Kommentar

eID-Sicherheitslücke: Hacker gelingt Identitätsdiebstahl

Identitätsdiebstahl, eID, digitale Identität

Ein dem Spiegel anonym von einem Absender mit dem Namen „CtrlAlt“ zugespieltes Video offenbart eine alarmierende Schwachstelle des Online-Personalausweises. Dieses Video zeigt, wie ein Hacker mittels einer modifizierten App die eID-Funktion des Ausweises überlistet, um sich Zugriff auf sensible persönliche Daten zu verschaffen und in fremdem Namen ein Online-Konto bei einer großen deutschen Bank anlegt.

Durch das Abfangen von Login-Informationen und PINs ermöglicht diese Sicherheitslücke potenziellen Betrügern, digitale Amtsgänge in fremdem Namen durchzuführen, darunter die Beantragung von Führungszeugnissen oder der Zugriff auf private Versicherungsdaten. Diese Enthüllung wirft ein grelles Licht auf die Schwachstellen des digitalen Identitätsnachweises und zeigt auf an welchen Stellen dringend nachgebessert werden muss.

Anzeige

Dazu Robert Hoffmann, CTO bei ZealiD:

„Für eine sichere digitale Identität und Signatur ist es essentiell, dass der private Schlüssel unter der ausschließlichen Kontrolle des Nutzers ist. Die deutsche eID-Implementierung basiert auf Chipkarten mit guter Sicherheit – allerdings ohne technisch erzwungener Kopplung zwischen Karte und Smartphone App. Eine Alternative wäre hier ein Gesamtsystem mit einem gesicherten Benutzer-Interface, aus dem verlässlich erkennbar ist, welche Gegenstelle welchen Inhalt signiert haben möchte. Moderne Smartphones bieten hierzu eine Ablage der Schlüssel im internen Sicherheitsmodul, und erlauben nur derselben App den Zugriff auf diese – eine integrierte Lösung, als Basis für eIDAS-konforme Unterschriften.“

Anzeige
Robert Hoffmann ZealiD

Robert

Hoffmann

CTO

ZealiD

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.