene Fake-App fängt PIN und Daten von Nutzern ab
  • BSI stuft Risiko als nicht dramatisch ein, da ähnliche Fälle bekannt

Siehe auch:
Thema:
Sicherheitslücken
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Internet Security Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Christian Kahle
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!