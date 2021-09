Mit dem Programm ID Wallet sollten sich Bürger gegenüber Dritten digital ausweisen können – beispielsweise als Ersatz für einen physischen Führerschein. Dabei gab es aber keinen Schutz gegen das Abgreifen der Personendaten durch einen Angreifer. Dies geht aus einen Blogeintrag der Sicherheitsforscherin Lilith Wittmann hervor.

Wittmann schreibt, dass es keine Prüfung der Legitimation einer angefragten Stelle gab – Man-in-the-middle- oder vielmehr Machine-in-the-Middle-Attacken werden somit offenbar nicht verhindert. In der Praxis sieht das so aus: Person A will die Identität von Person B feststellen. Dazu wird per Internet optional eine vertrauenswürdige Stelle C angefragt. Dieses C fragt bei B, ob die Anfrage berechtigt ist. B stimmt zu, C gibt A das OK.

Ungeschützte Anfragen

Das setzt voraus, dass A und B sich kennen und in Kontakt stehen. C kann aber in der bisherigen Implementation jeder beliebige Webserver sein – und das ist das Problem. Im Falle des digitalen Führerscheins sollte das beispielsweise bei einer Autovermietung genutzt werden: Der Kunde steht beim Verleiher, und der fragt an, ob der Führerschein gültig ist. Auch bei Online-Vermietungen wäre das dann ohne vorherige Prüfung des physischen Führerscheins möglich.

In der konkreten Implementierung der ID Wallet war diese Anfrage an die Stelle C nicht geschützt. Da der Austausch der Daten über QR-Codes erfolgen sollte, wäre es laut dem Blog von Wittmann ein leichtes, verfälschte QR-Codes zu erstellen, die dann beispielsweise auf den Server eines Angreifers verweisen, nicht auf die den Führerschein ausstellende Behörde wie das Kraftfahrbundesamt (KBA).

Idealfall für Kriminelle

Zudem könnten im Beispiel der Vor-Ort-Vermietung eines Autos die digitalen Identitäten auch lokal gespeichert werden, wenn C eben keine vertrauenswürdige Stelle, sondern ein Man-in-the-Middle (MitmM) ist. Das ist für Kriminelle ein Idealfall, weil die so gewonnen Daten echt sind – und sich jederzeit auch beim KBA überprüfen lassen. Mit solchen Identitäten wird unter anderem im Darknet ein schwunghafter Handel betrieben, die Opfer bekommen von Online-Einkäufen auf ihren Namen oder zweifelhaften Vertragsabschlüssen oft zu spät mit.

Die App ID Wallet und die dahinter liegende Infrastruktur sind schon kurz nach dem Start am 23. September wieder offline genommen worden. Zuvor gab es Kritik aus der deutschen Security-Szene wegen anderer Probleme und auch Überlastungen der Server. Einen Zusammenhang mit ihren Entdeckungen und dem Stilllegen des Projekts sieht Lilith Wittmann im Gespräch mit heise online nicht, vielmehr führt sie die Entscheidung der Behörden auf Schwierigkeiten mit der Infrastruktur zurück.

Für die angeführten Probleme mit MitM-Attacken haben die Entdecker auch einen Proof-of-Concept bei Github veröffentlicht. Er entstand in Zusammenarbeit mit einer sich selbst als Hacker bezeichnenden Person, die online unter dem Pseudonym Flüpke auftritt. Flüpke bestätigte heise online die Zusammenarbeit.

(nie)