[ziesell]

Zitat:

Online-Ausweisfunktion: Schwachstelle in eID-Verfahren ermöglicht Identitätsklau

Durch die Schwachstelle können Angreifer im Namen fremder Personen beispielsweise Bankkonten eröffnen oder digitale Behördengänge durchführen.



Die Online-Ausweisfunktion des Personalausweises mit eID ist offenbar doch nicht so sicher, wie deutsche Behörden dies vermitteln wollen. Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.

Genau vor solchen Fällen sollte das eID-Verfahren eigentlich schützen. "Ihre persönlichen Daten sind dabei immer zuverlässig vor Diebstahl und Missbrauch geschützt", schreibt das BMI im Hinblick auf die Verwendung der Online-Ausweisfunktion. "Ihre Ausweisdaten werden immer Ende-zu-Ende-verschlüsselt übermittelt und können daher nicht abgefangen oder eingesehen werden", betont das Ministerium außerdem.

Durch eine Sicherheitslücke im eID-Verfahren können Angreifer aber offenkundig doch die Identität anderer Nutzer annehmen und in ihrem Namen digitale Behördengänge durchführen sowie die auf dem Ausweis gespeicherten persönlichen Daten auslesen.

Sicherheitslücke ermöglicht MitM-Angriffe

Möglich macht dies eine als CVE-2024-23674 registrierte und mit einem CVSS von 9,7 als kritisch bewertete Schwachstelle. CtrlAlt hat dieser den Namen Space verliehen, was für "Spoofing Password Authenticated Connection Establishment" steht. In einem Blogbeitrag erklärt der Sicherheitsforscher, die Sicherheitslücke ermögliche es Angreifern, skalierbare Man-in-the-Middle-Attacken (MitM) auszuführen.

Der Angriff erfordere keine besonderen Berechtigungen und könne aus der Ferne ausgeführt werden. Durch die unzureichende Entkopplung der beiden Authentifizierungsfaktoren (physischer Besitz des Ausweises sowie das Wissen der Pin) sei es Angreifern möglich, beide Faktoren gleichzeitig zu kompromittieren. Obendrein gebe es keine wirksamen Mechanismen zur Validierung der Endpunkte zwischen dem eID-Server und dem eID-Client.

"Insbesondere fehlt dem eID-System eine echte Ende-zu-Ende-Verschlüsselung, da die Pin-Eingabe an einem ungesicherten Endpunkt erfolgt", so der Forscher. Technische Details hat CtrlAlt in einem 16-seitigen Paper veröffentlicht.

Angriff erfolgt über eine bösartige App

Für einen erfolgreichen Angriff muss der Angreifer sein Opfer allerdings dazu bringen, eine bösartige App oder ein Update für eine bestehende Anwendung zu installieren, die dann als gefälschte Ausweis-App fungiert. Laut CtrlAlt kann dies über einen der offiziellen App-Stores erfolgen. Das ist auch ein Kritikpunkt des BSI, das die Schwachstelle dem Forscher gegenüber bestätigte. Die Gewährleistung einer sicheren Betriebsumgebung auf der Client-Seite sei eine Verpflichtung des Personalausweisinhabers, so die Behörde.

Der Forscher hält jedoch dagegen: "Es ist unverantwortlich, die Verantwortung für die Sicherheit allein auf die Benutzer zu übertragen", erklärt er. Die Antwort des BSI sei im Grunde eine Bestätigung dafür, dass die Sicherheit des eID-Verfahrens im Wesentlichen von jener der Client-Seite abhänge. Das Sicherheitsniveau werde durch das schwächste Glied in der Kette bestimmt, das in diesem Zusammenhang das Endgerät des Anwenders sei. Dass andere Komponenten des Systems ein höheres Sicherheitsniveau aufwiesen, sei im Falle eines Angriffs aber irrelevant.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]