Mittels eigener App erlangte ein Hacker Login-Daten für die eID-Funktion beim Online-Personalausweis. Er informierte das BSI.
Statt der eigentlich zu verwendenden AusweisApp, nutzte ein Hacker eine selbst entwickelte App. Damit gelang es ihm, Login-Daten der eID-Funktion vom Online-Personalausweis für seine Zwecke zu nutzen. Gemäß Spiegel-Information eröffnete er damit unter fremdem Namen ein Konto bei einer großen Bank.
Die Online-Personalausweis-eID-Funktion ist gemäß dem Bericht bei ca. 50 Millionen Besitzern aktiviert. Mit der Online-Funktion soll sich der Personalausweis auch für die digitale Welt eignen. Der Chip in der Ausweiskarte ermöglicht es dabei laut BMI, „Behördengänge und geschäftliche Angelegenheiten einfach und schnell im Internet und an Automaten beziehungsweise Bürgerterminals“ abzuwickeln. Darunter findet er zudem zur Identifizierung bei Banken Verwendung.
Sicherheit von Online-Personalausweis auf Prüfstand
In einem Online-Beitrag weist das Bundesministerium des Inneren und für Heimat (BMI) noch darauf hin, dass bei dem Verfahren persönliche Daten „immer zuverlässig vor Diebstahl und Missbrauch geschützt“ seien. In der Praxis bestätigte sich diese These nun allerdings nicht. Bereits Ende letzten Jahres, am 31. Dezember, informierte der auch unter dem Pseudonym „CtrlAlt“ bekannte Hacker das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine diesbezügliche Schwachstelle.
CtrlAlt deckte dabei auf, dass die Methode mittels eigener App angreifbar sei. Eine Schwachstelle ermöglichte es ihm immerhin, bei einer großen Bank, ein Konto auf fremden Namen einzurichten. Laut Spiegel-Bericht sah das BSI allerdings in Mitteilung des Hackers keine Notwendigkeit, eine „Änderung der Risikobewertung beim Einsatz der eID“ vorzunehmen. Schließlich erfolgte der Angriff nicht auf das Online-Personalausweis-eID-System. Vielmehr zielte dieser auf die User-Endgeräte. Prüfen werde man aber dennoch eine Anpassung.
CCC weist auf realistisches Angriffsszenario hin
Eine Bestätigung des erfolgreichen Hack-Angriffs erhielt der Spiegel auch vom Chaos Computer Club (CCC). Ein CCC-Sprecher wies darauf hin, der Hacker hätte einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgedeckt. Er führte aus, dies sei „ein realistisches Angriffsszenario“. Man müsse diesbezüglich verhindern, „dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.