Quelle (1): CtrlAlt Blog (Englisch) Quelle (2): ruhr-uni-bochum.de
Eine kritische Sicherheitslücke im eID-Verfahren des Personalausweises mit Online-Ausweisfunktion ermöglicht es Angreifern, die Identität anderer Personen zu übernehmen und in ihrem Namen Online-Dienste zu nutzen. Das hat ein Sicherheitsforscher, der unter dem Pseudonym CtrlAlt bekannt ist, in einem Spiegel-Bericht und einem Blogbeitrag enthüllt. Die Lücke, die er Space nennt, betrifft das Protokoll zur Authentifizierung der Ausweisdaten, das sogenannte Password Authenticated Connection Establishment (PACE).
Das eID-Verfahren soll eigentlich einen hohen Schutz der persönlichen Daten gewährleisten, die auf dem Personalausweis gespeichert sind. Dazu gehört unter anderem die Ende-zu-Ende-Verschlüsselung der Datenübertragung zwischen dem Ausweis und dem Online-Dienst, der die Ausweisfunktion nutzt. Das Bundesinnenministerium (BMI) verspricht auf seiner Webseite, dass die Ausweisdaten "immer zuverlässig vor Diebstahl und Missbrauch geschützt" sind und "nicht abgefangen oder eingesehen werden" können.
Wie CtrlAlt jedoch zeigt, ist das nicht der Fall. Er hat eine Methode entwickelt, um das PACE-Protokoll zu manipulieren und sich als ein anderer Ausweisinhaber auszugeben. Dazu benötigt er lediglich die Ausweisnummer und die Transport-PIN des Opfers, die er zum Beispiel durch Phishing oder andere Angriffe erlangen kann. Mit diesen Informationen kann er eine gefälschte Ausweiskarte erstellen, die er anstelle des echten Ausweises an den Online-Dienst schickt. Der Online-Dienst kann die Fälschung nicht erkennen, da das PACE-Protokoll keine ausreichende Überprüfung der Kartenauthentizität vorsieht.
Mit dieser Methode ist es CtrlAlt gelungen, ein Bankkonto bei einer großen deutschen Bank zu eröffnen, ohne seinen eigenen Personalausweis zu verwenden. Er konnte auch die auf dem Ausweis gespeicherten Daten wie Name, Geburtsdatum oder Wohnort auslesen. Damit ist er in der Lage, weitere Online-Dienste zu nutzen, die die eID-Funktion anbieten, wie zum Beispiel Steuererklärungen oder Rentenanträge.
Schwachstelle seit Jahren bekannt
Die Schwachstelle ist nicht neu. Bereits im Jahr 2019 haben zwei Forscher von der Ruhr-Universität Bochum auf die Möglichkeit eines solchen Angriffs hingewiesen. Sie haben damals das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert und Vorschläge zur Behebung der Lücke gemacht. Das BSI hat jedoch keine Maßnahmen ergriffen, um das Problem zu lösen. Stattdessen hat es die Schwachstelle als "theoretisch" abgetan und behauptet, dass sie "keine praktische Relevanz" habe.
Das ist offensichtlich falsch, wie CtrlAlt nun beweist. Er hat seine Erkenntnisse ebenfalls dem BSI gemeldet und eine Frist von 90 Tagen gesetzt, um die Lücke zu schließen. Diese Frist ist jedoch am 15. Februar 2024 abgelaufen, ohne dass das BSI reagiert hat. Deshalb hat CtrlAlt seine Ergebnisse nun öffentlich gemacht, um die Nutzer des eID-Verfahrens zu warnen und Druck auf das BSI auszuüben.
Was können Nutzer tun?
Bis das BSI die Schwachstelle behebt, sollten Nutzer des eID-Verfahrens vorsichtig sein und ihre Ausweisnummer und Transport-PIN nicht an Dritte weitergeben. Sie sollten auch regelmäßig ihre Ausweisaktivitäten überprüfen und verdächtige Vorgänge melden. Außerdem sollten sie ihre Transport-PIN so schnell wie möglich durch eine persönliche PIN ersetzen, die sie selbst wählen können. Das erschwert zwar nicht den Angriff, aber erhöht die Sicherheit der PIN.
Die Schwachstelle zeigt, dass das eID-Verfahren dringend einer Überarbeitung bedarf, um den Schutz der persönlichen Daten der Nutzer zu gewährleisten. Das BSI muss seiner Verantwortung nachkommen und die Lücke schließen, bevor sie von Kriminellen ausgenutzt wird. Es muss auch transparenter sein und die Nutzer über die Risiken des eID-Verfahrens aufklären. Das Vertrauen in die Online-Ausweisfunktion ist bereits erschüttert. Es liegt nun am BSI, es wiederherzustellen.