Ein dem Spiegel anonym von einem Absender mit dem Namen „CtrlAlt“ zugespieltes Video offenbart eine alarmierende Schwachstelle des Online-Personalausweises. Dieses Video zeigt, wie ein Hacker mittels einer modifizierten App die eID-Funktion des Ausweises überlistet, um sich Zugriff auf sensible persönliche Daten zu verschaffen und in fremdem Namen ein Online-Konto bei einer großen deutschen Bank anlegt.
Durch das Abfangen von Login-Informationen und PINs ermöglicht diese Sicherheitslücke potenziellen Betrügern, digitale Amtsgänge in fremdem Namen durchzuführen, darunter die Beantragung von Führungszeugnissen oder der Zugriff auf private Versicherungsdaten. Diese Enthüllung wirft ein grelles Licht auf die Schwachstellen des digitalen Identitätsnachweises und zeigt auf an welchen Stellen dringend nachgebessert werden muss.
Dazu Robert Hoffmann, CTO bei ZealiD:
“Für eine sichere digitale Identität und Signatur ist es essentiell, dass der private Schlüssel unter der ausschließlichen Kontrolle des Nutzers ist. Die deutsche eID-Implementierung basiert auf Chipkarten mit guter Sicherheit – allerdings ohne technisch erzwungener Kopplung zwischen Karte und Smartphone App. Eine Alternative wäre hier ein Gesamtsystem mit einem gesicherten Benutzer-Interface, aus dem verlässlich erkennbar ist, welche Gegenstelle welchen Inhalt signiert haben möchte. Moderne Smartphones bieten hierzu eine Ablage der Schlüssel im internen Sicherheitsmodul, und erlauben nur derselben App den Zugriff auf diese – eine integrierte Lösung, als Basis für eIDAS-konforme Unterschriften.”