Zur Startseite gehen

BSI analysiert Schwachstelle im eID-System: Sicherheitslücke bei der elektronischen Identität

21. Februar 2024 Öffentlicher Dienst & Verwaltung

Ein Hacker habe (nach einem Bericht des "Spiegel") eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Die Schwachstelle, die von Sicherheitsexperten als „Spoofing Password Authenticated Connection Establishment“(sPACE)-Angriff bezeichnet wird, ermöglicht es Angreifern, die Sicherheitshardware des deutschen Personalausweises vor allem die offizielle Anwendung AusweisApp2 scheint betroffen zu sein zu kompromittieren.

Die Schwachstelle CVE-2024-23674, die als grundlegender Designfehler identifiziert wurde, liegt nach Aussagen des Hacker, der unter dem Pseudonym „CtrlAlts“ auftritt in der „unzureichenden Entkopplung zweier Authentifizierungsfaktoren“ sowie der „Abwesenheit von Mechanismen zur Validierung der Endpunkte“ zwischen den eID-Servern und den eID-Clients der Anwender. Dies ermöglicht es Angreifern, sich als legitime Benutzer auszugeben und unbemerkt auf sensible Daten zuzugreifen.

Im Ergebnis betont das BSI:

„Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen“. Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion, die Online-Ausweisfunktion sei auch weiterhin die sicherste Möglichkeit für Bürgerinnen und Bürger sich digital auszuweisen.

Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.
Das BSI nimmt den Vorfall zum Anlass und prüft derzeit, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann.

Quelle:

BSI - Bundesamt für Sicherheit in der Informationstechnik - BSI analysierte vermeintliche Schwachstelle im eID-System
sPACE Attack: Spoofing eID’s Password Authenticated Connection Establishment | by CtrlAlt | Feb, 2024 | Medium
Elektronischer Personalausweis: Hacker deckt Schwachstellen bei der Nutzung des Onlineausweises auf - DER SPIEGEL

 

Produktgalerie überspringen

Passende Artikel

Dieses Bild zeigt das Produkt Melderecht, Passrecht, Ausweisrecht - MPA
Melderecht, Passrecht, Ausweisrecht - MPA

540,00 €
Abonnieren
zum Produkt

Ihre Vorteile

Kompetente Beratung durch
unseren Kundenservice

Versandkostenfreie
Bestellung ab 45 €

Kostenloser Praxistest
für Online-Dienste

Rechtssichere
Produkte

Zahlungsarten

Unser Kundenservice

Telefon: 0941 5684-0

Diese Website verwendet Cookies, um eine bestmögliche Erfahrung bieten zu können. Mehr Informationen ...