Die eIDAS-Verordnung, die Rahmenbedingungen für die EU-weite Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste schuf, benötigt Interoperabilitätsknoten (eIDAS-Knoten), die es den EU-Mitgliedsstaaten ermöglichen, ihre elektronischen Identifikationsmittel zu verbinden. Die Security-Experten von SEC Consult entdeckten eine Schwachstelle in der Beispiel-Implementierung des eIDAS-Knotens, was es einem Angreifer ermöglichen könnte, sich als x-beliebiger EU-Bürger auszugeben. Diese Schwachstelle wurde seitens der Europäischen Kommission sofort behoben.
Die eIDAS-Verordnung enthält europaweit geltende, verbindliche Regelungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste. In diesen Bereichen schafft eIDAS etwa einheitliche Regelungen für elektronische Signaturen, Siegel, Zeitstempel, Einschreiben und Webseiten-Zertifikate in der EU, um eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen zu ermöglichen. Dadurch soll sich die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union erhöhen.[1]
Die elektronische Identifizierung, die in einem Mitgliedsstaat gilt, muss unter bereits festgelegten Bedingungen in allen Mitgliedsstaaten anerkannt werden.[2] Aufgrund der Verordnung wurde von der Europäischen Kommission das eIDAS-Node Integration Package, eine Implementierung des eID eIDAS-Profils, entwickelt. Dies geschah für und mithilfe der EU-Mitgliedsstaaten. Sie soll den Mitgliedsstaaten ermöglichen, ihre jeweiligen eIDAS-konformen Pendants zu verbinden und miteinander zu kommunizieren.
Schwachstelle durch rasche Reaktion gepatcht
Experten der SEC Consult haben sich den Quellcode der eIDAS-Node-Software Version 2.3 der Europäischen Kommission näher angesehen und diesen überprüft. Dabei wurde eine Schwachstelle gefunden, die es einem Angreifer erlaubt, die Authentifizierung zu umgehen. Unter Umständen hätte die Schwachstelle Identitätsbetrug ermöglicht. Für die Authentifizierung wird normalerweise ein gültiges Zertifikat benötigt; hätte ein Angreifer die Sicherheitslücke ausgenützt, hätte dieser ein ungültiges Zertifikat verwenden können, um sich unter anderer Identität auszugeben.
Diese Schwachstelle konnte gepatcht werden und wurde sofort behoben, als die SEC Consult-Experten die Alarmglocken läuteten. Die Reaktionszeit der EU-Kommission war vorbildlich, doch nicht immer wird bei Unternehmen und Organisationen in Bezug auf IT-Sicherheit so schnell gehandelt. Um das Risikoszenario einer länger offenstehenden Sicherheitslücke zu vermeiden, sollten Systeme und Anwendungen in regelmäßigen Abständen getestet werden.
Link zum Advisory von SEC Consult:
https://sec-consult.com/en/blog/advisories/15587/
[1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/eIDAS_node.html
[2] https://www.digitales.oesterreich.gv.at/eidas-verordnung