Online-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich

Ein Hacker hat eine Schwachstelle im eID-Verfahren des Personalausweises identifiziert, durch die Angreifer die Identität von Nutzern übernehmen und unter ihrem Namen digitale Behördengänge durchführen kann. Nötig ist dafür aber ein Zugriff auf das Smartphone, berichtet der Spiegel.

Der Hinweisgeber, der anonym bleibt, hat die Schwachstelle sowohl dem BSI als auch dem Spiegel gemeldet. Möglich ist der Angriff, indem auf das Smartphone des Opfers eine App installiert wird, die den sechsstelligen PIN-Code mitschneidet, den Nutzer der eID für den Login eingeben müssen. Das Smartphone ist also das Gerät, das die NFC-Schnittstelle auf dem Personalausweis ausliest.

Um den Angriff zu simulieren, passte der Hacker den Code der offiziellen Ausweis-App an, der öffentlich zugänglich ist. Mit der gefälschten App kann er sich nun in den Login-Prozess einklinken und bei weiteren eID-Diensten anmelden, ohne dass ein Opfer es merken würde.

BSI sieht Endgeräte als Schwachstelle – und nicht das eID-Verfahren

Damit der Angriff gelingen kann, muss sich ein Angreifer also zunächst Zugang zum Smartphone eines Opfers verschaffen. Selbst wenn das den Angriff deutlich erschwert, handele es sich um ein „realistisches Angriffsszenario“, sagt Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), dem Spiegel. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann“, so Neumann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt in einer Stellungnahme, den Hinweis ernst zu nehmen, doch bei diesem Szenario gehe es „nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen“. Vielmehr stehe das Endgerät der Nutzer im Fokus. Erforderlich sei ein mehrstufiger Angriff, bei dem das Gerät entweder vollständig kompromittiert werde oder die Anwender eine manipulierte App installieren müssen.

An der Risikobewertung der Online-Ausweisfunktion ändere sich daher nichts. Diese sei laut BSI „weiterhin die sicherste Möglichkeit für Bürgerinnen und Bürger, sich digital auszuweisen“. Man prüfe aber, mit welchen zusätzlichen Maßnahmen sich die Nutzung der Online-Ausweisfunktion noch sicherer gestalten lässt. Nutzern empfiehlt das BSI vor allem, die grundlegenden Sicherheitsstandards einzuhalten. Dazu zählt, aktuelle Software und Firmware zu verwenden und Apps nur aus vertrauenswürdigen Quellen zu installieren.

eID-Verfahren gewinnt an Bedeutung

Der Vorfall ist dennoch heikel, denn das eID-Verfahren ist eines der Kernelemente für die Digitalisierung der Verwaltung und Bürokratie. Zukünftig sollen Bürger immer mehr Vorgänge digital abwickeln können, die elektronische Identifizierung ist also entscheidend, damit sich ein Bürger authentifizieren kann.

Die Liste der Anwendungen, die mit einer eID nutzbar sind, wird immer länger. Der Bund führt derzeit 250 auf. Dazu zählen neben Verwaltungsvorgängen wie dem Anfordern eines Führungszeugnisses auch der Zugang zum Steuerportal Elster, Sparkassen-Apps oder die elektronische Patientenakte bei einer Sparkasse. Ebenso wird es für die Anmeldung zur BundID empfohlen, die künftig der Zugang ist, um zahlreiche Verwaltungsdienstleistungen nutzen zu können. Allein diese Beispiele verdeutlichen schon, welches Missbrauchspotenzial besteht, wenn das System kompromittiert wird.

Das eID-Verfahren gewinnt auch an Bedeutung. 2023 wurde es insgesamt rund 10 Millionen Mal verwendet, das ist doppelt so viel wie 2022. Insgesamt haben mittlerweile rund 56 Millionen Menschen in Deutschland einen Personalausweis mit eID, seit 2017 wird dieser automatisch mit der entsprechenden Funktion ausgestattet.

Hinweisgeber anonym wegen Hacker-Paragraf

Laut Spiegel wollte der Hinweisgeber anonym bleiben, weil er aufgrund des Hacker-Paragrafen strafrechtliche Konsequenzen befürchtet. Das Gesetz ist äußerst umstritten, die Bundesregierung will es aber entschärfen. Zuletzt sorgte eine Verurteilung eines IT-Sicherheitsexperten aber wieder für Aufsehen.