Bei der Online-Funktion des deutschen Personalausweises gibt es eine Sicherheitslücke. Der Hacker, der das Problem entdeckt hat, warnte die Behörden.
München: Unter allen persönlichen Daten gehören die des elektronischen Personalausweises (oder eID) zu den sensibelsten.
Laut Bundesinnenministerium soll die Nutzung sicher und einfach sein.
Ein Bericht des Spiegel über eine mögliche Sicherheitslücke beim E-Perso hat deshalb besondere Brisanz.
Schließlich wären dadurch die Daten von über 50 Millionen Nutzern der Online-Ausweisfunktion potenziell gefährdet.
Auch bei Apple haben Hacker zuletzt eine Schwachstelle für einen Angriff genutzt.
Wie der Spiegel berichtet, ist es nun einem Hacker gelungen, den PIN-Code für die „AusweisApp“ und die ID des Personalausweises zu stehlen.
Mit diesen Daten könnten Betrüger etwa Versicherungen abschließen oder Bankkonten eröffnen.
Letzteres habe der Hacker sogar tatsächlich getan.
Und das, obwohl es nun teilweise höhere Hürden bei der Kontoeröffnung gibt.
Diese Bewegung unter Cybersicherheits-Profis, auch Ethical Hacking genannt, hat es sich zur Aufgabe gemacht, Online-Systeme anzugreifen, allerdings zum Nutzen der User. Findet dort jemand eine Schwachstelle, so wie in diesem Fall beim elektronischen Personalausweis, macht er das öffentlich und warnt Behörden, Firmen und Nutzer.
Das ist in Deutschland allerdings bisher noch illegal, weshalb „CtrlAlt“ auch anonym bleiben möchte.
Wie das IT-Magazin Heise berichtet, könnte sich das aber vielleicht in näherer Zukunft ändern.
Demnach habe Bundesjustizminister Buschmann bereits im vergangenen November angekündigt, Paragraf 202c des Strafgesetzbuches, auch Hacker-Paragraf genannt, nivellieren zu wollen.
Diese sehe der offiziellen „Ausweis-App“ zum Verwechseln ähnlich, sodass Laien den Unterschied gar nicht bemerken.
Wenn ein Opfer nun zum Beispiel sein Alter in einem Online-Shop über den E-Perso verifizieren wolle, schnappe die Falle zu.
Denn anstatt der echten Ausweis-App würde sich unbemerkt die Fake-Applikation auf dem Smartphone öffnen.
Diese könnte entweder über einen speziellen Trojaner oder ein anderes Fake-Programm aus dem App-Store auf das Handy gelangt sein.
Wenn das Opfer dann seinen Personalausweis scannt und die PIN eingibt, landen die Daten beim Hacker.
Die Erkenntnis über diese Sicherheitslücke habe „CtrlAlt“ keinesfalls für sich behalten.
Schon Ende vergangenen Jahres habe der Hacker die Informationen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitergeleitet, heißt es im Bericht des Spiegel weiter.
Zudem hat er sein Vorgehen auf der Plattform Medium protokolliert.
Aus Sicht der Behörde handele es sich hier „nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer“.
Schließlich sei der Angriff ja über eine andere App und damit nur über das Smartphone des Opfers gelaufen.
Dennoch betonte die Behörde, man nehme die Warnung des Hackers durchaus ernst. (pkb)
Quelle: Merkur.de
München: Unter allen persönlichen Daten gehören die des elektronischen Personalausweises (oder eID) zu den sensibelsten.
Laut Bundesinnenministerium soll die Nutzung sicher und einfach sein.
Ein Bericht des Spiegel über eine mögliche Sicherheitslücke beim E-Perso hat deshalb besondere Brisanz.
Schließlich wären dadurch die Daten von über 50 Millionen Nutzern der Online-Ausweisfunktion potenziell gefährdet.
Auch bei Apple haben Hacker zuletzt eine Schwachstelle für einen Angriff genutzt.
Wie der Spiegel berichtet, ist es nun einem Hacker gelungen, den PIN-Code für die „AusweisApp“ und die ID des Personalausweises zu stehlen.
Mit diesen Daten könnten Betrüger etwa Versicherungen abschließen oder Bankkonten eröffnen.
Letzteres habe der Hacker sogar tatsächlich getan.
Und das, obwohl es nun teilweise höhere Hürden bei der Kontoeröffnung gibt.
System-Angriff auf E-Perso-Daten durch „White-Hat-Hacker“
Echten Schaden hat der Angriff aber nicht angerichtet, denn bei dem Hacker mit dem Pseudonym „CtrlAlt“ handelt es sich um einen sogenannten White-Hat-Hacker.Diese Bewegung unter Cybersicherheits-Profis, auch Ethical Hacking genannt, hat es sich zur Aufgabe gemacht, Online-Systeme anzugreifen, allerdings zum Nutzen der User. Findet dort jemand eine Schwachstelle, so wie in diesem Fall beim elektronischen Personalausweis, macht er das öffentlich und warnt Behörden, Firmen und Nutzer.
Du musst Regestriert sein, um das angehängte Bild zusehen.
Das ist in Deutschland allerdings bisher noch illegal, weshalb „CtrlAlt“ auch anonym bleiben möchte.
Wie das IT-Magazin Heise berichtet, könnte sich das aber vielleicht in näherer Zukunft ändern.
Demnach habe Bundesjustizminister Buschmann bereits im vergangenen November angekündigt, Paragraf 202c des Strafgesetzbuches, auch Hacker-Paragraf genannt, nivellieren zu wollen.
Hacker baut Fake-App, um Online-Daten von Personalausweis abzugreifen
In seinem aktuellen Test-Angriff hat „CtrlAlt“ nun laut Spiegel zunächst eine App entwickelt, um sich Zugang zu den Daten zu verschaffen.Diese sehe der offiziellen „Ausweis-App“ zum Verwechseln ähnlich, sodass Laien den Unterschied gar nicht bemerken.
Wenn ein Opfer nun zum Beispiel sein Alter in einem Online-Shop über den E-Perso verifizieren wolle, schnappe die Falle zu.
Denn anstatt der echten Ausweis-App würde sich unbemerkt die Fake-Applikation auf dem Smartphone öffnen.
Diese könnte entweder über einen speziellen Trojaner oder ein anderes Fake-Programm aus dem App-Store auf das Handy gelangt sein.
Wenn das Opfer dann seinen Personalausweis scannt und die PIN eingibt, landen die Daten beim Hacker.
Die Erkenntnis über diese Sicherheitslücke habe „CtrlAlt“ keinesfalls für sich behalten.
Schon Ende vergangenen Jahres habe der Hacker die Informationen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitergeleitet, heißt es im Bericht des Spiegel weiter.
Zudem hat er sein Vorgehen auf der Plattform Medium protokolliert.
Zuständige Behörde sieht Sicherheitsrisiko für Online-Personalausweis bei Endgeräten.
Das BSI erklärt, dass es keinen Grund für die „Änderung der Risikobewertung beim Einsatz der eID“ sehe.Aus Sicht der Behörde handele es sich hier „nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer“.
Schließlich sei der Angriff ja über eine andere App und damit nur über das Smartphone des Opfers gelaufen.
Dennoch betonte die Behörde, man nehme die Warnung des Hackers durchaus ernst. (pkb)
Quelle: Merkur.de