Prof. Dr. Norbert Pohlmann Home mobile
slider

Zwischenbericht: “Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online Authentisierung mit Penetrations-Test”

Zwischenbericht: “Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online Authentisierung mit Penetrations-Test” Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten

Zwischenbericht: “Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online Authentisierung mit Penetrations-Test” Pohlmann

Studie - Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online-Authentisierung mit Penetration-Test - Prof. Norbert Pohlmann-1-1-001

Prof. Norbert Pohlmann

10.2010

Wenn man sich heutzutage als Internetnutzer gegenüber einer Webseite authentisiert,dann kommt dabei meist ein Mittel zum Einsatz: die Kombination von Benutzernameund Passwort. Ein Kunde muss auf diese Weise seine Identität gegenüber einemDiensteanbieter beweisen. Nur, wenn ein Kunde die richtige Kombination ausBenutzername und Passwort vorweisen kann, wird der Prozess fortgesetzt. Das Beispielzeigt, dass es sich um eine einseitige Authentisierung handelt, nämlich vom Benutzergegenüber dem Diensteanbieter. In der Gegenrichtung ist es üblich, dass derDiensteanbieter ein SSL-Zertifikat einsetzt. Auf diese Weise kann der Diensteanbieterzumindest die Echtheit der Webseiten-Domain beweisen.

Die Schwachstellen der bisherigen Authentisierung im Internet liegen dabei in ersterLinie beim Benutzer. Häufig werden Passwörter mit unzureichender Stärke verwendet,wie beispielsweise kontextsensitive Begriffe (der Vorname des Lebenspartners oder desHaustieres etc.). Ferner werden mitunter für verschiedene Dienste das gleiche Passwortverwendet. Passwörter werden teilweise im Klartext (z.B. in E-Mails) über das Internetübertragen. Darüber hinaus gibt es Abhängigkeiten von Passwörtern. So kannbeispielsweise der Bruch des E-Mail-Konto-Passworts dazu führen, mit Hilfe vonPasswort-Reset-Funktionen anderer Dienste, jegliche Identitäten des Benutzers beiweiteren Diensteanbietern zu brechen.

Aber auch die Authentifizierung des Diensteanbieters durch den Benutzer wird in derPraxis nicht immer in genügendem Maße durchgeführt. So baut ein Großteil anPhishing-Angriffen darauf, dass der Benutzer eben gerade nicht erkennt, dass er seineDaten einem vorgetäuschten Diensteanbieter preisgibt. In der Praxis bedeutet dies, dassder Benutzer beispielsweise nicht prüft, ob der Diensteanbieter SSL nutzt, ein gültigesSSL-Zertifikat aufweist und die Identität eindeutig ist.

Die eID-Funktion des elektronischen Personalausweises greift an dieser Stelle undleistet einen wichtigen Beitrag, um diese Schwachstellen zu entschärfen. Bei der eID-Funktion handelt es sich um eine sichere gegenseitige Authentisierung. Einentscheidender Vorteil gegenüber der herkömmlichen Authentisierung mit Passwörternist die Tatsache, dass sich die eID-Funktion auf Besitz (der Personalausweis) und Wissen(die geheime PIN) abstützt und damit eine Zweifaktor-Authentisierung darstellt.Darüber hinaus garantiert das sog. Berechtigungszertifikat durch dasBundesverwaltungsamt, dass bereits im Vorfeld geprüft wurde, welche Daten einDiensteanbieter aus dem nPA auslesen darf. Ferner sorgt, im Gegensatz zum obendargestellten Beispiel, der Personalausweis für die Überprüfung der Gültigkeit desBerechtigungszertifikats. Zusätzlich wird dem Benutzer das Berechtigungszertifikatangezeigt, und er kann auf die Freigabe einzelner Merkmale Einfluss nehmen. Diese Überprüfung ist damit in der Praxis, im Vergleich zur optionalen manuellen Prüfungeines SSL-Zertifikats, deutlich sicherer. Zudem werden die ausgelesenen Daten zu keinerZeit im Klartext, sondern jederzeit verschlüsselt und signiert über das Internetübermittelt.

kostenlos downloaden
Studie - Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online-Authentisierung mit Penetration-Test - Prof. Norbert Pohlmann-1-1-001
500x500