Anonymer Hacker deckt Schwachstelle auf: Online-Personalausweis nicht so sicher wie gedacht

teleschau
Ein Hacker spielte dem Nachrichtenmagazin "Spiegel" ein dreiminütiges Video zu, in dem er Sicherheitslücken beim Online-Personalausweis aufdeckt. (Bild: iStock/ JuYochi)
Ein Hacker spielte dem Nachrichtenmagazin "Spiegel" ein dreiminütiges Video zu, in dem er Sicherheitslücken beim Online-Personalausweis aufdeckt. (Bild: iStock/ JuYochi)

Ein dreiminütiges Video hat in der Redaktion des "Spiegel" hohe Wellen geschlagen: Darin deckte ein Hacker Sicherheitslücken in der Online-Ausweisfunktion auf.

Seit Juli 2017 verfügen Personalausweise für Personen ab 16 Jahren automatisch über eine Online-Ausweisfunktion. Ziel war es, den Bürgerinnen und Bürgern in Deutschland mit dem elektronischen Personalausweis lästige Behördengänge zu ersparen und durch Online-Alternativen zu ersetzen. Nun ist es einem Hacker gelungen, Sicherheitslücken in dem Verfahren aufzudecken, wie der "Spiegel" berichtet.

Der Cyber-Spezialist, der unter dem Pseudonym "CtrlAlt" auftritt, habe unter einem fremden Namen ein Konto bei einer großen deutschen Bank einrichten können. Wie der Hacker das von der Bundesregierung entwickelte Online-Ausweisverfahren umgehen kann, demonstrierte er anonym in einem dreiminütigen Video, das er schließlich dem "Spiegel" zuspielte. Ihm gelang es, Login-Daten für die sogenannte eID-Funktion des Personalausweises abzugreifen - und zwar mithilfe einer eigenen App anstelle der dafür offiziell vorgesehenen "AusweisApp".

"Nur eine Frage der Zeit, bis jemand das ausnutzt": Hacker deckt Sicherheitslücke auf

Die eID-Funktion ist laut "Spiegel" nicht nur bei mehr als 50 Millionen Personalausweisbesitzern aktiviert, sondern dient auch als Grundlage für Behördengänge. Darauf greift man unter anderem auch zur Identifizierung bei Banken zurück. So könne man auch ein Führungszeugnis beantragen oder private Daten bei der Rentenversicherung einsehen. Der Hacker, der sich selbst als erfahrener IT-Sicherheitsforscher bezeichnet, kommuniziere mit dem "Spiegel" über einen verschlüsselten Chat. Er nutze den Onlineausweis selbst und sei so auf die Idee gekommen, mit dem Angriff die Sicherheit zu testen. Seine Schlussfolgerung: "Ich war überrascht, wie einfach sich das System kompromittieren ließ." Es sei "nur eine Frage der Zeit, bis jemand das ausnutzt".

Dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe, bestätigte bereits ein Sprecher des Chaos Computer Clubs (CCC) dem Nachrichtenmagazin. Das sei ein realistisches Angriffsszenario. "Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann".

Ist der Onlinepersonalausweis überhaupt "sicher, einfach, digital"?

Das Erschreckende: Wie aus dem Bericht hervorgeht, hatte der Hacker das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember über seine Erkenntnisse informiert. Die Behörde teilte dem Nachrichtenmagazin auf Anfrage mit, damals keinen Anlass für eine "Änderung der Risikobewertung beim Einsatz der eID" gesehen zu haben. Es handele sich demnach nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzerinnen und Nutzer. Man werde aber eine Anpassung prüfen.

Der Skandal könnte nun bald auch politisch hohe Wellen schlagen: Denn politisch verantwortlich ist das Bundesinnenministerium, an dessen Spitze Nancy Faeser (SPD) steht, die mit einem Team gerade eine große Werbekampagne für den Online-Personalausweis plant. Das Verfahren spare "Zeit, Kosten und Wege". Das Versprechen lautet: Es sei "sicher, einfach, digital". Die persönlichen Daten der Nutzerinnen und Nutzer seien "immer zuverlässig vor Diebstahl und Missbrauch geschützt". "CtrlAlt" nährt nun mit seiner Dokumentation erhebliche Zweifel.

  • Als Nächstes
  • Als Nächstes
  • Als Nächstes
  • Als Nächstes

Aktuelle Artikel