News Online-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich

[rzweinig]

Was macht das denn jetzt für eine Unterschied. Wenn der Angreifer beide Faktoren der Online-Banking-Funktion knackt, kann er ja selber Überweisungen ausführen, und die Faktoren liegen beim Online-Banking genau wie bei der Ausweisapp wahlweise bei "Computer"+Einzelzweckgerät oder bei "Computer"+Smartphone. Ich seh den Unterschied nicht

Der Unterschied ist E-ID du warst es gerichtsfest und nicht anfechtbar "weil nicht knackbar" laut BSI und kommst da nicht mehr raus.
Aufwand dafür scheinbar 0, denn benutzt du eID nach einer Installation einer präparierten App aus dem Appstore auf dem smartphone, wird ALLES Notwendige geloggt was du brauchst und kan ab da Fremd genutzt werden für wirklich relavante Sachen wie Kontoeröffnung. Die orignal App ist hierbei auch auf einem ungebrchen System überhaupt nicht geschützt so wie Banking Apps.

Oder B Überweisung die musst du eh tun im echten Antragsfall. Es besteht hierfür ein echtes berechtigtes Interesse.
Um es zu misbrauchen musst du 1. einen Behörden-Antrag machen 2. deine Konto Daten auslesen 3. nocht dein MFA Entgerät kompromitieren(das ist aber komplizierter als die eID auszulesen und bei eID bekommst du gleich alles zusammen was du brauchst) oder in dem Moment dich sozial "hacken" , und der ganze Aufwand wofür? Das dein polizeiliches Führungszeugnis in den nächsten 2 wochen an deine Meldeadresse per Brief gesendet wird? oder das du ein numern schild bei der KFZ behörde abholen kannst?

Also schlicht es get darum festzustelen E-ID mag net sein ist aber nicht sicher!
Ist das allen Beteiligten klar und wird dadruch nicht mehr für Kontoeröffnung akzeptiert sondern nur noch für unwichtige Anträge gerne neben anderen Möglichkeiten ist alles gut.
Die Behörden brauchen aber halt gar kein "sicheres Verfahren" schon weil die eigentlich Datenübermitlung dann komplett unsicher ist (Post). Für den Antrag ist Sichere identifkation nict notwendig nur danach das Aushändigen/Umsetzen ist der Kitische Punkt auf dem es ankommt.

 

[MountWalker]

Der Unterschied ist E-ID du warst es gerichtsfest und nicht anfechtbar "weil nicht knackbar" laut BSI und kommst da nicht mehr raus.

Also wenn sich jemand als mich bei der Kontoeröffnung mit Online-Banking-Überweisung ausweist, komme ich da wieder raus?

Die orignal App ist hierbei auch auf einem ungebrchen System überhaupt nicht geschützt so wie Banking Apps.

Also wenn die AusweisApp2 genauso "geschützt" wird, wie die BestSign-App auf meinem Smartphone, ist alles schick?

Oder B Überweisung die musst du eh tun im echten Antragsfall. Es besteht hierfür ein echtes berechtigtes Interesse.
Um es zu misbrauchen musst du 1. einen Behörden-Antrag machen

Da komm ich gerade nicht mit, also, weil ich eID ja nicht nutzen soll, brauche ich also eine Behördenantrag, für den ich sechs Wochen im Voraus und zwar auf den Tag genau sechs Wochen im Voraus einen Amtstermin buchen und einen Tag Urlaub nehmen muss (wohne in einer Großstadt) und so weiter?

2. deine Konto Daten auslesen

Jaja, meine Ausweisdaten auslesen

3. nocht dein MFA Entgerät kompromitieren(das ist aber komplizierter als die eID auszulesen und bei eID bekommst du gleich alles zusammen was du brauchst)

Wiewoowä Wie ist es komplizierter bei der BestSign-App aus dem Playstore? Ich mein Apples to Apples, sowohl OnlineBanking als auch AusweisApp beiten beide Möglichkeiten - zweiter Faktor kann auf Smartphone sein, kann aber auch über Einzelzweckgerät bereitgestellt werden für Leute, die sich jede Waldundwiesenäpp installieren.

