Abo
  • IT-Karriere:

Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff

Auf Anfrage teilte Governikus mit, dass der Angriff von SEC Consult nur in einer Beispielanwendung durchgeführt wurde. "Veröffentlicht wurde dieses Demo-Beispiel im Rahmen eines Anwenderforums, um aufzuzeigen, wie schnell die Online-Ausweisfunktion integriert werden kann", schreibt Governikus dazu. "Kein uns bekanntes, reales Einsatzszenario basiert auf diesem Demo-Beispiel bzw. wurde die Integration ohne weitere Sicherheitsmaßnahmen durchgeführt."

Stellenmarkt
  1. JENOPTIK AG, Jena
  2. Schöck Bauteile GmbH, Baden-Baden

Auf nochmalige Nachfrage hin behauptete Governikus auch, dass diese zusätzlichen Sicherheitsmaßnahmen den Angriff verhindern würden. Eine Erklärung, wie dies geschieht, bekamen wir jedoch trotz mehrfacher Nachfrage nicht. Governikus verwies lediglich auf zwei längere Dokumente zur Sicherheit von SAML-Anwendungen und schrieb uns, dass Governikus seinen Kunden empfiehlt, die dortigen Maßnahmen umzusetzen. Inwiefern diese den Angriff verhindern, konnte Governikus uns jedoch trotz mehrerer Rückfragen nicht erklären.

Was macht die Personalausweis-Bibliothek im beA?

SEC Consult weist in einem uns vorab zur Verfügung gestellten Dokument darauf hin, dass das Autent SDK auch Teil der Software für das besondere elektronische Anwaltspostfach (beA) ist. Wir konnten das nachvollziehen, es ist aber unklar, welche Rolle es dort spielt. Eine Online-Authentifzierungsfunktion mit dem Personalausweis ist im beA nicht vorgesehen. Die Bundesrechtsanwaltskammer hat eine entsprechende Anfrage bisher nicht beantwortet.

Die Firma SEC Consult selbst hat 2015 einen Sicherheitstest des beA durchgeführt, das neben dem Autent SDK noch zahlreiche andere Komponenten von Governikus enthält.

Zu den Ergebnissen dieses Sicherheitstests schweigen alle Beteiligten bis heute. Es ist völlig unklar, wie die zahlreichen teilweise sehr trivialen Sicherheitslücken, die im BeA gefunden wurden, bei diesem Sicherheitstest von SEC Consult übersehen wurden. Entsprechende Anfragen an die Bundesrechtsanwaltskammer nach dem Informationsfreiheitsgesetz wurden alle abgelehnt. SEC Consult teilt auf Anfrage mit, dass es Fragen dazu nicht kommentieren kann.

Elektronischer Personalausweis kein Erfolgsprojekt

Den Personalausweis mit Chipkarte gibt es in Deutschland seit 2010. Ein großer Erfolg ist er bislang nicht. Immer wieder wird gemeldet, dass die Onlinefunktion kaum genutzt wird und dass es nur wenige Dinge gibt, die man überhaupt mit dem Personalausweis Online erledigen kann. Wegen Sicherheitslücken waren der Personalausweis und die zugehörige Software vor längerer Zeit schon öfter in den Schlagzeilen.

 Governikus: Personalausweis-Webanwendungen lassen sich austricksen
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)

ImBackAlive 24. Nov 2018

Du machst deinem Namen alle Ehre.

ImBackAlive 24. Nov 2018

Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...

pommesmatte 22. Nov 2018

Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...

zuschauer 22. Nov 2018

Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...

Mingfu 22. Nov 2018

Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...


Folgen Sie uns
       


ANC-Kopfhörer im Lautstärkevergleich

Wir haben Microsofts Surface Headphones und die Jabra Elite 85h bei der ANC-Leistung verglichen. Für einen besseren Vergleich zeigen wir auch die besonders leistungsfähigen ANC-Kopfhörer von Sony und Bose, die WH-1000XM3 und die Quiet Comfort 35 II.

ANC-Kopfhörer im Lautstärkevergleich Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

    •  /