© princeph / 123RF.com

Über einen Angriff auf die Online-Authentifizierungsfunktion des deutschen Personalausweises kann ein Angreifer die Identität des Opfers übernehmen.

Das deutsche eID-System, besser bekannt als Online-Ausweisfunktion, ist eine digitale Identitätslösung der deutschen Regierung, integriert in den deutschen Personalausweis. Die Funktion ermöglicht sichere und benutzerfreundliche Online-Authentifizierungsprozesse und erlaubt es, digitale Signaturen für Bürger zu erstellen. Das ermöglicht den Zugang zu verschiedenen Online-Diensten wie Regierungsportalen, Steuererklärungen, Gesundheitsdiensten, Versicherungen, Bankwesen und E-Commerce-Plattformen. Kernstück des eID-Systems bildet ein direkt in den Personalausweis integrierter Chip. Er verfügt über diverse Sicherheitsmerkmale, die vor einer Vielzahl potenzieller Bedrohungen schützen. Zur sicheren Kommunikation implementiert er standardisierte Protokolle und nutzt das APDU-Format (Application Protocol Data Unit) für den Datenaustausch zwischen Karte und eID-Server.

Das deutsche eID-System definiert gemäß BSI TR-03119 verschiedene Kategorien von Lesegeräten. Bei Basislesern (Kat.-B) für den Heimgebrauch handelt es sich typischerweise um integrierte Geräte wie Smartphones oder Notebooks. Sie erfordern im Gegensatz zu anderen Kategorien keine PIN-Eingabe mit PACE-Unterstützung (Password Authenticated Connection Establishment) und kommen häufig in gering gesicherten Szenarien wie für die Altersverifikation, für das eTicketing oder das Internet-Shopping zum Einsatz. Standardleser (Kat.-S) sind physische Smartcard-Reader mit einem Pad für die PIN-Eingabe. Das verbessert die Sicherheit bei verschiedenen Online-Interaktionen. Komfortleser (Kat.-K) verfügen nicht nur über ein PIN-Pad, sondern zusätzlich über ein Display für 2 x 16 alphanumerische Zeichen. Diese Kategorie unterstützt alle Funktionen der eID-Karte, einschließlich der qualifizierten elektronischen Signatur.

Dieses Design des eID-Systems ist in Bezug auf Sicherheit robust. Die Verwendung von Basislesern empfiehlt sich für Situationen mit geringen Sicherheitsanforderungen, wogegen sich Standard- oder Komfortleser für Szenarien mit erheblichen oder hohen Anforderungen eignen. Allerdings ergibt sich eine Herausforderung aufgrund des Mangels an Marktanwendungen für physische Lesegeräte. In der Praxis verlassen sich die meisten Bürger auf ihre Smartphones, um mit der eID-Karte zu interagieren. Das gilt sowohl für die Nutzung der eID direkt auf dem Mobiltelefon als auch für dessen Verwendung als Lesegerät für die Ausweis-App auf einem Laptop.

Die neue sPACE-Attacke [1] wurde erstmals in einem Beitrag auf Medium von einem anonymen Autor präsentiert. Sie setzt beim Smartphone als Kartenleser an. Für ihre Ausführung benötigt der Angreifer Zugriff auf das Mobiltelefon des Opfers, etwa über eine manipulierte App. Auf diese Weise kann er die PIN abfangen, die zur Identifizierung über die offizielle Ausweis-App dient. Damit und mit anderen zugänglichen Informationen könnte der Angreifer sich dann als die betroffene Person ausgeben und in ihrem Namen handeln.

Die für die Attacke verantwortliche Design-Schwachstelle im eID-System besteht darin, dass Mechanismen zur Validierung der Endpunkte zwischen dem eID-Server und dem eID-Client des Benutzers fehlen, was Man-in-the-Middle-Angriffe via Spoofing ermöglicht. Der Angriff umfasst das Platzieren eines modifizierten eID-Kernels auf dem Smartphone eines Opfers, wodurch sowohl die APDUs als auch die PIN umgeleitet werden. Das Ausführen dieser Operation erfordert keine besonderen Berechtigungen auf dem Mobiltelefon, was die Manipulation des PACE-Protokolls ermöglicht. Das BSI selbst sieht darin keine Schwachstelle im engeren Sinn [2], da die Ausweis-App nicht fehlerhaft ist. Stattdessen verweist die Behörde darauf, dass es in der Verantwortung der Benutzer liegt, auf die Sicherheit ihrer Endgeräte zu achten. (jcb)