Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt am 16.02.2024, dass es von einem „IT-Sicherheitsforscher“ auf eine „vermeintliche“ Schwachstelle im eID-System hingewiesen wurde.
Ein Hacker habe (nach einem Bericht des "Spiegel") eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Die Schwachstelle, die von Sicherheitsexperten als „Spoofing Password Authenticated Connection Establishment“ (sPACE)-Angriff bezeichnet wird, ermöglicht es Angreifern, die Sicherheitshardware des deutschen Personalausweises – vor allem die offizielle Anwendung AusweisApp2 scheint betroffen zu sein – zu kompromittieren.
Die Schwachstelle CVE-2024-23674, die als grundlegender Designfehler identifiziert wurde, liegt – nach Aussagen des Hacker, der unter dem Pseudonym „CtrlAlts“ auftritt – in der „unzureichenden Entkopplung zweier Authentifizierungsfaktoren“ sowie der „Abwesenheit von Mechanismen zur Validierung der Endpunkte“ zwischen den eID-Servern und den eID-Clients der Anwender. Dies ermöglicht es Angreifern, sich als legitime Benutzer auszugeben und unbemerkt auf sensible Daten zuzugreifen.
Im Ergebnis betont das BSI:
„Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen“. Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion, die Online-Ausweisfunktion sei auch weiterhin die sicherste Möglichkeit für Bürgerinnen und Bürger sich digital auszuweisen.
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.
Das BSI nimmt den Vorfall zum Anlass und prüft derzeit, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann.
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik - BSI analysierte vermeintliche Schwachstelle im eID-System
sPACE Attack: Spoofing eID’s Password Authenticated Connection Establishment | by CtrlAlt | Feb, 2024 | Medium
Elektronischer Personalausweis: Hacker deckt Schwachstellen bei der Nutzung des Onlineausweises auf - DER SPIEGEL
