• IT-Karriere:
  • Services:

Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff

Auf Anfrage teilte Governikus mit, dass der Angriff von SEC Consult nur in einer Beispielanwendung durchgeführt wurde. "Veröffentlicht wurde dieses Demo-Beispiel im Rahmen eines Anwenderforums, um aufzuzeigen, wie schnell die Online-Ausweisfunktion integriert werden kann", schreibt Governikus dazu. "Kein uns bekanntes, reales Einsatzszenario basiert auf diesem Demo-Beispiel bzw. wurde die Integration ohne weitere Sicherheitsmaßnahmen durchgeführt."

Stellenmarkt
  1. Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Amberg
  2. Evangelische Kirche im Rheinland, Düsseldorf

Auf nochmalige Nachfrage hin behauptete Governikus auch, dass diese zusätzlichen Sicherheitsmaßnahmen den Angriff verhindern würden. Eine Erklärung, wie dies geschieht, bekamen wir jedoch trotz mehrfacher Nachfrage nicht. Governikus verwies lediglich auf zwei längere Dokumente zur Sicherheit von SAML-Anwendungen und schrieb uns, dass Governikus seinen Kunden empfiehlt, die dortigen Maßnahmen umzusetzen. Inwiefern diese den Angriff verhindern, konnte Governikus uns jedoch trotz mehrerer Rückfragen nicht erklären.

Was macht die Personalausweis-Bibliothek im beA?

SEC Consult weist in einem uns vorab zur Verfügung gestellten Dokument darauf hin, dass das Autent SDK auch Teil der Software für das besondere elektronische Anwaltspostfach (beA) ist. Wir konnten das nachvollziehen, es ist aber unklar, welche Rolle es dort spielt. Eine Online-Authentifzierungsfunktion mit dem Personalausweis ist im beA nicht vorgesehen. Die Bundesrechtsanwaltskammer hat eine entsprechende Anfrage bisher nicht beantwortet.

Die Firma SEC Consult selbst hat 2015 einen Sicherheitstest des beA durchgeführt, das neben dem Autent SDK noch zahlreiche andere Komponenten von Governikus enthält.

Zu den Ergebnissen dieses Sicherheitstests schweigen alle Beteiligten bis heute. Es ist völlig unklar, wie die zahlreichen teilweise sehr trivialen Sicherheitslücken, die im BeA gefunden wurden, bei diesem Sicherheitstest von SEC Consult übersehen wurden. Entsprechende Anfragen an die Bundesrechtsanwaltskammer nach dem Informationsfreiheitsgesetz wurden alle abgelehnt. SEC Consult teilt auf Anfrage mit, dass es Fragen dazu nicht kommentieren kann.

Elektronischer Personalausweis kein Erfolgsprojekt

Den Personalausweis mit Chipkarte gibt es in Deutschland seit 2010. Ein großer Erfolg ist er bislang nicht. Immer wieder wird gemeldet, dass die Onlinefunktion kaum genutzt wird und dass es nur wenige Dinge gibt, die man überhaupt mit dem Personalausweis Online erledigen kann. Wegen Sicherheitslücken waren der Personalausweis und die zugehörige Software vor längerer Zeit schon öfter in den Schlagzeilen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Governikus: Personalausweis-Webanwendungen lassen sich austricksen
  1.  
  2. 1
  3. 2
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Always Home Cam
    Amazon zeigt Überwachungsdrohne fürs Wohnzimmer
  2. iPad 8 und iPad OS 14 im Test
    Kritzeln auf dem iPad
  3. Geforce RTX 3090 im Test
    Titan-Power mit Geforce-Anstrich
  4. Amazon
    Der Echo wird kugelig
  5. Streaming
    Amazon zeigt zwei neue Fire TV Sticks
Anzeige
Top-Angebote
  1. 499,99€/399,99€ (Release 19.11.)
  2. (u. a. ZOTAC GeForce Gaming 24 GB RTX 3090 Trinity für 1.714,22€, GIGABYTE Nvidia Ampere GV...
  4. ab 589€ neuer Bestpreis auf Geizhals
Kommentarübersicht
Re: Wenn Du in so einem Zusammenhang Java hörst...
ImBackAlive 24. Nov 2018

Du machst deinem Namen alle Ehre.

Re: Man würde ihn vielleicht benutzen, wenn man...
ImBackAlive 24. Nov 2018

Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...

Re: Kaum nutzungsmöglichkeiten
pommesmatte 22. Nov 2018

Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...

Re: Estland - wer hat zuverlässige Informationen...
zuschauer 22. Nov 2018

Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...

Re: Ausnutzbar?
Mingfu 22. Nov 2018

Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...

Folgen Sie uns
       
Citrix
Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update
IT-Freelancer
IT-Jobs: Feedback für Freelancer
IT-Jobs
Feedback für Freelancer

Gutes Feedback ist vor allem für Freelancer rar. Wenn nach einem IT-Projekt die Rückblende hintenüberfällt, ist das aber eine verschenkte Chance.
Ein Bericht von Louisa Schmidt

  1. IT-Freelancer Der kürzeste Pfad zum nächsten Projekt
  2. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"
Burnout
Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /