(Foto: Bundesamt für Sicherheit in der Informationstechnik)
Der seit 2010 ausgegebene Personalausweis mit RFID-Chip ermöglicht es Nutzern, sich online gegenüber verschiedenen privaten und öffentlichen Organisationen zu legitimieren. Dadurch entfällt die Notwendigkeit einer manuellen Kontrolle des Personalausweises. Sicherheitsforscher von SEC-Consult haben diese Online-Ausweis-Funktion jetzt geknackt und sich als Johann Wolfgang von Goethe ausgewiesen.
Personalausweis: Online-Authentifizierung angreifbar
Normalerweise verhindern ein sogenannter E-ID-Client wie die Ausweis-App 2 sowie das digitale Signieren durch einen Authentifizierungsserver, dass Angreifer manipulierte Ergebnisse an Webanwendungen senden, erklären die Sicherheitsforscher in einem entsprechenden Blogeintrag. Würde ein Angreifer die Daten verändern, zum Beispiel den Namen oder das Geburtsdatum, würde die Signatur ungültig werden und die Webanwendung erkennen, dass ein Manipulationsversuch vorliegt.
Die von den SEC-Consult-Mitarbeitern jetzt entdeckte Schwachstelle erlaubt es Angreifern aber, Ausweisdaten zu manipulieren, ohne dass die digitale Signatur ungültig wird. Dadurch könnten sich Angreifer online als beliebige Bürger ausgeben oder etwa Altersnachweise fälschen. Betroffen von der Schwachstelle könnten alle Webanwendungen sein, die das Governikus-Autent-SDK bis Version 3.8.1 einsetzen.
SEC Consult hat die Schwachstelle in dem SDK nach eigenen Angaben im Juli 2018 an das CERT-Bund gemeldet. Seit August steht die fehlerbereinigte Version 3.8.2 zur Verfügung. Betroffene Kunden sollen vom Anbieter Governikus informiert worden sein. Admins, die noch eine ältere SDK-Version zur Authentifizierung verwenden, sollten schnell updaten. Außerdem können mögliche Angriffe in den Log-Dateien überprüft werden, was die Experten ebenfalls empfehlen.
Governikus: Zusätzliche Sicherheitsmaßnahmen schützen vor Angriff
Governikus hat in einer Stellungnahme erklärt, dass die von SEC Consult aufgedeckte Schwachstelle nur in einer Demoanwendung wirksam sei. Diese beinhalte nicht „das vollständige Governikus Autent SDK“. Im Realbetrieb müssten weitere Maßnahmen im Rechenzentrum durchgeführt werden. Gegenüber Golem konnte Governikus allerdings nicht erklären, was genau diese zusätzlichen Sicherheitsmaßnahmen bewirken, und inwiefern dadurch der Angriff verhindert werden könnte. Governikus weist daraufhin, dass das SDK nur in Java-Umgebungen laufe und die Online-Ausweisfunktion nur eine mögliche Anwendungsmöglichkeit sei.
Der Artikel wurde am 23. November um ein Statement von Governikus ergänzt.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team