Neue Personalausweise in Deutschland haben eine Online-Funktion, mit der man verschiedene Dienstleistungen direkt am PC oder Smartphone und ohne Besuch beim Amt in Anspruch nehmen kann. Wie nahezu alle Online-Dienste gibt es auch beim Personalausweis die Gefahr von Hack-Angriffen. Einem Hacker ist es nun gelungen, mit dem Online-Ausweis Bankkonten auf fremden Namen zu eröffnen.
Über den gelungenen Hack von „CtrlAlt“ hat zuerst der Spiegel berichtet. Wie lässt sich die eID-Funktion des Ausweises hacken und wie kann man sich schützen?
eID gehackt: Wie funktioniert das?
Um die Online-Funktionen des Personalausweises zu nutzen, setzt man die „AusweisApp“ ein. Der Hacker hat aber nicht die offizielle Anwendung angegriffen, sondern eine eigene App gentuzt, die als Ausweis-App ausgegeben wurde. Es sollen keine kriminellen Absichten im Vordergrund gestanden haben. Stattdessen sollte mit dem erfolgreichen Hack-Angriff gezeigt werden, welche Schwachstellen die eID bietet. Die Schritte, mit der sich die Online-Funktion umgehen lässt, wurden durch den Hacker beim Bundesamt für Sicherheit und Informationstechnik BSI gemeldet, dass für die Sicherheit der Ausweisfunktionen zuständig ist. Ein Sprecher des „Chaos Computer Clubs“ (CCC) mahnt, dass solche Angriffe auf die eID ausgeschlossen werden müssen:
„Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann.“
Online-Funktion des Personalausweises hacken – wie kann man sich schützen?
Noch bei der Einführung der Online-Funktion für Personalausweise im Jahr 2010 betonte der damalige Innenminister Thomas de Maizière die Sicherheit:
„Hacker mögen immer irgendwas hacken können. Aber die Sicherheit und Zuverlässigkeit des neuen Personalausweises steht nicht in Frage.“
Das BSI sieht das System nicht in Gefahr. So soll der Hack-Angriff keine allgemeine Schwachstelle beim eID-System aufgezeigt haben. Stattdessen liegt das Problem auf Nutzerseite. Bei dem Hackangriff wurden Login-Daten per Phishing über eine gefälschte AusweisApp abgegriffen. Nutzer können sich vor solchen Cyber-Attacken leicht schützen:
- Apps sollten immer nur aus vertrauenswürdigen Quellen wie dem Google Play Store oder App-Store von Apple installiert werden.
- Betrüger bauen bekannte Apps immer wieder nach und bieten sie unter ähnlichem Namen an. Nutzern fallen Unterschiede zur echten Anwendung möglicherweise nicht sofort auf. Alle Eingaben, die man über solche Fake-Apps tätig, können in die Hände von Betrügern gelangen.
- Gerade bei Apps mit sensiblen Daten sollte man kontrollieren, dass man die richtige Anwendung herunterlädt. Dafür sollte man zum Beispiel einen Blick auf die Rezensionen und die Angaben zum Entwickler der jeweiligen Anwendung werfen. Alternativ findet man die richtigen Downloads auch immer auf den offiziellen Webseiten, im Fall der AusweisApp zum Beispiel hier. Auch dabei sollte man darauf achten, sich auf der echten Seite zu befinden und nicht auf einer nachgebauten.
- Die Daten des Personalausweises sollten niemals leichtfertig aus der Hand gegeben werden. Lasst euch zum Beispiel nicht auf einen Händler bei Kleinanzeigen ein, der ein Ausweis-Scan von euch sehen möchte und gebt den Ausweis auch in fotografierter Form niemals aus der Hand.
- Generell sollte man auch bei Eingaben privater Daten im Browser und am Computer vorsichtig sein. Betrüger verschicken oft auch E-Mails in fremden Namen, in denen man unter einem Vorwand auf gefälschte Seiten gelockt wird.
Hat dir der Beitrag gefallen? Folge uns auf WhatsApp und Google News und verpasse keine Neuigkeit rund um Technik, Games und Entertainment.