Warum soll es jetzt nochmal sicherer sein, ein Konto zu eröffnen während man sich über die Überweisung ausweist? Das mit dem Behördengang ist irgendwie auch wirr, dann geh ich doch lieber physisch an den Bankschalter und dann ist die Alternative nicht mehr, Ausweisen über Überweisung sondern ausweisen über Photoausweisabgleich mit physischer Präsenz.

Sag doch einfach, die Alternative ist gar nicht online ausweisen.

 

[rzweinig]

Sag nicht "wie gesagt",

habe ich aber bereits erwähnt.

Ja, einer Atommacht ist es ein mal gelugnen, Schadcode in die Steuer-Software eines Landes unterzuschleusen,

Es ist Hackern aller Länder und Intensionen schon unzälige male gelungen das zu tun, darunter war auch dein geliebtes SPOTIFY 2014!
Und bei e-ID kan das gar JEDER Programierer einer App, er mus ja NICHT die original Ausweis App kanacken und da was einschleusen, sie liegt OFFEN auf deinem Smartphone und kan von jeder App die darauf zugreifen möchte zugegriffen werden. Dabei stört es die ganz offizielle Ausweis App > heute< nicht das eine Fremde App dauerlauscht.

Also wenn Putin es will, kann Putin meine persönliche Identität klauen

Dank eID kan er nach Lust und Laune für seine Agenten konten unbescholtener bürger eröffnen und diese benutzen um die Identität der Agenten zu tarnen Aufwand besteht keiner aussr eine solitär app zu schreiben.

 

[MountWalker]

habe ich aber bereits erwähnt.

Strg+F sagt nein.

Es ist Hackern aller Länder und Intensionen schon unzälige male gelungen das zu tun, darunter war auch dein geliebtes SPOTIFY 2014!

Wo ist der Link, da steht überall nur Ausspähen von Nutzerdaten

aussr eine solitär app zu schreiben.

Und sicherstellen, dass die auch irgendjemand runterläd

 

[rzweinig]

Also wenn sich jemand als ich bei der Kontoeröffnung mit Online-Banking-Überweisung ausweist, komme ich da wieder raus?

Nein weil das nicht geht, hier musst du dich bisher Echte identifitzieren das ist ja der Clue und das Problem mit eID das es ermöglich das zu umgehen.

Also wenn die AusweisApp2 genauso "geschützt" wird, wie die BestSign-App auf meinem Smartphone, ist alles schick?

Das wäre eine Mindestmaßnahme zur zeit ist sie offen, trotzdem darf man niemals dan ausgehen das ein Software Nacbhweis eindeutig echt ist. Wenes um wichtiges geht hilft nichts als physisch vorstellig werden.

Da komm ich gerade nicht mit, also, weil ich eID ja nicht nutzen soll, brauche ich also eine Behördenantrag, für den ich sechs Wochen im Voraus und zwar auf den Tag genau sechs Wochen im Voraus einen Amtstermin buchen und einen Tag Urlaub nehmen muss (wohne in einer Großstadt) und so weiter?

Ich sprach davon das man eID nicht braucht um Behördengänge zu digitaliesieren und den Prozesse damit zu beschleunigen, so dass man nur noch kurz vorbei zu schauen und was abholen 0müsste, statt ggf zweimal hinzu juckeln für Antrag mut viel warten+ Abholen. Abholen ist dabei auch heute eine sache von nichtmal einer Minute und den Ausweis vorzeigen mus man auch jetzt schon.

F0ür Verträge ändert sich ja sowieso nichts. Bei wichtigen wie Konto sollte die Identifizierung niemals anders als Physisch gehen siehe CB Artikel, Andere Verträge nutzen bereits einfach Lastschrift als Nachweis da hier keine Ein-Eindeutigkeit gebraucht wird. Es reicht wennes ein Konto gibt und sich wärender laufzeit keiner beschwert zu unrecht abgebucht worden zu sein. Beweislast liegt dan bei dem Unternhmen das ist ganz wichtig.

Sag doch einfach, die Alternative ist gar nicht online ausweisen.

Das habe ich mehrfach. Meist ist es gar nicht notwendig, und da wo es notwendig wäre, ist es abzulehnen da nicht sicher möglich. Viedo ident ist zwar sicherer als e-ID(auch später forensich nachprüfbar), aber in Zeiten von Deepfake videos auch keine Option.
Grundsatz Internet= No trust Zone < aber das heist nicht das man internet nicht nutzen kann, man mus nur damit umgehen, dass alles nicht stimmen kann> Mehr Faktor> also z.B. Physisch guten Tag sagen in einer Filiale/Behörde.

