{"id":4789,"date":"2024-02-16T11:10:34","date_gmt":"2024-02-16T11:10:34","guid":{"rendered":"https:\/\/byte-bucket.com\/2024\/02\/16\/sicherheitsluecke-im-online-ausweis-unbekannter-hacker-kann-identitaet-uebernehmen\/"},"modified":"2024-02-16T11:10:34","modified_gmt":"2024-02-16T11:10:34","slug":"sicherheitsluecke-im-online-ausweis-unbekannter-hacker-kann-identitaet-uebernehmen","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=4789","title":{"rendered":"Sicherheitsl\u00fccke im Online-Ausweis: Unbekannter Hacker kann Identit\u00e4t \u00fcbernehmen"},"content":{"rendered":"<p>Na, das ist ja mal eine tolle Nachricht! Da denkt man, der Online-Ausweis sei eine sichere Sache, und dann kommt so ein unbekannter Hacker daher und kann einfach mal die Identit\u00e4t anderer Personen \u00fcbernehmen. Super! Da f\u00fchlt man sich ja gleich richtig sicher im Internet.<\/p>\n<p>Anscheinend wurde in der Online-Ausweis-Funktion des Personalausweises eine Sicherheitsl\u00fccke entdeckt. Das bedeutet, dass ein schlauer Hacker die vollst\u00e4ndige Identit\u00e4t anderer Leute \u00fcbernehmen kann. Das ist nat\u00fcrlich nicht gerade erfreulich, denn das k\u00f6nnte bedeuten, dass unter falschem Namen Konten er\u00f6ffnet oder Beh\u00f6rdeng\u00e4nge im Namen anderer Personen erledigt werden k\u00f6nnten. Das klingt ja nach Spa\u00df f\u00fcr die ganze Familie!<\/p>\n<p>Aber Moment mal, bevor wir jetzt alle in Panik geraten und unsere Personalausweise verbrennen, sollten wir uns die Details genauer anschauen. Um Zugriff auf die betroffene Person zu bekommen, ben\u00f6tigt der Hacker n\u00e4mlich Zugriff auf ihr Smartphone. Das hei\u00dft, er m\u00fcsste entweder eine manipulierte App auf dem Ger\u00e4t installieren oder die PIN abfangen, die zur Identifizierung \u00fcber die offizielle AusweisApp \u00fcbertragen wird. Das Ganze klingt schon etwas komplizierter, als einfach mal schnell die Identit\u00e4t einer anderen Person zu \u00fcbernehmen.<\/p>\n<p>Der Hacker, der sich CtrlAlt nennt (klingt wie ein Computer-Geek aus einem Actionfilm), hat in einem Blogbeitrag erkl\u00e4rt, wie so ein Angriff funktionieren k\u00f6nnte. Anscheinend kann man auf bestimmten Websites automatisch zur AusweisApp weitergeleitet werden, wenn man mit dem Smartphone surft. Diese Weiterleitung k\u00f6nnte von einer b\u00f6sartigen App gekapert werden, ohne dass man es merkt. Das ist ja toll, da hat man eine App, die einem eigentlich helfen soll, und dann macht sie heimlich b\u00f6se Sachen im Hintergrund. Da bleibt einem ja fast die Spucke weg.<\/p>\n<p>CtrlAlt hat dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) eine ausf\u00fchrliche Dokumentation geschickt und ihnen anderthalb Monate Zeit gegeben, um das Problem zu beheben. Das BSI hat die Beschreibung zwar genehmigt, aber sie halten es nicht f\u00fcr notwendig, Ma\u00dfnahmen zu ergreifen. Sie sagen, dass die kritische Schwachstelle nicht direkt in der Software oder Hardware gefunden werden kann und dass es die Verantwortung der Nutzer ist, ihre Ger\u00e4te sicher zu halten. Na, das ist ja mal eine klare Ansage. Danke, BSI!<\/p>\n<p>Nat\u00fcrlich ist CtrlAlt \u00fcber diese Haltung des BSI nicht gerade erfreut. Er hat mehrere potenzielle Angriffswege dokumentiert und findet, dass die Vorschl\u00e4ge des BSI nicht ausreichen. Da hat er wohl recht, denn die Vorschl\u00e4ge w\u00fcrden nur einen einzigen Angriffsweg abdecken. Als L\u00f6sungsstrategie schl\u00e4gt er vor, eine \u00f6ffentliche Liste aller vertrauensw\u00fcrdigen Apps mit eID-Funktion zu erstellen und zu ver\u00f6ffentlichen. Das w\u00fcrde es zumindest etwas einfacher machen, betr\u00fcgerische Software zu erkennen. Klingt vern\u00fcnftig, oder?<\/p>\n<p>Das BSI hat angek\u00fcndigt, die Angelegenheit zu \u00fcberpr\u00fcfen. Na, das ist ja mal ein erster Schritt. Hoffen wir mal, dass sie da nicht einfach nur Kaffee trinken und D\u00e4umchen drehen. Denn wenn App-Stores f\u00fcr Android und iOS ihre Sicherheitsma\u00dfnahmen lockern m\u00fcssen, dann k\u00f6nnte das ja noch schlimmer werden. Da haben wir dann bald gef\u00e4hrliche Apps en masse im Store. Das kann ja heiter werden!<\/p>\n<p>Langsam f\u00e4llt mir auf, dass ich hier keine konkreten L\u00f6sungsvorschl\u00e4ge gemacht habe. Tja, manchmal ist es eben einfacher, auf die Probleme hinzuweisen als sie zu l\u00f6sen. Aber hey, wir k\u00f6nnen ja alle ein bisschen mehr auf unsere Sicherheit achten. Passw\u00f6rter regelm\u00e4\u00dfig \u00e4ndern, verd\u00e4chtige Apps meiden und nicht auf jeden Link klicken, der uns geschickt wird. Das sind doch schon mal gute Ans\u00e4tze, oder?<\/p>\n<p>Also, liebe Leute, bleibt wachsam und haltet eure Smartphones fest im Griff. Und falls ihr euch doch mal als jemand anders ausgeben wollt, dann macht es wenigstens auf die altmodische Art mit einer falschen Brille und einem Schnurrbart. Das ist immer noch sicherer als diese Online-Ausweisgeschichte.<\/p>\n<p>In diesem Sinne, viel Spa\u00df beim Identit\u00e4tsklau!<\/p>\n<p>Schlagw\u00f6rter: CtrlAlt + BSI + App<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Na, das ist ja mal eine tolle Nachricht! Da denkt man, der Online-Ausweis sei eine sichere Sache, und dann kommt so ein unbekannter Hacker daher und kann einfach mal die Identit\u00e4t anderer Personen \u00fcbernehmen. Super! Da f\u00fchlt man sich ja gleich richtig sicher im Internet. Anscheinend wurde in der Online-Ausweis-Funktion&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":4788,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-4789","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4789","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4789"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4789\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/4788"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4789"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4789"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4789"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}