Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff
Auf Anfrage teilte Governikus mit, dass der Angriff von SEC Consult nur in einer Beispielanwendung durchgeführt wurde. "Veröffentlicht wurde dieses Demo-Beispiel im Rahmen eines Anwenderforums, um aufzuzeigen, wie schnell die Online-Ausweisfunktion integriert werden kann", schreibt Governikus dazu. "Kein uns bekanntes, reales Einsatzszenario basiert auf diesem Demo-Beispiel bzw. wurde die Integration ohne weitere Sicherheitsmaßnahmen durchgeführt."
Auf nochmalige Nachfrage hin behauptete Governikus auch, dass diese zusätzlichen Sicherheitsmaßnahmen den Angriff verhindern würden. Eine Erklärung, wie dies geschieht, bekamen wir jedoch trotz mehrfacher Nachfrage nicht. Governikus verwies lediglich auf zwei längere Dokumente zur Sicherheit von SAML-Anwendungen und schrieb uns, dass Governikus seinen Kunden empfiehlt, die dortigen Maßnahmen umzusetzen. Inwiefern diese den Angriff verhindern, konnte Governikus uns jedoch trotz mehrerer Rückfragen nicht erklären.
Was macht die Personalausweis-Bibliothek im beA?
SEC Consult weist in einem uns vorab zur Verfügung gestellten Dokument darauf hin, dass das Autent SDK auch Teil der Software für das besondere elektronische Anwaltspostfach (beA) ist. Wir konnten das nachvollziehen, es ist aber unklar, welche Rolle es dort spielt. Eine Online-Authentifzierungsfunktion mit dem Personalausweis ist im beA nicht vorgesehen. Die Bundesrechtsanwaltskammer hat eine entsprechende Anfrage bisher nicht beantwortet.
Die Firma SEC Consult selbst hat 2015 einen Sicherheitstest des beA durchgeführt, das neben dem Autent SDK noch zahlreiche andere Komponenten von Governikus enthält.
Zu den Ergebnissen dieses Sicherheitstests schweigen alle Beteiligten bis heute. Es ist völlig unklar, wie die zahlreichen teilweise sehr trivialen Sicherheitslücken, die im BeA gefunden wurden, bei diesem Sicherheitstest von SEC Consult übersehen wurden. Entsprechende Anfragen an die Bundesrechtsanwaltskammer nach dem Informationsfreiheitsgesetz wurden alle abgelehnt. SEC Consult teilt auf Anfrage mit, dass es Fragen dazu nicht kommentieren kann.
Elektronischer Personalausweis kein Erfolgsprojekt
Den Personalausweis mit Chipkarte gibt es in Deutschland seit 2010. Ein großer Erfolg ist er bislang nicht. Immer wieder wird gemeldet, dass die Onlinefunktion kaum genutzt wird und dass es nur wenige Dinge gibt, die man überhaupt mit dem Personalausweis Online erledigen kann. Wegen Sicherheitslücken waren der Personalausweis und die zugehörige Software vor längerer Zeit schon öfter in den Schlagzeilen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Governikus: Personalausweis-Webanwendungen lassen sich austricksen |
- 1
- 2
Du machst deinem Namen alle Ehre.
Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...
Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...
Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...
Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...