 

[s1ave77]

Mehr Faktor> also z.B. Physisch guten Tag sagen in einer Filiale/Behörde.

MFA sind verschiedene Dinge. Naturgemäß sind Push-basierte Verfahren anfälliger als passive, wie TOTP.

Ist wie mit Passwort-Apps, solange ich die Zwischenablage des Systems nicht nutze, sondern die Token manuell eingebe, ist das auch auf dem selben Gerät schwer abzugreifen.

Im Gegensatz zu den über Email/SMS übermittelten Token, sind die bei TOTP nur extrem kurz nutzbar .

 

[rzweinig]

Strg+F sagt nein.

https://www.computerbase.de/forum/t...-eid-verfahren-moeglich.2184322/post-29136678

Wo ist der Link, da steht überall nur Ausspähen von Nutzerdaten

es waren 2 links einmal nutzer daten 2020 und davor app2014 aber nimm doch den hier
https://www.zdnet.de/88194331/spotify-ruft-nach-hackerangriff-android-nutzer-zu-update-auf/

Und sicherstellen, dass die auch irgendjemand runterläd

wie gesagt Solitär reicht, kannst auch gerne Tetris oder weil ja speziell auf DE gemünzt irgend was wie Duden, German dictonary, Führerschein Fragebogen,.... machen werden sicher x (hundert)Tausend Nutzer herunterladen, wenn von den nur 1% auch eID nutzt hast du gewonnen.

Ergänzung (17. Februar 2024)

MFA sind verschiedene Dinge. Naturgemäß sind Push-basierte Verfahren anfälliger als passive, wie TOTP.

MFA ist MFA welche Faktoren hast du feie Hand es muss keine App sein, eine App ist nur einem Möglichkeit für einen 2. Faktor. Wobei Kombination Physischer Besitz und wissen immer gut ist.

Die beschrieben Anwendung Konto Eröffnung ist es Wissen= Online Antrag mit deinen Daten und Physisch = bei einer Stelle auftauchen und beweisen das die Onlinedaten korrekt sind, so ziemlich die einzige Kombination die Valide ist. Weil dein App kommt erst später beim online Banking zum tragen, nach dem das Konto eröffnet wurde und du eindeutig bekannt bist.
Denn dann mus nur noch geklärt werden ob du das auch bist der etwas möchte.

 

[s1ave77]

hast du gewonnen.

Wir drehen uns im Kreis - wenn der User gehackt wird, geht eine Menge, nicht nur eID. Und es braucht diesen User-Hack. Wenn jemand einbricht und Zugriff auf deinen Computer bekommt, kann er dir auch schaden, liegt in der Natur der Dinge.

Dadurch wird das aber nicht pauschal zum GAU.

 

[rzweinig]

das ist ja das Problem der User muss hier nicht wirklich kompliziert gehackt werden, es reicht wenn ihm etwas, was auch nicht viel mehr ist als ein ein tracking cookie aus einer seriösen quelle unter geschoben wird.

Und sollte das Jemand machen ist es ein SuperGau. Tatsächlich ist dieser bereits passiert,
da der Sicherheitsforscher ein Konto hat das auf anderen Person läuft. Er bleibt daher auch Anonym, weil er sich damit strafbar gemacht hat, egal wie edel sein Motiv war und ob es mit der 2. Person abgesprochen war oder nicht.

 

[s1ave77]

MFA ist MFA welche Faktoren hast du feie Hand es muss keine App sein,

Generell gibt es da 2 verbreitete Systeme, Push-basiert via Email/SMS und die zeitbasierten Einmal-Token.

Letztere können von einer App oder einem Hardware-Dongle (i.e. FIDO und co.) erzeugt werden. Ist passiv und kurzlebig.

Wenn ich mich dazu verleiten lasse eine App zu installieren, egal welche Quelle, ohne das zu verifizieren, verkaufe ich auch meine Oma mit Katze ohne es zu merken.

Klar hab ich dann Probleme.

