BSI analysierte vermeintliche Schwachstelle im eID-System
Online-Ausweisfunktion weiterhin die sicherste Möglichkeit sich digital auszuweisen.
Ort Bonn
Datum 16.02.2024
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde. Das BSI nimmt solche Hinweise ernst, behandelt sie stets vertraulich und führt entsprechende Analysen durch.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen. Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion. Aus Sicht des BSI ist die Online-Ausweisfunktion weiterhin die sicherste Möglichkeit für Bürgerinnen und Bürger sich digital auszuweisen.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich. Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren. Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z. B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann. Dabei ist zu berücksichtigen, dass die Architektur des eID-Systems bewusst offen gestaltet wurde, um Diensteanbietern das Bereitstellen entsprechender Funktionen zu vereinfachen und Anwenderinnen und Anwendern eine freie Auswahl bei der eingesetzten Software zu erlauben. Dies ermöglicht ein breites Angebot an vielfältig nutzbaren Anwendungsmöglichkeiten für die Online-Ausweisfunktion des Personalausweises.
Pressekontakt:
Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de