Zum Hauptinhalt springen
Alle Beiträge
Blog

Schwachstellen im deutschen eID-System

Schwachstellen im deutschen eID-System

Author
Verfasst vonChristiane Hattemer
Veröffentlicht am20.01.2025

Mögliche Ursachen für Fehler beim verschlüsselten Auslesen von Ausweisdokumenten

Seit geraumer Zeit werden alle deutschen Personalausweise und elektronischen Ausweistitel mit einem Chip versehen, der eine eID-Funktion beinhaltet. Hierüber können Identifikationsprozesse bei Behörden und andere geschäftliche Angelegenheiten einfach und schnell digital erledigt werden.

Dieser Chip ist seit 2017 in allen Ausweisdokumenten automatisch aktiviert und seit 2021 gibt es zusätzlich zu Personalausweisen und elektronischen Ausweistiteln eine eID-Karte für EU-Bürgerinnen und -Bürger, die auch in Deutschland genutzt werden kann.

Immer wieder gibt es Berichte, denen zufolge Schwachstellen im eID-System die Sicherheit dieser Identifikationsmethode gefährden, nur: welche sind dies überhaupt?

Definition: eID-Funktion

eID steht für elektronische Identifikation. Dank dieser Funktion können Ausweisinhaber:innen über 16 Jahren nach der PIN-Eingabe ausgewählte Identitätsdaten sicher und vertrauenswürdig verfügbar machen. Sehr praktisch ist das, wenn man Verwaltungsangelegenheiten wie etwa eine Wohnungsummeldung bequem übers Internet vornehmen möchte.  Die Stadt Wiesbaden beispielsweise bietet seinen Bürgerinnen und Bürgern diesen Service seit Anfang 2023 an.

In sensiblen Branchen wie dem E-Government oder dem Bankwesen soll das verschlüsselte Auslesen von Ausweisdokumenten höchste Sicherheit gewährleisten.

Welche Schwachstellen können im deutschen eID-System vorkommen?

Schwachstellen von elektronischen Identitätssystemen können das Risiko von Datenschutzverletzungen, Identitätsdiebstahl und anderen Fraud-Vorkommen erhöhen. Für Unternehmen ist es darum essenziell, die möglichen Ursachen zu kennen.

Technologische Schwachstellen im eID-System

In die Kategorie der technologischen Schwachstellen im eID-System könnten eine ganze Reihe verschiedener Ursachen fallen, beispielsweise unvollständige oder nicht eingehaltene Sicherheitsvorgaben, Programmierfehler oder veraltete Systeme und/oder Hardware.

Mitunter ist allerdings regelrechte Detektivarbeit erforderlich, um die Schwachstellen in der Software oder den Hardware-Komponenten im eID-System zu entdecken. So kann es beispielsweise zu Puffer-Überläufen kommen: Wenn es gelingt, mehr Daten in einen Speicher zu schreiben, als der dafür vorgesehene Puffer aufnehmen kann, werden in einem solchen Falle die angrenzende Speicherbereiche mit Daten beschrieben. Die Folgen eines solchen Puffer-Überlaufs (Buffer Overflows) können Programmabstürze, Kompromittierung der Daten, illegales Verschaffen erweiterter Rechte oder die Ausführung von Schadcode sein, um nur ein Beispiel zu nennen.

Prozessuale Schwachstellen im eID-System

Auch die Prozesse in der Organisation oder der Verwaltung hinter einem eID-System können Schwächen aufweisen: Wenn beispielsweise ein routinemäßiges Update fehlgeschlagen ist, kann es zu Verzögerungen bei der Schließung bekannter Sicherheitslücken kommen.

Anwendungsbezogene Schwachstellen

Ein möglichweise unzureichendes Sicherheitsbewusstsein der Personen, die eID-Lösungen nutzen, können ein Risiko darstellen, wenn sie beispielsweise einfach zu erratende Ziffernfolgen für ihre PIN verwenden (etwa 123456) oder Opfer einer Phishing-Attacke geworden sind.

