Lässt sich die eID-Funktion wirklich austricksen?

Ein Kommentar von Holger Funke, Principal, Division Innere Sicherheit, secunet

Der elektronische Personalausweis enthält einen RFID-Chip. Dieser ermöglicht es Bürgern, sich gegenüber Anwendungen im Internet sicher zu authentifizieren. Um diese sogenannte eID-Funktion nutzen zu können, benötigt der Bürger einen passenden Kartenleser und eine Client-Software.

Die Prüfung der Legitimation des Nutzers läuft im Hintergrund über einen vertrauenswürdigen Server. Sobald die Identität bestätigt ist, teilt die Client-Software der Webanwendung dieses Ergebnis mit. Um Manipulationen in den  Anfragen zu verhindern, signiert der Server diese Anfragen.

In den letzten Wochen gab es etliche Medienberichte, in denen davon die Rede war, dass das deutsche eID-System hackbar wäre. An dieser Stelle kommt eine Schwachstelle in einer Demo-Webanwendung ins Spiel, die auf dem Governikus Autent Software Development Kit (SDK) aufsetzt:  Dabei ist es einem Angreifer gelungen, neben einer korrekt signierten, in einer URL verpackten SAML-Anfrage, zusätzlich eine manipulierte Anfrage mitzuschicken. Aufgrund einer Schwachstelle akzeptierte das SDK die signierte Anfrage korrekterweise, verarbeitete allerdings die manipulierte Anfrage ohne weitere Prüfung.

Auf diesem Weg könnte sich ein Angreifer also bei einem Online-Dienst authentifizieren, damit er über eine signierte Anfrage verfügt, und letztlich eine Aktion im Namen einer anderen Person wie z.B. ‚Johann Wolfgang von Goethe‘ ausführen. Der Bug, der umgehend behoben wurde, befand sich allerdings in einer Demoanwendung von Governikus, die nicht für den Produktivbetrieb sondern lediglich für ein Testsystem vorgesehen war.

In derartigen Testsystemen kann man nun – und dies ist der eigentliche Zweck von Testbedingungen – jedwede Testdaten nutzen, um die eigene eID-Anwendung auf Herz und Nieren zu prüfen. Hierzu hat secunet im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) den Simulator „PersoSim“ (https://persosim.secunet.com) für den deutschen Personalausweis entwickelt. Der Simulator ist also eigens dafür gedacht, innerhalb der Testumgebung des BSI eigene Profile, wie z.B. den besagten Johann Wolfgang von Goethe, zu nutzen, um die Infrastruktur zu prüfen. 

Aus unserer Sicht gab es daher keinerlei Anlass, diesem Thema mehr Aufmerksamkeit zu widmen als es bei einem Bug nötig ist. Vielmehr ist es ausreichend, auf die bewährten Ratgeber zu SAML-Security zu verweisen. Jede Applikation, die SAML einsetzt, kann von derartigen Bugs betroffen sein. Die Infrastruktur des neuen Personalausweises kann aus unserer Sicht somit weiterhin als sicher betrachtet werden.

Hier finden Sie zudem die Stellungnahme der Governikus KG.