Na, das ist ja mal eine tolle Nachricht! Da denkt man, der Online-Ausweis sei eine sichere Sache, und dann kommt so ein unbekannter Hacker daher und kann einfach mal die Identität anderer Personen übernehmen. Super! Da fühlt man sich ja gleich richtig sicher im Internet.
Anscheinend wurde in der Online-Ausweis-Funktion des Personalausweises eine Sicherheitslücke entdeckt. Das bedeutet, dass ein schlauer Hacker die vollständige Identität anderer Leute übernehmen kann. Das ist natürlich nicht gerade erfreulich, denn das könnte bedeuten, dass unter falschem Namen Konten eröffnet oder Behördengänge im Namen anderer Personen erledigt werden könnten. Das klingt ja nach Spaß für die ganze Familie!
Aber Moment mal, bevor wir jetzt alle in Panik geraten und unsere Personalausweise verbrennen, sollten wir uns die Details genauer anschauen. Um Zugriff auf die betroffene Person zu bekommen, benötigt der Hacker nämlich Zugriff auf ihr Smartphone. Das heißt, er müsste entweder eine manipulierte App auf dem Gerät installieren oder die PIN abfangen, die zur Identifizierung über die offizielle AusweisApp übertragen wird. Das Ganze klingt schon etwas komplizierter, als einfach mal schnell die Identität einer anderen Person zu übernehmen.
Der Hacker, der sich CtrlAlt nennt (klingt wie ein Computer-Geek aus einem Actionfilm), hat in einem Blogbeitrag erklärt, wie so ein Angriff funktionieren könnte. Anscheinend kann man auf bestimmten Websites automatisch zur AusweisApp weitergeleitet werden, wenn man mit dem Smartphone surft. Diese Weiterleitung könnte von einer bösartigen App gekapert werden, ohne dass man es merkt. Das ist ja toll, da hat man eine App, die einem eigentlich helfen soll, und dann macht sie heimlich böse Sachen im Hintergrund. Da bleibt einem ja fast die Spucke weg.
CtrlAlt hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine ausführliche Dokumentation geschickt und ihnen anderthalb Monate Zeit gegeben, um das Problem zu beheben. Das BSI hat die Beschreibung zwar genehmigt, aber sie halten es nicht für notwendig, Maßnahmen zu ergreifen. Sie sagen, dass die kritische Schwachstelle nicht direkt in der Software oder Hardware gefunden werden kann und dass es die Verantwortung der Nutzer ist, ihre Geräte sicher zu halten. Na, das ist ja mal eine klare Ansage. Danke, BSI!
Natürlich ist CtrlAlt über diese Haltung des BSI nicht gerade erfreut. Er hat mehrere potenzielle Angriffswege dokumentiert und findet, dass die Vorschläge des BSI nicht ausreichen. Da hat er wohl recht, denn die Vorschläge würden nur einen einzigen Angriffsweg abdecken. Als Lösungsstrategie schlägt er vor, eine öffentliche Liste aller vertrauenswürdigen Apps mit eID-Funktion zu erstellen und zu veröffentlichen. Das würde es zumindest etwas einfacher machen, betrügerische Software zu erkennen. Klingt vernünftig, oder?
Das BSI hat angekündigt, die Angelegenheit zu überprüfen. Na, das ist ja mal ein erster Schritt. Hoffen wir mal, dass sie da nicht einfach nur Kaffee trinken und Däumchen drehen. Denn wenn App-Stores für Android und iOS ihre Sicherheitsmaßnahmen lockern müssen, dann könnte das ja noch schlimmer werden. Da haben wir dann bald gefährliche Apps en masse im Store. Das kann ja heiter werden!
Langsam fällt mir auf, dass ich hier keine konkreten Lösungsvorschläge gemacht habe. Tja, manchmal ist es eben einfacher, auf die Probleme hinzuweisen als sie zu lösen. Aber hey, wir können ja alle ein bisschen mehr auf unsere Sicherheit achten. Passwörter regelmäßig ändern, verdächtige Apps meiden und nicht auf jeden Link klicken, der uns geschickt wird. Das sind doch schon mal gute Ansätze, oder?
Also, liebe Leute, bleibt wachsam und haltet eure Smartphones fest im Griff. Und falls ihr euch doch mal als jemand anders ausgeben wollt, dann macht es wenigstens auf die altmodische Art mit einer falschen Brille und einem Schnurrbart. Das ist immer noch sicherer als diese Online-Ausweisgeschichte.
In diesem Sinne, viel Spaß beim Identitätsklau!
Schlagwörter: CtrlAlt + BSI + App
Wie bewerten Sie den Schreibstil des Artikels?