Hacker entdeckt Sicherheitslücke im deutschen Personalausweis – Millionen Nutzer betroffen

Laut einem Bericht des «Spiegels» hat ein Hacker eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises entdeckt. Der Hacker konnte mithilfe einer eigenen App anstelle der offiziellen «AusweisApp» Login-Daten für die eID-Funktion des Personalausweises abfangen.

Dem Bericht zufolge ist diese bei mehr als 50 Millionen Personalausweisbesitzern aktiviert und dient als Grundlage für digitale Behördengänge. Sie wird unter anderem auch zur Identifizierung bei Banken verwendet. Mit dem Trick sei es dem Hacker, der unter dem Pseudonym «CtrlAlt» auftritt, geglückt, unter fremden Namen ein Konto bei einer großen deutschen Bank zu eröffnen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sei auf eine vermeintliche Schwachstelle hingewiesen worden, bestätigte eine Sprecherin des Bundesinnenministeriums in Berlin. Der Sachverhalt werde «intensiv untersucht».

Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte dem «Spiegel», dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe. «Das ist ein realistisches Angriffsszenario», sagt der Sprecher dem Nachrichtenmagazin. «Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann».

Das Bundesamt teilte dem «Spiegel» mit, dass man keinen Anlass für eine «Änderung der Risikobewertung beim Einsatz der eID» sehe, heißt es in dem Bericht. Es handele sich demnach nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzerinnen und Nutzer. Man werde aber eine Anpassung prüfen.

Um es anders auszudrücken: Um einen erfolgreichen Angriff durchzuführen, muss der Hacker sein Opfer dazu verleiten, eine manipulierte App herunterzuladen und zu installieren. Nur dadurch wird der Zugriff ermöglicht.