Seit 2010 bietet der neue Personalausweis die Möglichkeit, sich im Netz per Online-Ausweisfunktion zu identifizieren. Doch Vorsicht: In manchen Fällen droht dabei Identitätsdiebstahl.
Woran das liegt und worauf ihr bei der Nutzung der Online-Ausweisfunktion achten solltet, erfahrt ihr bei uns.
Online-Ausweisfunktion: So funktioniert sie
Jeder mit deutscher Staatsbürgerschaft über 16 hat ihn: den Personalausweis. Seit dem 1. Januar 2010 gibt es nur noch den sogenannten neuen Personalausweis im Scheckkartenformat. Er verfügt über einen RFID-Chip, mit dem ihr euch nicht nur persönlich sondern auch im Internet ausweisen könnt.
Dafür müssen allerdings einige Voraussetzungen erfüllt sein. Einerseits müsst ihr die Online-Ausweisfunktion bei der Beantragung des neuen Personalausweis freischalten lassen. Andererseits benötigt ihr für die Online-Identifikation ein Kartenlesegerät sowie eine passende Software (den sogenannten eID-Client) wie etwa die AusweisApp 2.
Wollt ihr euch bei einer Webanwendung, zum Beispiel der elektronischen Steuererklärung ELSTER, identifizieren, sendet die Webanwendung eine Anfrage an den eID-Client. Darüber wird dann die restliche Authentifizierung gesteuert. Ihr müsst euch dabei erst mit einer PIN identifizieren und anschließend den RFID-Chip eures Personalausweises auslesen lassen. Die Webanwendung, der eID-Client und ein Authentifizierungsserver prüfen dann eure Identität.
Dank einer Schwachstelle in der Online-Ausweisfunktion droht im schlimmsten Fall Identitätsdiebstahl. (Bild: pixabay.com/mohamed_hassan)
Schwachstelle macht Online-Ausweisfunktion angreifbar
Damit eure persönlichen Daten sicher sind, sind spezielle Sicherheitsvorkehrungen beim Authentifizierungsserver nötig. Trotzdem ist die Online-Ausweisfunktion nicht komplett sicher, wie ein Bericht einiger Sicherheitsforscher von Sec Consultant zeigt.
Damit die Authentifizierung mit dem neuen Personalausweis funktioniert, setzen Webanwendungen auf das Software-Entwicklungskit Governikus Autent SDK. Allerdings können Angreifer relativ einfach eine Schwachstelle im Governikus Autent SDK ausnutzen und sich mit falschem Namen identifizieren.
Angreifer können sich mit falschem Namen anmelden
Die Schwachstelle sorgt nämlich dafür, dass Angreifer neben einer korrekt signierten Anfrage noch eine weitere, manipulierte Anfrage mitschicken können. Das SDK erkennt nur die signierte Anfrage und gibt sie frei. Die manipulierte Anfrage wird allerdings nicht weiter geprüft, sondern ebenfalls weitergegeben.
Angreifer können sich so bei einer Webanwendung, die die Authentifizierung mit dem neuen Personalausweis ermöglicht, anmelden. Außerdem können sie so Identitätsdiebstahl begehen und wahllos Aktionen im Namen einer anderen Person ausführen.
Identitätsdiebstahl ist keine Seltenheit
Die gute Nachricht ist, dass die Schwachstelle bereits geschlossen ist. Die Sicherheitsforscher haben die Sicherheitslücke bereits im Juli 2018 an das Notfall-Team des CERT Bund des Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieses hat die betroffenen Anbieter von Webanwendungen kontaktiert und zur Aktualisierung des SDKs aufgerufen.
Tipps zum Schutz gegen Identitätsdiebstahl
Identitätsdiebstahl im Internet ist leider keine Seltenheit mehr. Wir haben in der Vergangenheit zum Beispiel über Identitätsdiebstahl in Fake-Onlineshops, bei Facebook oder bei der Nutzung von Freemail-Adressen berichtet. Auch wenn ihr euch bei der Nutzung der Online-Ausweisfunktion darauf verlassen müsst, dass die Web-Admins ihre Webanwendungen entsprechend absichern, könnt ihr euch im Internet mit einigen Tipps vor Identitätsdiebstahl schützen.
- Achtet darauf, dass die Website den Vorgaben der Datenschutzgrundverordnung (DSGVO) entspricht.
- Nutzt für verschiedene Dienste unterschiedliche Nutzernamen und Passwörter.
- Gebt im Internet nur so viele Daten von euch preis, wie wirklich nötig sind.
- Seid auf der Hut vor Phishing-Mails und gefälschten Logins für bekannte Websites.
- Sichert euer Smartphone mit einer PIN oder einem Entsperrmuster. Tipps dazu erhaltet ihr in unserem Ratgeber zum Thema Entsperrmuster und Entsperrcode.
- Führt regelmäßig Updates von Apps und Betriebssystemen aus, damit Hacker keine bekannten Schwachstellen in den Systemen ausnutzen können.
Wenn ihr Hilfe bei der Installation einer passenden Antivirensoftware benötigt oder einen Sicherheits-Check bei eurem PC oder Notebook durchführen lassen wollt, kommt zu eurem PC-SPEZIALIST vor Ort und lasst euch dazu beraten.
Update vom 07.12.2018:
Nachdem im November weitläufig über die Schwachstelle im Governikus Autent SDK berichtet wurde, hat sich die Governikus KG nun zu Wort gemeldet. In der Stellungnahme erklärt Governikus, dass es sich beim Governikus Autent SDK um eine Demoversion handelte, die nicht für den Realbetrieb gedacht war – zumindest nicht, ohne zusätzliche Sicherheitsmaßnahmen zu nutzen. Weiter heißt es in der Stellungnahme: „Das Demo-Szenario enthält nicht das vollständige Autent SDK und kann so nicht für eine vollständige Implementierung einer im realen Betrieb durchgeführten Personalausweisintegration verwendet werden und sollte lediglich verdeutlichen, wie einfach eine Implementierung vorgenommen werden kann! Dass allerdings im Realbetrieb weitere Maßnahmen im Rechenzentrum durchgeführt werden müssen, war nicht Bestandteil des Demoszenarios.“ Konkret bedeutet das, dass nicht alle mit dem Autent SDK realisierten Integrationen der eID-Funktion des neuen Personalausweis unsicher sind.
Diese Information dient der Klarstellung der aktuellen (November 2018) Berichterstattung zu einer Schwachstelle im Governikus Autent Software Development Kit (SDK) in der Version 3.8.1 und der daraus resultierenden und von der Presse aufgegriffenen Rückschlüsse zu unsicheren Implementierungen der eID-Funktion des deutschen Personalausweises: https://www.governikus.de/newsroom-presse/details/?L=mvnhrnpaa%27A%3D0&tx_ttnews%5Btt_news%5D=504&cHash=8686d6cf258796f1d774dad0a226e5e0