Der seit 2010 ausgegebene Personalausweis mit RFID-Chip ermöglicht es Nutzern, sich online gegenüber verschiedenen privaten und öffentlichen Organisationen zu legitimieren. Dadurch entfällt die Notwendigkeit einer manuellen Kontrolle des Personalausweises. Sicherheitsforscher von SEC-Consult haben diese Online-Ausweis-Funktion jetzt geknackt und sich als Johann Wolfgang von Goethe ausgewiesen.
Personalausweis: Online-Authentifizierung angreifbar
Normalerweise verhindern ein sogenannter E-ID-Client wie die Ausweis-App 2 sowie das digitale Signieren durch einen Authentifizierungsserver, dass Angreifer manipulierte Ergebnisse an Webanwendungen senden, erklären die Sicherheitsforscher in einem entsprechenden Blogeintrag. Würde ein Angreifer die Daten verändern, zum Beispiel den Namen oder das Geburtsdatum, würde die Signatur ungültig werden und die Webanwendung erkennen, dass ein Manipulationsversuch vorliegt.
Die von den SEC-Consult-Mitarbeitern jetzt entdeckte Schwachstelle erlaubt es Angreifern aber, Ausweisdaten zu manipulieren, ohne dass die digitale Signatur ungültig wird. Dadurch könnten sich Angreifer online als beliebige Bürger ausgeben oder etwa Altersnachweise fälschen. Betroffen von der Schwachstelle könnten alle Webanwendungen sein, die das Governikus-Autent-SDK bis Version 3.8.1 einsetzen.
SEC Consult hat die Schwachstelle in dem SDK nach eigenen Angaben im Juli 2018 an das CERT-Bund gemeldet. Seit August steht die fehlerbereinigte Version 3.8.2 zur Verfügung. Betroffene Kunden sollen vom Anbieter Governikus informiert worden sein. Admins, die noch eine ältere SDK-Version zur Authentifizierung verwenden, sollten schnell updaten. Außerdem können mögliche Angriffe in den Log-Dateien überprüft werden, was die Experten ebenfalls empfehlen.
Governikus: Zusätzliche Sicherheitsmaßnahmen schützen vor Angriff
Governikus hat in einer Stellungnahme erklärt, dass die von SEC Consult aufgedeckte Schwachstelle nur in einer Demoanwendung wirksam sei. Diese beinhalte nicht „das vollständige Governikus Autent SDK“. Im Realbetrieb müssten weitere Maßnahmen im Rechenzentrum durchgeführt werden. Gegenüber Golem konnte Governikus allerdings nicht erklären, was genau diese zusätzlichen Sicherheitsmaßnahmen bewirken, und inwiefern dadurch der Angriff verhindert werden könnte. Governikus weist daraufhin, dass das SDK nur in Java-Umgebungen laufe und die Online-Ausweisfunktion nur eine mögliche Anwendungsmöglichkeit sei.
Der Artikel wurde am 23. November um ein Statement von Governikus ergänzt.