Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4
Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.
Anders als in der Schweiz gibts die E-ID in Deutschland bereits seit Jahren. 56 Millionen Menschen haben sie aktiviert, wie das Nachrichtenmagazin 'Der Spiegel' berichtet. Für 250 Anwendungen ist die deutsche E-ID freigeschaltet, darunter Banken, Steuerämter, Versicherungen oder Telcos.
Wie ein ausführlicher, aber anonymer Blogbeitrag nun zeigt, ist es möglich, die deutsche E-ID über eine Man-in-the-Middle-Attacke zu missbrauchen. Der Spiegel-Bericht referenziert die Ausführungen des Nutzers "CtrlAlt" in seinem Artikel. Die anonyme Person bezeichnet sich selbst als IT-Sicherheitsforscher. Wie er schreibt, ist es möglich, die Identität anderer Menschen zu stehlen und in ihrem Namen digitale Behördengänge durchzuführen, Bankkonti zu eröffnen oder Versicherungen abzuschliessen.
Manipulierte Apps fangen Identität ab
Im 'Spiegel' (Paywall) und im Beitrag auf Medium ist ausführlich beschrieben, wie die Sicherheitslücke ausgenutzt werden kann. Vereinfacht gesagt gelingt dies, wenn Nutzerinnen und Nutzer eine manipulierte App installieren, welche die Identität des Online-Ausweises abfängt und an die Cyberkriminellen weiterleitet. Die Opfer merken nichts davon, weil sich dies im Hintergrund abspielt – Vordergründig gelingt die Anmeldung beim gewünschten Dienst ganz wie gehabt.
Wissenswertes zur deutschen E-ID
Die 'Süddeutsche Zeitung' erklärt, warum die elektronische Identität in Deutschland "ein Rohrkrepierer" bleibt. In diesem Artikel ist die Historie beschrieben und unter anderem auch der Umstand, dass der Staat "29 Millionen Euro ausgab, nur um Pin-Codes zurückzusetzen".
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber dem 'Spiegel' sagt, erwäge man das Problem anzugehen und "die Möglichkeiten und Implikationen einer entsprechenden Anpassung prüfen". Es handle sich bei diesem Angriffsvektor aber "nicht um einen Angriff auf das E-ID-System, sondern auf die Endgeräte der Nutzerinnen und Nutzer", so das BSI.
E-ID-System in der Schweiz ist vergleichbar
Erik Schönenberger. Foto: Screenshot 10vor10, SRF
"Nach aktuellem Kenntnisstand dürfte das Problem auch bei der vorgesehenen Lösung der Schweizer E-ID bestehen", bestätigt Erik Schönenberger, Geschäftsführer der Digitalen Gesellschaft Schweiz gegenüber Inside IT. Der gleiche Angriffsweg bestehe auch hierzulande. Noch ist aber unklar, "was genau geplant ist, oder wie die Möglichkeiten in zwei Jahren bei der Umsetzung sein werden".
"Der Hauptgrund für die Lücke besteht darin, dass die Ausweis-Applikation ausgetauscht werden kann», erklärt Schönenberger. Wenn eine 'Fake-App' nach der Eingabe der PIN oder durch das Übertragen der Nachweise Zugriff auf die Ausweisdaten erhält, ist Missbrauch Tür und Tor geöffnet. Das Problem ist hierbei also weniger die Ausweis-App selber, sondern die zugrundeliegende Architektur", erklärt Schönenberger.
Er plädiert deshalb für eine strikte Bindung der E-ID an das Smartphone und die E-ID-App mit denen die E-ID beantragt wurden. Dies heisst aber auch, sollte das "Smartphone gestohlen oder verloren gehen, eine neue E-ID beantragt werden muss". So werde sichergestellt, dass die Daten nicht in falsche Hände geraten.
E-Identität hierzulande kommt 2026
Noch gibt es in der Schweiz aber keine E-ID. Sie wird frühestens im Jahr 2026 zur Verfügung stehen. Voraussichtlich berät in der Frühlingssession 2024 der Nationalrat über das Gesetz. Die Vernehmlassung ist abgeschlossen, die Entwicklung kostet 182 Millionen Franken.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!