Ein im Februar 2024 bekannt gewordene Beispiel veranschaulicht gut, wie eine anwendungsbezogene Schwachstelle eines eID-Systems aussehen könnte:

Eine Person installierte eine angeblich verbesserte Version der AusweisApp, die in Wirklichkeit ein Trojaner war. Sie fungierte beim nächsten ID-Feststellungsvorgang als Man-in-the-Middle und leitete die eingegebene PIN für den E-Perso-Zugriff und dessen weitere Datenpakete (sogenannte APDUs) an den Cyber-Kriminellen weiter, so dass dieser sich bei der Bank als sein Opfer ausweisen konnte.

Mit solchen, inzwischen weit verbreiteten, Man-in-the-Middle-Attacken versuchen Cyber-Kriminelle genau wie in unserem Beispiel, den Datenverkehr zwischen zwei Zielsystemen mitzulesen, abzufangen und zu manipulieren. Haben sie erst einmal vertrauliche oder persönliche Informationen abgefangen, ist es für die Betrüger ein Leichtes, sich gegenüber Dritten als die durch einen Man-in-the-Middle-Angriff betroffene Person auszugeben.

Präventionsmaßnahmen zur Reduzierung von eID-Schwachstellen

Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) beteuert immer wieder, dass das deutsche eID-System sehr sicher ist. Das setzt jedoch voraus, dass bei den eingesetzten eID-Lösungen möglichst alle Maßnahmen zur Vermeidung von eID-Schwachstellen ergriffen werden. Darum sollten Unternehmen und Organisationen, die eID-Lösungen zum Einsatz bringen wollen, bei der Auswahl ihrer IT-Dienstleister darauf achten, ausschließlich auf Anbieter zu setzen, die Identifikationsprodukte nach neuesten regulatorischen Vorgaben bereitstellen.

Technische Maßnahmen

Wie immer im gesamten IT-Bereich sind regelmäßige Sicherheits- und System-Updates und Patches sowie der Einsatz von Hardware-Sicherheitsmodulen das A und O zur Reduzierung möglicher eID-Schwachstellen.

Viele Dienstleister, etwa WebID, sind spezialisiert darauf, Identifikationsprodukte bereitzustellen, die datenschutzkonform sind und die möglichen Schwachstellen nicht mehr aufweisen. Mit eID beispielsweise profitieren Unternehmen von einer ausgereiften, vollautomatisierten Identifikationslösung, die das verschlüsselte Auslesen von Ausweisdokumenten sicher macht. Sie ist GwG-konform und entspricht der aktuellen eIDAS-Verordnung in der EU.

Prozessuale Maßnahmen zur Reduzierung möglicher eID-Schwachstellen

Wie bereits erwähnt, sind fest terminierte Sicherheitsüberprüfungen und Penetrationstests entscheidend, wenn es um die Reduzierung möglicher eID-Schwachstellen geht.

Aber auch den Maßnahmen zur Sensibilisierung der Nutzer:innen sollte Aufmerksamkeit geschenkt werden, beispielsweise durch Schulungen zur sicheren Nutzung sowie eine Sensibilisierung hinsichtlich möglicher Social-Engineering-Gefahren.

Zukünftige Herausforderungen

Die Weiterentwicklung der eID-Technologie muss mit den kontinuierlich zunehmenden Cyber-Bedrohungen Schritt halten können, denn es kann als gesichert angenommen werden, dass Social-Engineering-Methoden wie etwa Man-in-the-Middle-Angriffe auch dank KI immer ausgefeiltere Formen annehmen werden.

Um so wichtiger ist es, bei der Integration von Lösungen zur verschlüsselten Auslesung von Ausweisdokumenten auf verlässliche Anbieter zu setzen, die über die erforderliche Expertise verfügen.

Verification Knowledge: Egal wann und wo

Abonniere unseren Newsletter, um regelmäßig exklusive Einblicke,Updates und Angebote rund um WebID zu erhalten.