Online-Personalausweis: Hacker findet offenbar Sicherheitslücke

Schlagzeilen

Alle

Getötete Ukrainer waren offenbar Soldaten

Aufsteiger steht kurz vor der Sensation

Neue Hoffnung für "mutige kleine Jägerin"

Simon Verhoeven nimmt Abschied

Angriff: "Anzeigenhauptmeister" äußert sich

Schock für deutschen Wintersportler

Kuh crasht Meisterparty

US-Sportstar in Nachtclub angeschossen

Wetter: Dann gibt es Badewetter

Erster Bundesliga-Absteiger steht fest

Tennisstar geht im BH einkaufen

"Tatort" irritiert mit pikanten Szenen

Zugreise durch Deutschland – jetzt spielen

Alle Schlagzeilen anzeigen

Bankkonto unter fremdem Namen eröffnet
Bericht: Hacker entdeckt Schwachstelle bei Online-Personalausweis

Von dpa, dom

Aktualisiert am 16.02.2024Lesedauer: 2 Min.

Offenbar mit Sicherheitslücke: Mit dem elektronischen Personalausweis können Bürger auch online ihre Identität bestätigen. (Quelle: Andrea Warnecke/dpa)

News folgen

Gibt es Lücken bei der Sicherheit des Online-Personalausweises? Ein Hacker will mit gefälschten Daten ein Bankkonto unter fremdem Namen eröffnet haben.

Ein Hacker hat laut einem Bericht des "Spiegel" eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Ihm sei es gelungen, mithilfe einer eigenen App anstelle der offiziell vorgesehen "AusweisApp" Login-Daten für die sogenannte eID-Funktion des Personalausweises abzugreifen.

Dem Bericht zufolge ist diese Funktion bei mehr als 50 Millionen Personalausweisbesitzern aktiviert und dient als Grundlage für digitale Behördengänge. Sie wird unter anderem auch zur Identifizierung bei Banken verwendet. Mit dem Trick sei es dem Hacker, der unter dem Pseudonym "CtrlAlt" auftritt, geglückt, unter fremden Namen ein Konto bei einer großen deutschen Bank zu eröffnen.

So ging der Hacker vor

Wie genau "CtrlAlt" bei dem Hack vorging, beschreibt der "Spiegel" so: Er habe zunächst ein einfaches Programm gebaut, das den sechsstelligen PIN-Code mitschneiden kann, den Nutzer der eID auf ihrem Handy eingeben, wenn sie sich online einloggen. Die vom Bund empfohlene offizielle AusweisApp, entwickelt von der Bremer Firma Governikus, habe ihm dabei geholfen, weil deren Quellcode mit Absicht öffentlich zugänglich ist. "CtrlAlt" habe ihn einfach kopiere und für seine Zwecke anpassen können.

Voraussetzungen für den Angriff sei, dass der Hacker auf das Smartphone des Opfers kommt. Trojaner-Software, die das ermöglicht, gibt es den Angaben des Magazins zufolge auf dem Schwarzmarkt.

Experten des Chaos Computer Clubs warnen

Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte dem "Spiegel", dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe. "Das ist ein realistisches Angriffsszenario", sagt der Sprecher dem Nachrichtenmagazin. "Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann".

Ausweispflicht Deutschland: Muss ich meinen Personalausweis immer dabei haben?

Anpassung an "internationale Gepflogenheiten": Änderung beim Perso und Reisepass geplant

Verbraucher betroffen: Wichtige Funktion von Onlineausweis fällt weg – Banken besorgt

Der Hacker habe das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember über seine Erkenntnisse informiert. Das Bundesamt teilte dem "Spiegel" jedoch mit, dass man keinen Anlass für eine "Änderung der Risikobewertung beim Einsatz der eID" sehe, heißt es in dem Bericht. Es handele sich demnach nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzerinnen und Nutzer. Man werde aber eine Anpassung prüfen.

Verwendete Quellen