Gemäß einem Bericht des „Spiegel“ hat ein Hacker eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Er behauptet, dass es ihm mithilfe einer eigenen App gelungen sei, Login-Daten für die sogenannte eID-Funktion abzugreifen, die digitale Behördengänge ermöglicht.

Laut dem Bericht ist die eID-Funktion bei mehr als 50 Millionen Personalausweisinhabern aktiviert und wird unter anderem auch zur Identifizierung bei Banken verwendet. Dem Hacker, der unter dem Pseudonym „CtrlAlt“ auftritt, gelang es angeblich, mithilfe eines Tricks unter fremdem Namen ein Konto bei einer großen deutschen Bank zu eröffnen.

Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte dem Nachrichtenmagazin, dass der Hacker einen kritischen Punkt im eID-Verfahren auf mobilen Geräten aufgezeigt habe. „Das ist ein realistisches Angriffsszenario“, sagte der Sprecher. „Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann.“

Laut dem „Spiegel“ informierte der Hacker bereits am 31. Dezember das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) über seine Erkenntnisse. Die Behörde sieht jedoch keinen Anlass für eine „Änderung der Risikobewertung beim Einsatz der eID“. Es handle sich nicht um einen Angriff auf das eID-System, sondern auf die Endgeräte der Nutzer. Eine Anpassung werde jedoch geprüft.