Die eIDAS-Verordnung, die Rahmenbedingungen für die EU-weite Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste schuf, benötigt Interoperabilitätsknoten (eIDAS-Knoten), die es den EU-Mitgliedsstaaten ermöglichen, ihre elektronischen Identifikationsmittel zu verbinden. Die Security-Experten von SEC Consult entdeckten eine Schwachstelle in der Beispiel-Implementierung des eIDAS-Knotens, was es einem Angreifer ermöglichen könnte, sich als x-beliebiger EU-Bürger auszugeben. Diese Schwachstelle wurde seitens der Europäischen Kommission sofort behoben.
Die eIDAS-Verordnung enthält europaweit geltende, verbindliche Regelungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste. In diesen Bereichen schafft eIDAS etwa einheitliche Regelungen für elektronische Signaturen, Siegel, Zeitstempel, Einschreiben und Webseiten-Zertifikate in der EU, um eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen zu ermöglichen. Dadurch soll sich die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union erhöhen.[1]
Die elektronische Identifizierung, die in einem Mitgliedsstaat gilt, muss unter bereits festgelegten Bedingungen in allen Mitgliedsstaaten anerkannt werden.[2] Aufgrund der Verordnung wurde von der Europäischen Kommission das eIDAS-Node Integration Package, eine Implementierung des eID eIDAS-Profils, entwickelt. Dies geschah für und mithilfe der EU-Mitgliedsstaaten. Sie soll den Mitgliedsstaaten ermöglichen, ihre jeweiligen eIDAS-konformen Pendants zu verbinden und miteinander zu kommunizieren.
Schwachstelle durch rasche Reaktion gepatcht
Experten der SEC Consult haben sich den Quellcode der eIDAS-Node-Software Version 2.3 der Europäischen Kommission näher angesehen und diesen überprüft. Dabei wurde eine Schwachstelle gefunden, die es einem Angreifer erlaubt, die Authentifizierung zu umgehen. Unter Umständen hätte die Schwachstelle Identitätsbetrug ermöglicht. Für die Authentifizierung wird normalerweise ein gültiges Zertifikat benötigt; hätte ein Angreifer die Sicherheitslücke ausgenützt, hätte dieser ein ungültiges Zertifikat verwenden können, um sich unter anderer Identität auszugeben.
Diese Schwachstelle konnte gepatcht werden und wurde sofort behoben, als die SEC Consult-Experten die Alarmglocken läuteten. Die Reaktionszeit der EU-Kommission war vorbildlich, doch nicht immer wird bei Unternehmen und Organisationen in Bezug auf IT-Sicherheit so schnell gehandelt. Um das Risikoszenario einer länger offenstehenden Sicherheitslücke zu vermeiden, sollten Systeme und Anwendungen in regelmäßigen Abständen getestet werden.
Link zum Advisory von SEC Consult:
https://sec-consult.com/en/blog/advisories/15587/
[1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/eIDAS_node.html
[2] https://www.digitales.oesterreich.gv.at/eidas-verordnung
Fachartikel
Erhöhte Cloud-Sicherheit mit Saviynt und AWS IAM Access Analyzer
Ja, es gibt sie!! Eine Lösung zur Abwehr von Ransomware!
So sichern Unternehmen ihre MFA-Workflows gegen die neuesten Cyberangriffe
Eine Festung im Datenmeer: Cloud-Immutabilität als Schild gegen Ransomware-Bedrohungen
Hohe Wirtschaftlichkeit dank Automatisierung und Künstlicher Intelligenz
Studien
Neue Trellix-Studie deckt auf: 63 Prozent der weltweiten CISOs nach Cyber-Attacke erneut betroffen
Studie: Fehlende Rechtssicherheit für Big Data und KI
Accenture-Umfrage: CEOs sehen ihre Unternehmen nicht gewappnet gegen Cyberangriffe
Neue ISACA-Studie: Geschäfts- und IT-Fachexperten besorgt über die Verwendung von generativer KI durch bösartige Akteure
Mehr als 50% der Unternehmen nutzt „archaische“ Excel-Tabellen für SAP-Änderungsmanagement – trotz SAPs Einstieg in generative KI
Whitepaper
97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken
Trellix stellt Kooperation von Cyber-Kriminellen und staatlichen Akteuren fest
Unternehmensidentität für das Cloud-Zeitalter
Forrester Report 2024: Daten & Analysen
