
Die eIDAS-Verordnung, die Rahmenbedingungen für die EU-weite Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste schuf, benötigt Interoperabilitätsknoten (eIDAS-Knoten), die es den EU-Mitgliedsstaaten ermöglichen, ihre elektronischen Identifikationsmittel zu verbinden. Die Security-Experten von SEC Consult entdeckten eine Schwachstelle in der Beispiel-Implementierung des eIDAS-Knotens, was es einem Angreifer ermöglichen könnte, sich als x-beliebiger EU-Bürger auszugeben. Diese Schwachstelle wurde seitens der Europäischen Kommission sofort behoben.
Die eIDAS-Verordnung enthält europaweit geltende, verbindliche Regelungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste. In diesen Bereichen schafft eIDAS etwa einheitliche Regelungen für elektronische Signaturen, Siegel, Zeitstempel, Einschreiben und Webseiten-Zertifikate in der EU, um eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen zu ermöglichen. Dadurch soll sich die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union erhöhen.[1]
Die elektronische Identifizierung, die in einem Mitgliedsstaat gilt, muss unter bereits festgelegten Bedingungen in allen Mitgliedsstaaten anerkannt werden.[2] Aufgrund der Verordnung wurde von der Europäischen Kommission das eIDAS-Node Integration Package, eine Implementierung des eID eIDAS-Profils, entwickelt. Dies geschah für und mithilfe der EU-Mitgliedsstaaten. Sie soll den Mitgliedsstaaten ermöglichen, ihre jeweiligen eIDAS-konformen Pendants zu verbinden und miteinander zu kommunizieren.
Schwachstelle durch rasche Reaktion gepatcht
Experten der SEC Consult haben sich den Quellcode der eIDAS-Node-Software Version 2.3 der Europäischen Kommission näher angesehen und diesen überprüft. Dabei wurde eine Schwachstelle gefunden, die es einem Angreifer erlaubt, die Authentifizierung zu umgehen. Unter Umständen hätte die Schwachstelle Identitätsbetrug ermöglicht. Für die Authentifizierung wird normalerweise ein gültiges Zertifikat benötigt; hätte ein Angreifer die Sicherheitslücke ausgenützt, hätte dieser ein ungültiges Zertifikat verwenden können, um sich unter anderer Identität auszugeben.
Diese Schwachstelle konnte gepatcht werden und wurde sofort behoben, als die SEC Consult-Experten die Alarmglocken läuteten. Die Reaktionszeit der EU-Kommission war vorbildlich, doch nicht immer wird bei Unternehmen und Organisationen in Bezug auf IT-Sicherheit so schnell gehandelt. Um das Risikoszenario einer länger offenstehenden Sicherheitslücke zu vermeiden, sollten Systeme und Anwendungen in regelmäßigen Abständen getestet werden.
Link zum Advisory von SEC Consult:
https://sec-consult.com/en/blog/advisories/15587/
[1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/eIDAS_node.html
[2] https://www.digitales.oesterreich.gv.at/eidas-verordnung
Fachartikel

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Attraktivität von MSP-Geschäftsmodellen gegenüber Investoren gezielt steigern
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich

Fast die Hälfte aller Organisationen im Gesundheitswesen von Datensicherheitsverletzungen betroffen

Ransomware-Gruppe LockBit steckt am häufigsten hinter der illegalen Veröffentlichung gestohlener Daten
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
