Veröffentlicht inDigital Life

Online-Ausweis nicht sicher? Schwachstelle ermöglicht Identitätsdiebstahl

Du kannst deinen Perso mit der Online-Ausweisfunktion verknüpfen. Doch so sicher scheint das gar nicht zu sein.

Ausweis auf Tastatur
Der Online-Ausweis ist blitzschnell eingerichtet. © Mario Hoesel - stock.adobe.com

Mit einem Online-Ausweis kannst du auch im Netz dein Alter und deine Identität nachweisen. Allerdings macht nun eine besorgniserregende Meldung zu einer gravierenden Sicherheitslücke die Runde.

Hacker legt offen: Online-Ausweis nicht sicher

In manchen Fällen ist es sinnvoll, den Online-Ausweis nutzen zu können. So bietet etwa die Agentur für Arbeit das Arbeitslosmelden mit der Online-Ausweisfunktion an. Doch auch bei anderen Diensten, wo du dein Alter oder deine Identität nachweisen musst, kann das Feature von Vorteil sein.

Allerdings hat nun ausgerechnet ein Hacker herausgefunden, dass die Anwendung für Handy und PC nicht so sicher ist, wie sie sein sollte. Eine Schwachstelle kann den Identitätsklau ermöglichen.

Unter dem Pseudonym CtrlAlt wendete sich der Tippgeber an den Spiegel (Paywall via Golem) und berichtete, dass er mit der Schwachstelle beim Online-Ausweis in der Lage war, ein Bankkonto mit den Daten einer fremden Person zu eröffnen.

Angreifer nutzen sogenanntes Spoofing

Das sollte jedoch keinesfalls möglich sein. Schließlich heißt es auf der Internetseite des Bundesministerium des Innern: „Ihre Ausweisdaten werden immer Ende-zu-Ende-verschlüsselt übermittelt und können daher nicht abgefangen oder eingesehen werden.“ Nun scheint das leider nicht der Realität zu entsprechen.

Zur Ausnutzung der Schwachstelle beim Online-Ausweis, die die Bezeichnung CVE-2024-23674 erhielt, nutzen Angreifende eine Methode namens Spoofing. Beim Spoofing gaukeln Kriminelle dem System vor, dass sie legitime Benutzer*innen wären, die sehr wohl Zugriff auf die Daten hätten. Sind sie erst einmal im System, erlangen sie schnell die Kontrolle.

Aus diesem Grund hat die Sicherheitslücke einen Score von 9,7 von 10 erhalten und gilt als überaus kritisch. Nicht nur ließen sich Bankkonten in deinem Namen eröffnen. Auch der vollständige Identitätsdiebstahl ist damit denkbar.

Nutzer müssen böswillige App laden

Zwar lässt sich der Angriff auf den Online-Ausweis aus der Ferne durchführen. Doch die Nutzer*innen müssen erst einmal selbst einen gravierenden Fehler machen. So ist das Herunterladen einer böswilligen App notwendig, damit Hacker*innen Zugriff zum Online-Ausweis erhalten können.

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits auf die erschreckende Meldung reagiert. Allerdings liegt laut den Expertinnen und Experten die Verantwortung in dem Fall beim Endverbraucher beziehungsweise der Endverbraucherin.

Für CtrlAlt ist damit der Fall jedoch keinesfalls geklärt. Schließlich gelingt der Angriff letztendlich nur, weil es keine „echte Ende-zu-Ende-Verschlüsselung [gibt], da die Pin-Eingabe an einem ungesicherten Endpunkt erfolgt“. Für ihn ist es „unverantwortlich, die Verantwortung für die Sicherheit allein auf die Benutzer zu übertragen“.

Leider bedeutet die Reaktion des BSI, dass du besonders Vorsichtig im Netz sein musst, wenn du den Online-Ausweis nutzen willst. Daher solltest du dich über gegenwärtige Gefahren informieren, wie etwa diesen perfiden Android-Trojaner.

Quelle: Golem, Bundesministerium des Innern

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.