Einem Bericht des „Spiegel“ zufolge hat ein Hacker eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Mithilfe einer eigenen App gelang es ihm, Login-Daten für die sogenannte eID-Funktion abzugreifen, die digitale Behördengänge ermöglicht. Diese Erkenntnis wirft ein Schlaglicht auf potenzielle Schwachstellen in einem System, das von Millionen von Personen genutzt wird.

Die eID-Funktion ist bei mehr als 50 Millionen Personalausweisbesitzer:innen aktiviert und wird auch zur Identifizierung bei Banken verwendet. Der Hacker, der unter dem Pseudonym „CtrlAlt“ bekannt ist, konnte laut dem Bericht des „Spiegel“ mithilfe seines Tricks unter fremdem Namen ein Konto bei einer großen deutschen Bank eröffnen.

Das Chaos Computer Club bestätigt, dass der Hacker eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten aufgezeigt hat. Diese Schwachstelle eröffnet ein realistisches Angriffsszenario, das verhindert werden muss, um die Sicherheit der Nutzer:innen zu gewährleisten.

Nach Angaben des „Spiegel“ informierte der Hacker bereits Ende Dezember das Bundesamt für Sicherheit in der Informationstechnik (BSI) über seine Erkenntnisse. Obwohl das BSI keine Hinweise auf konkrete Angriffe vorliegen hat, wird eine Anpassung des Systems geprüft. Es wird jedoch betont, dass es sich nicht um einen direkten Angriff auf das eID-System handelt, sondern auf die Endgeräte der Nutzer:innen.

Diese Sicherheitslücke verdeutlicht die Notwendigkeit fortlaufender Überprüfungen und Verbesserungen in digitalen Identifikationssystemen, um die Integrität und Sicherheit der persönlichen Daten zu gewährleisten.

Zum Paper: