Eine Sicherheitslücke im deutschen Online-Ausweisverfahren eID wurde von einem Hacker aufgedeckt, der unter dem Pseudonym „CtrlAlt“ bekannt ist. Mit einer selbst entwickelten App war es ihm möglich, sich unter fremdem Namen bei einer großen deutschen Bank anzumelden, was zu erheblichen Bedenken hinsichtlich der Sicherheit des eID-Verfahrens führt.
Sicherheitslücke in der eID-App
In einem Demonstrationsvideo hat der Hacker „CtrlAlt“ auf eine bedeutende Sicherheitslücke im deutschen Online-Ausweisverfahren aufmerksam gemacht. Mit einer selbst entwickelten App, die der offiziellen AusweisApp ähnelt, konnte er LogIn-Daten abfangen und sich unter falschem Namen bei einer großen deutschen Bank anmelden. Der „Spiegel“ berichtete über dieses Ereignis.
Stellungnahme des Chaos Computer Clubs
Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), bestätigte die Bedeutung dieses Fundes und beschrieb die Situation als „realistisches Angriffszenario“. Er betonte die Notwendigkeit, dass lediglich die offizielle AusweisApp für eID-Authentifizierungen im Handy angemeldet sein sollte.
Antwort des BSI
Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde von „CtrlAlt“ am 31. Dezember über die Sicherheitslücke informiert. In einer E-Mail an den Hacker gab das BSI an, dass seine Erkenntnisse „technisch in nahezu jedem Aspekt korrekt“ seien. Das BSI sieht dennoch keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“. Aus ihrer Sicht handelt es sich nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer. Mögliche Anpassungen sollen jedoch geprüft werden.
