Kritische eID-Lücke: Was davon zu halten ist

Vergangenes Wochenende hat ein anonymer Sicherheitsforscher mit dem Pseudonym CtrlAlt ein Paper und eine Demo veröffentlicht, die Schwachstellen im eID-System aufzeigen. Die ermöglichten es ihm, unter der Identität eines Dritten ein Konto zu eröffnen. Dabei hat das Opfer eigentlich nichts falsch gemacht. Das BSI hat zwar die Analyse an sich weitestgehend bestätigt, wiegelt aber ab: Alles nicht so schlimm, eID sei weiterhin sicher. Und das Seltsame daran: Beide Seiten haben Recht. Security schlägt eben manchmal seltsame Volten.

Eine Analyse von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Aktuell kümmert er sich vor allem um heise Security Pro.

• heise Security Pro

Eine Kurzzusammenfassung des Angriffs und der aufgezeigten Schwächen: Das Opfer hat beispielsweise eine angeblich verbesserte Version der AusweisApp installiert, die in Wirklichkeit ein Trojaner war. Sie fungierte bei seinem nächsten ID-Feststellungsvorgang als Man-in-the-Middle und leitete die eingegebene PIN für den E-Perso-Zugriff und dessen weitere Datenpakete (sogenannte APDUs) an den Angreifer weiter. Der konnte sich damit bei der Bank als sein Opfer ausweisen.

Online-Ausweis: sicher trotz kompromittiertem Handy?

Natürlich kann man jetzt abwinken: Trojaner, alles klar, damit hat der Anwender verloren. Doch der Anspruch des eID-Systems war und ist es, eine digitale Ausweisfunktion bereitzustellen, die auch dann noch sicher ist, wenn das Endgerät des Anwenders kompromittiert wurde – etwa wie hier mit einem Trojaner. Da hält die eID ihr Versprechen als unabhängiger Vertrauensanker nicht ein. Trotzdem ist eID das aktuell sicherste ID-Verfahren und insbesondere den weitverbreiteten Video-Ident-Verfahren haushoch überlegen. Man kann es auch nach wie vor recht sicher nutzen, etwa indem man ausschließlich die offizielle AusweisApp für eID nutzt. Breit angelegte Angriffe, die diese Schwächen ausnutzen, sind nicht in Sicht und auf absehbare Zeit auch nicht wahrscheinlich. Denn mit vergleichbarem Aufwand könnten Angreifer viel lohnendere Angriffe umsetzen.

Trotzdem sollte das BSI jetzt handeln und die von CtrlAlt aufgezeigten Probleme entschärfen. Dazu sollte die Sicherheitsbehörde kurzfristig eine Liste der vertrauenswürdigen eID-Apps bereitstellen, an der sich verunsicherte Bürgerinnen und Bürger orientieren können. Und mittelfristig sollte es eine Design-Entscheidung revidieren, die vor 14 Jahren getroffen wurde und heute nicht mehr zeitgemäß ist. Um eine ID-Feststellung auszulösen, startet das Öffnen einer URL der Form eid://… den dafür registrierten Handler. Das Problem dabei ist, dass sich jede App, also auch ein Trojaner, für diese URLs registrieren kann. Deshalb gelten solche URL-Schemes bereits seit einigen Jahren nicht mehr als sicher; man sollte sie besonders in einem Security-Kontext nicht mehr einsetzen.

Besser sind da die sogenannten Universal URLs, bei denen definierte Deep-Links zum Anbieter den Aufruf einer App triggern. Das gibt es sowohl für iOS als auch für Android und es hat den Vorteil, dass der Anbieter die Kontrolle behält, welche Apps aufgerufen werden. Das war damals vor 14 Jahren bei der Konzeption des eID-Systems noch nicht so klar; aber das BSI täte gut daran, das jetzt mittelfristig umzustellen. Ich habe deshalb beim BSI angefragt, ob es bereits dafür Pläne gebe beziehungsweise was denn der Zeithorizont für diesbezügliche Entscheidungen wäre. Mal sehen, was dabei herauskommt.

(ju)