 

[Discovery_1]

Ich bin gerade vom Rathaus angeschrieben worden, dass mein Ausweis abgelaufen ist. Upps, stimmt. Ich werde es aber weiterhin auf die gute, alte Methode machen, also ab zum Rathaus und hinterher bummeln in der Stadt. Für viele mag das Online bequemer sein, aber mir geht Sicherheit vor allem, gerade bei so persönlichen Anliegen.

 

[luda]

Genau das ist der Grund das nicht zu nutzen.

Nö. Erspart den Kunden extra für eine persönlich Arbeitslosmeldung zu uns zu fahren. Ich kann ohne Probleme Elster Online nutzen. Vorgestern konnte ich mit dem Online Ausweis das POSTIDENT verfahren nutzen und muss nicht zu einer blöden Filiale fahren usw.

Aber gut, kannst ja machen, was du für richtig hälst.

 

[Dalek]

Kann hier jemand beantworten wie genau sich das Handy verhält wenn da zwei Apps installiert sind die eID Links registriert haben? Ich hätte erwartet das man dann eine Auswahl treffen muss, im Paper klingt es aber so als ob die böse App automatisch geöffnet wird. Oder verstehe ich den Teil falsch?

 

[Dogmeat]

Natürlich muss solche eine Schwachstelle benannt werden und an einer Lösung gearbeitet werden.
Dennoch halte ich das eID bashing für unverhältnismäßig. Im Grunde kann man einen Personalausweis, wenn entwendet, auch für allerlei Geschäfte nutzen und das entwenden eines Personalausweis ist für viele auch kein Hexenwerk.

Ich nutze eID schon und das hat mir viel Kopfzerbrechen erspart. Ist vermutlich auch stark vom Individuum abhängig.
Ich stimme aber zu, dass das bei weitem nicht jeder benötigt.

 

[Weedlord]

Hier wird (leider) ein wenig viel Wirbel gemacht ..
die Voraussetzung ist, dass sich der Nutzer eine falsche / kompromittierte "Ausweis"App herunterlädt...
damit könnte man ja so ziemlich jedes digitale Verfahren angreifen, wenn man vorher erst eine Software installieren muss..

Ja nur das hier direkt Identitätsdiebstahl die Folge ist.

 

[jackii]

Experten haben es vor Jahren gesagt auf Kurz oder Lang ist es Möglich damit schund zu betreiben aber nein unsere Fachleute in der Politik wissen es wie immer alles Schlechter.

Hm ja gut dann lassen wir das mit diesem Internet..
Wenn es nach dir ginge hätte es nie EC Karten oder gar Onlinebanking gegeben.
Aber der CCC fordert gar nicht dass man besser für immer bei Papier bleiben soll. Zumal damit mindestens genauso viel Unfug möglich war. Die Politik prescht doch nicht bei Digitalisierung vor sondern verschlaft es seit Ewigkeiten weil Neuland..

 

[murdock_cc]

Ich bin gerade vom Rathaus angeschrieben worden, dass mein Ausweis abgelaufen ist. Upps, stimmt. Ich werde es aber weiterhin auf die gute, alte Methode machen, also ab zum Rathaus und hinterher bummeln in der Stadt. Für viele mag das Online bequemer sein, aber mir geht Sicherheit vor allem, gerade bei so persönlichen Anliegen.

Hol mich mal kurz ab, du könntest deinen Personalausweis Online beantragen wenn du wolltest?

 

[Deeen]

@Andy
"...oder die elektronische Patientenakte bei einer Sparkasse."

Sollte vermutlich Krankenkasse heißen, oder?

 

[bvbdragon]

wer lädt denn bitte banking oder die ausweis app aus dem nicht offiziellen appstore?

 

[Boimler]

Das reichte in der Praxis aus, um einen fünfstelligen Betrag zu bewegen. Meinst du, ihre Unterschrift wurde vorher von einem Gutachter analysiert? Im Leben nicht.

Und an diesem Verfahren ist noch wesentlich schlimmer, dass der Betroffene oft gar nicht merkt, was passiert ist. Hatte ich im Bekanntenkreis, wobei da noch ein inkompetenter Mitarbeiter dazu gehörte, der die Fälschung aus anderen Umständen heraus hätte erkennen müssen.
Soll die Schwere des Problems nicht relativieren, aber das Austricksen von Behörden geht auch ganz ohne Computerkenntnisse und das schon seit Jahrzehnten .