eID: Hacker entdeckt Sicherheitslücke beim Onlineausweis
Ein Hacker hat laut einem Bericht des Spiegel eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Ihm sei es gelungen, mithilfe einer eigenen App anstelle der offiziell vorgesehen AusweisApp Login-Daten für die sogenannte eID-Funktion des Personalausweises abzugreifen.
Hacker eröffnet Konto unter fremdem Namen
Dem Bericht zufolge ist diese bei mehr als 50 Millionen Personalausweisbesitzern aktiviert und dient als Grundlage für digitale Behördengänge. Sie wird unter anderem auch zur Identifizierung bei Banken verwendet. Mit dem Trick sei es dem Hacker, der unter dem Pseudonym CtrlAlt auftritt, geglückt, unter fremden Namen ein Konto bei einer großen deutschen Bank zu eröffnen.
Ein Sprecher des Chaos Computer Clubs bestätigte dem Spiegel, dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe. „Das ist ein realistisches Angriffsszenario“, sagt der Sprecher dem Nachrichtenmagazin. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.
Der Hacker habe das zuständige Bundesamt für Sicherheit in der Informationstechnik bereits am 31. Dezember über seine Erkenntnisse informiert. Das Bundesamt teilte dem Spiegel jedoch mit, dass man keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“ sehe, heißt es in dem Bericht. Es handele sich demnach nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzerinnen und Nutzer. Man werde aber eine Anpassung prüfen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team