Aktuelles

Goethe war gut - hat er jetzt sogar einen Personalausweis?

Wie die Sicherheitsforscher von SEC Consult herausgefunden haben wollen, ist die Online-Ausweisfunktion vom Personalausweis angreifbar, Identitäten sollen manipuliert und übernommen werden können. Den Forschern sei es sogar gelungen, sich online mit Hilfe des Personalausweises als "Johann Wolfgang von Goethe" zu authentifizieren.

Zwar gibt es noch nicht wirklich viele sinnvolle Webdienste, die auf die Authentifizierung mit dem Personalausweis setzen, gleichwohl kann man das bei einigen Ämtern, Behörden und staatlichen Organisationen tun. Das Steuerportal "Elster" oder der "Online-Mahnantrag" der deutschen Mahngerichte wären ein Beispiel.

Im neuen Personalausweis gibt es einen RFID-Chip. In Verbindung mit einem passenden Kartenlesegerät und einer entsprechenden Client-Software kann eine Webanwendung die Identität des Ausweisinhabers verifizieren. Die Legitimation erfolgt über einen vertrauenswürdigen Server - bestätigt der die Identität, teilt die Client-Software dem Webdienst das Ergebnis mit. Damit die Anfragen nicht manipuliert werden können, werden sie durch den Server signiert.

In der Webanwendung, an die die Daten übermittelt werden, arbeitet das Governikus Autent SDK, welches den Abgleich der übermittelten Daten übernimmt. Wie die Fachleute von SEC Consult herausgefunden haben wollen, könnte ein Angreifer neben einer korrekt signierten in einer URL verpackten Anfrage noch eine weitere manipulierte URL mitschicken, sich authentifizieren und Aktionen im Namen einer anderen Person ausführen.

Mit Version 3.8.1.2 des Governikus Autent SDK soll die Schwachstelle geschlossen sein.

Wie die Governikus GmbH & Co. KG inzwischen in einer Stellungnahme mitgeteilt hat, bediente sich das von SEC Consult verwendete Angriffsszenario einer Demonstrationsumgebung, die nie den Anspruch hatte, unter realen Bedingungen im Live-Betrieb eingesetzt zu werden. "Die im Autent SDK enthaltenen Demoszenarien sind, wie aus dem Namen ersichtlich, zur Demonstration der Bibliotheken gedacht. Sie hatten und haben allerdings nicht den Anspruch, weitere Sicherheitsmaßnahmen, die im Realbetrieb erforderlich sind, zu erwähnen oder gar zu implementieren." so der Wortlaut. "Das Demo-Szenario enthält nicht das vollständige Autent SDK und kann so nicht für eine vollständige Implementierung einer im realen Betrieb durchgeführten Personalausweisintegration verwendet werden und sollte lediglich verdeutlichen, wie einfach eine Implementierung vorgenommen werden kann!"

Diensteanbieter müssen demnach umfangreiche weitere Sicherheitsmaßnahmen ergreifen, um den Schutz vor XSS-Angriffen, SQL-Injection, Replay-Angriffen und anderem Hacker-Repertoire sicherzustellen, ein Umstand, der im Angriffsszenario scheinbar nicht genügend bzw. gar nicht berücksichtigt wurde.

Das heißt auch, das bestehende Implementierungen, gerade und im besonderen auch bei der Personalausweis-Authentifizierung keine Schwachstellen aufweisen, die von Dritten zur Manipulation verwendet werden können. Die Praxisnähe der durchgeführten Angriffsszenarien darf daher durchaus bezweifelt werden.

23.11.2018