Wirbel in Deutschland

Hacker knackt digitalen Ausweis und eröffnet Konto

Ein Hacker hat eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Ihm sei es gelungen, mithilfe einer eigenen App anstelle der offiziell vorgesehen „AusweisApp“ an Login-Daten für die sogenannte eID-Funktion zu gelangen. Damit konnte der Hacker sogar ein Bankkonto eröffnen.

Einem „Spiegel“-Bericht zufolge ist die eID-Funktion bei mehr als 50 Millionen Personalausweisbesitzern aktiviert und dient als Grundlage für digitale Behördengänge. Sie wird unter anderem auch zur Identifizierung bei Banken verwendet. Mit dem Trick sei es dem Hacker, der unter dem Pseudonym „CtrlAlt“ auftritt, geglückt, unter fremden Namen ein Konto bei einer großen deutschen Bank zu eröffnen.

Das ist ein realistisches Angriffsszenario.

Chaos Computer Club

Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte, dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe. „Das ist ein realistisches Angriffsszenario“, sagt der Sprecher dem Nachrichtenmagazin. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann“.

Hacker meldete Schwachstellen am 31. Dezember
Der Hacker habe das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember über seine Erkenntnisse informiert. Das Bundesamt teilte dem „Spiegel“ jedoch mit, dass man keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“ sehe, heißt es in dem Bericht. Es handle sich demnach nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzerinnen und Nutzer. Man werde aber eine Anpassung prüfen.

In Österreich gibt es noch keinen digitalen Personalausweis, doch wird an seiner Einführung gearbeitet. Seit dem Vorjahr gibt es im Rahmen der ID Austria den Führerschein am Handy, diese Woche wurde der digitale Zulassungsschein als zweite Ausweisform vorgestellt.