• IT-Karriere:
  • Services:

Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff

Auf Anfrage teilte Governikus mit, dass der Angriff von SEC Consult nur in einer Beispielanwendung durchgeführt wurde. "Veröffentlicht wurde dieses Demo-Beispiel im Rahmen eines Anwenderforums, um aufzuzeigen, wie schnell die Online-Ausweisfunktion integriert werden kann", schreibt Governikus dazu. "Kein uns bekanntes, reales Einsatzszenario basiert auf diesem Demo-Beispiel bzw. wurde die Integration ohne weitere Sicherheitsmaßnahmen durchgeführt."

Stellenmarkt
  1. Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Amberg
  2. Evangelische Kirche im Rheinland, Düsseldorf

Auf nochmalige Nachfrage hin behauptete Governikus auch, dass diese zusätzlichen Sicherheitsmaßnahmen den Angriff verhindern würden. Eine Erklärung, wie dies geschieht, bekamen wir jedoch trotz mehrfacher Nachfrage nicht. Governikus verwies lediglich auf zwei längere Dokumente zur Sicherheit von SAML-Anwendungen und schrieb uns, dass Governikus seinen Kunden empfiehlt, die dortigen Maßnahmen umzusetzen. Inwiefern diese den Angriff verhindern, konnte Governikus uns jedoch trotz mehrerer Rückfragen nicht erklären.

Was macht die Personalausweis-Bibliothek im beA?

SEC Consult weist in einem uns vorab zur Verfügung gestellten Dokument darauf hin, dass das Autent SDK auch Teil der Software für das besondere elektronische Anwaltspostfach (beA) ist. Wir konnten das nachvollziehen, es ist aber unklar, welche Rolle es dort spielt. Eine Online-Authentifzierungsfunktion mit dem Personalausweis ist im beA nicht vorgesehen. Die Bundesrechtsanwaltskammer hat eine entsprechende Anfrage bisher nicht beantwortet.

Die Firma SEC Consult selbst hat 2015 einen Sicherheitstest des beA durchgeführt, das neben dem Autent SDK noch zahlreiche andere Komponenten von Governikus enthält.

Zu den Ergebnissen dieses Sicherheitstests schweigen alle Beteiligten bis heute. Es ist völlig unklar, wie die zahlreichen teilweise sehr trivialen Sicherheitslücken, die im BeA gefunden wurden, bei diesem Sicherheitstest von SEC Consult übersehen wurden. Entsprechende Anfragen an die Bundesrechtsanwaltskammer nach dem Informationsfreiheitsgesetz wurden alle abgelehnt. SEC Consult teilt auf Anfrage mit, dass es Fragen dazu nicht kommentieren kann.

Elektronischer Personalausweis kein Erfolgsprojekt

Den Personalausweis mit Chipkarte gibt es in Deutschland seit 2010. Ein großer Erfolg ist er bislang nicht. Immer wieder wird gemeldet, dass die Onlinefunktion kaum genutzt wird und dass es nur wenige Dinge gibt, die man überhaupt mit dem Personalausweis Online erledigen kann. Wegen Sicherheitslücken waren der Personalausweis und die zugehörige Software vor längerer Zeit schon öfter in den Schlagzeilen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Governikus: Personalausweis-Webanwendungen lassen sich austricksen
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 499,99€/399,99€ (Release 19.11.)
  2. (u. a. ZOTAC GeForce Gaming 24 GB RTX 3090 Trinity für 1.714,22€, GIGABYTE Nvidia Ampere GV...
  3. ab 589€ neuer Bestpreis auf Geizhals

ImBackAlive 24. Nov 2018

Du machst deinem Namen alle Ehre.

ImBackAlive 24. Nov 2018

Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...

pommesmatte 22. Nov 2018

Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...

zuschauer 22. Nov 2018

Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...

Mingfu 22. Nov 2018

Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...


Folgen Sie uns
       


Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

IT-Jobs: Feedback für Freelancer
IT-Jobs
Feedback für Freelancer

Gutes Feedback ist vor allem für Freelancer rar. Wenn nach einem IT-Projekt die Rückblende hintenüberfällt, ist das aber eine verschenkte Chance.
Ein Bericht von Louisa Schmidt

  1. IT-Freelancer Der kürzeste Pfad zum nächsten Projekt
  2. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


      •  /