BR24 Logo | Startseite öffnen
BR24 Logo | Startseite öffnen
Netzwelt
Netzwelt
Ein deutscher Personalausweis liegt auf einer schwarzen Computertastatur.
Bildrechte: picture alliance / Zoonar | stockfotos-mg

In Deutschland sind derzeit etwa 56 Millionen Personalausweise mit eID im Umlauf.

Per Mail sharen
Artikel mit Audio-InhaltenAudiobeitrag
Home Icon > Netzwelt >

Personalausweis mit eID: Hacker gelingt Identitätsklau

Personalausweis mit eID: Hacker gelingt Identitätsklau

Vorsicht vor manipulierten Apps mit eID-Funktion: Ein Hacker demonstriert, wie leicht sich Login-Daten fremder Onlineausweise abgreifen und damit Geschäfte machen lassen. Das Bundesamt für Sicherheit in der Informationstechnik bleibt jedoch ruhig.

Von
Dominic Holzer
Dominic Holzer

Ein dem Magazin Spiegel (externer Link, gegebenenfalls Bezahlinhalt) anonym zugespieltes Video legt eine alarmierende Schwachstelle des Online-Personalausweises offen. "CtrlAlt" nennt sich dessen Absender und demonstriert darin, wie er in fremdem Namen ein Onlinekonto bei einer großen deutschen Bank anlegt und dabei die vermeintlich sichere eID überlistet.

Hacker überlistet eID und stiehlt fremde Identität

Diese Sicherheitslücke ermöglicht es potenziellen Betrügern, im Namen anderer Personen digitale Amtsgänge zu erledigen, wie etwa die Beantragung eines Führungszeugnisses oder den Zugriff auf private Rentenversicherungsdaten. Die Methode: CtrlAlt fängt Login und PIN der eID ab, indem er das zugrundeliegende Verfahren aus dem öffentlich zugänglichen Quellcode der offiziellen Ausweis-App kopiert.

Daraus programmiert der Hacker sich eine modifizierte App und bietet diese in offiziellen App-Stores von Apple und Google zum Download an, allzeit bereit zum Login-Diebstahl. Indem diese Apps ihren handelsüblichen Pendants dem Namen und Design nach oft zum Verwechseln ähnlich sehen, landen die manipulierten Apps samt Schadsoftware auf mehr Handys, als man glauben mag.

56 Millionen Personalausweise mit eID im Umlauf

"Ich war überrascht, wie einfach sich das System kompromittieren ließ", schreibt der Hacker dem Spiegel, es sei "nur eine Frage der Zeit, bis jemand das ausnutzt".

In Deutschland sind derzeit 56 Millionen Personalausweise mit der eID-Funktion im Umlauf, die seit Juli 2017 standardmäßig aktiviert wird. Obwohl das System anfangs auf Skepsis stieß, ist seine Nutzung im Jahr 2023 sprunghaft angestiegen, mit zehn Millionen Anwendungen allein zwischen Januar und August – ein deutlicher Anstieg zum Vorjahr.

Die Bundesregierung listet derzeit 250 verschiedene Dienste auf, die eine eID-Anmeldung ermöglichen. Dazu zählen die Anmeldung zu vielen verschiedenen Verwaltungsleistungen, das Steuerprogramm Elster oder auch die Anmeldung zur elektronischen Patientenakte bei Krankenkassen.

BSI: eID-Verfahren weiterhin sicher

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, dass es sich hierbei nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen handle, wie uns ein Sprecher mitteilt. Es handle sich hierbei um einen mehrstufigen Cyberangriff, man sehe bei der Nutzung der Online-Ausweisfunktion selbst "keine Änderung in der Risikobewertung".

Das BSI empfiehlt grundsätzlich die Verwendung von Apps, die vom Amt selbst zertifizierten wurden, darunter die offizielle AusweisApp.

Das ist die Europäische Perspektive bei BR24.

"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht's zur Anmeldung!