Internet

Schwachstelle bei Online-Personalausweis entdeckt

Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte dem „Spiegel“, dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe. Foto: Karl-Josef Hildenbrand/dpa

Einem Hacker ist es einem Bericht zufolge gelungen, ein Konto unter fremden Namen zu eröffnen. Eine bestimmte Funktion des Online-Personalausweis soll nicht sicher sein.

Von dpa Freitag, 16.02.2024, 12:20 Uhr

Berlin. Ein Hacker hat laut einem Bericht des „Spiegel“ eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Ihm sei es gelungen, mit Hilfe einer eigenen App anstelle der offiziell vorgesehen „AusweisApp“ Login-Daten für die sogenannte eID-Funktion des Personalausweises abzugreifen.

Dem Bericht zufolge ist diese bei mehr als 50 Millionen Personalausweisbesitzern aktiviert und dient als Grundlage für digitale Behördengänge. Sie wird unter anderem auch zur Identifizierung bei Banken verwendet. Mit dem Trick sei es dem Hacker, der unter dem Pseudonym „CtrlAlt“ auftritt, geglückt, unter fremden Namen ein Konto bei einer großen deutschen Bank zu eröffnen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sei auf eine vermeintliche Schwachstelle hingewiesen worden, bestätigte eine Sprecherin des Bundesinnenministeriums in Berlin. Der Sachverhalt werde „intensiv untersucht“.

Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte dem „Spiegel“, dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe. „Das ist ein realistisches Angriffsszenario“, sagt der Sprecher dem Nachrichtenmagazin. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.

Das Bundesamt teilte dem „Spiegel“ mit, dass man keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“ sehe, heißt es in dem Bericht. Es handele sich demnach nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzerinnen und Nutzer. Man werde aber eine Anpassung prüfen.

Mit anderen Worten: Voraussetzung für einen erfolgreichen Angriff ist, dass der Hacker sein Opfer dazu bringt, eine manipulierte App herunterzuladen und zu installieren. Erst dadurch würde der Zugriff möglich.

Jetzt lesen

Papierberge soll es in den Bauämtern nicht mehr geben.

Wichtige Neuerung

Was sich bei Bauanträgen im Landkreis Stade 2024 ändert

Apothekerin Katrin Prahl (links) mit Daniel Zabel (rechts) und Tochter Bea beim Einlösen eines E-Rezepts in der Apotheke im Medeum in Stade.

Digitalisierung

T So läuft´s mit dem E-Rezept: Was gut funktioniert und wo es noch hakt

Was der elektronische Personalausweis bringt

Auf dem Bürgeramt führt heute kein Weg mehr dran vorbei: Wer einen neuen Personalausweis beantragt, erhält damit Zusatzfunktionen. Seit 2017 ist bei jedem Ausweis die sogenannte eID-Funktion aktiviert. Das ist ein eingebauter Chip, mit dem sich Nutzer auch im Internet ausweisen können.

Das Bundesinnenministerium schätzt, dass derzeit bei gut 50 Millionen Personalausweisen der Chip aktiv ist. Wer einen Personalausweis im Scheckkartenformat hat und bei der Bestellung den Chip nicht aktivieren ließ, kann das auch noch nachträglich gegen eine Gebühr tun. Wie viele Menschen den Online-Ausweis tatsächlich nutzen, weiß das Ministerium allerdings nicht.

Eigentlich hat der elektronische Personalausweis zwei Funktionen: Aus der Ferne lässt sich theoretisch eine rechtsverbindliche Unterschrift leisten. Mit der eID lässt sich im Internet oder an speziellen Bürger-Automaten in Behörden zweifelsfrei die Identität beweisen.

App oder Lesegerät für Nutzung erforderlich

Um sich am heimischen Computer auszuweisen, benötigt man neben der persönlichen PIN-Nummer ein spezielles Lesegerät oder eine App. Das Smartphone oder das Lesegerät kann dann den Chip im Ausweis auslesen und die Daten übertragen.

Auf dem Chip gespeichert sind Name, Anschrift, Geburtstag und gegebenenfalls Künstler- oder Ordensname und akademischer Titel. Der Anbieter erhält nur die Daten, die er für den Vorgang benötigt. Das Foto, die Seriennummer und der Fingerabdruck, der bislang noch freiwillig gespeichert werden kann, werden dagegen nicht gesendet. Ab 2021 ist der Fingerabdruck auch beim Personalausweis Pflicht.

„Vor der Übermittlung der Ausweisdaten können die Anwender sehen, wer die Daten erhält und dass dieser zur Nutzung der Online-Ausweisfunktion berechtigt ist“, erklärt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). „Nur wer im Besitz des Personalausweises ist und die persönliche Geheimnummer kennt, kann die Online-Ausweisfunktion nutzen. Diese sogenannte Zwei-Faktor-Authentifizierung ist sicherer als die verbreitete Ein-Faktor-Authentifizierung mit Nutzernamen und Passwörtern.“

Kommunen entscheiden selbst über Angebot

Elektronisch ausweisen können sich Besitzer einer eID bisher bei 101 Diensten. 70 Prozent davon sind laut Bundesinnenministerium Behörden, der Rest Unternehmen, die sich für das Verfahren zertifizieren mussten. In einigen Landkreisen lässt sich zum Beispiel online das Auto abmelden oder eine Meldebestätigung beantragen. Doch jede Kommune entscheidet selbst über das Angebot.

„Nicht einmal die Behörden bieten sinnvolle Nutzungsmöglichkeiten für die eID flächendeckend an“, kritisiert Constanze Kurz vom Chaos Computer Club. Bundesweit können Bürger unter anderem Kindergeld online beantragen, bei der Rentenversicherung das eigene Konto einsehen oder ein Führungszeugnis anfordern.