
Die eIDAS-Verordnung, die Rahmenbedingungen für die EU-weite Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste schuf, benötigt Interoperabilitätsknoten (eIDAS-Knoten), die es den EU-Mitgliedsstaaten ermöglichen, ihre elektronischen Identifikationsmittel zu verbinden. Die Security-Experten von SEC Consult entdeckten eine Schwachstelle in der Beispiel-Implementierung des eIDAS-Knotens, was es einem Angreifer ermöglichen könnte, sich als x-beliebiger EU-Bürger auszugeben. Diese Schwachstelle wurde seitens der Europäischen Kommission sofort behoben.
Die eIDAS-Verordnung enthält europaweit geltende, verbindliche Regelungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste. In diesen Bereichen schafft eIDAS etwa einheitliche Regelungen für elektronische Signaturen, Siegel, Zeitstempel, Einschreiben und Webseiten-Zertifikate in der EU, um eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen zu ermöglichen. Dadurch soll sich die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union erhöhen.[1]
Die elektronische Identifizierung, die in einem Mitgliedsstaat gilt, muss unter bereits festgelegten Bedingungen in allen Mitgliedsstaaten anerkannt werden.[2] Aufgrund der Verordnung wurde von der Europäischen Kommission das eIDAS-Node Integration Package, eine Implementierung des eID eIDAS-Profils, entwickelt. Dies geschah für und mithilfe der EU-Mitgliedsstaaten. Sie soll den Mitgliedsstaaten ermöglichen, ihre jeweiligen eIDAS-konformen Pendants zu verbinden und miteinander zu kommunizieren.
Schwachstelle durch rasche Reaktion gepatcht
Experten der SEC Consult haben sich den Quellcode der eIDAS-Node-Software Version 2.3 der Europäischen Kommission näher angesehen und diesen überprüft. Dabei wurde eine Schwachstelle gefunden, die es einem Angreifer erlaubt, die Authentifizierung zu umgehen. Unter Umständen hätte die Schwachstelle Identitätsbetrug ermöglicht. Für die Authentifizierung wird normalerweise ein gültiges Zertifikat benötigt; hätte ein Angreifer die Sicherheitslücke ausgenützt, hätte dieser ein ungültiges Zertifikat verwenden können, um sich unter anderer Identität auszugeben.
Diese Schwachstelle konnte gepatcht werden und wurde sofort behoben, als die SEC Consult-Experten die Alarmglocken läuteten. Die Reaktionszeit der EU-Kommission war vorbildlich, doch nicht immer wird bei Unternehmen und Organisationen in Bezug auf IT-Sicherheit so schnell gehandelt. Um das Risikoszenario einer länger offenstehenden Sicherheitslücke zu vermeiden, sollten Systeme und Anwendungen in regelmäßigen Abständen getestet werden.
Link zum Advisory von SEC Consult:
https://sec-consult.com/en/blog/advisories/15587/
[1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/eIDAS_node.html
[2] https://www.digitales.oesterreich.gv.at/eidas-verordnung
Fachartikel

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

6 Millionen Chrome-Nutzer betroffen: Erweiterungen mit versteckter Spionagefunktion enttarnt

Ohne Sichtbarkeit keine Sicherheit: So erhöhen Unternehmen die Wirksamkeit ihrer NDR-Tools

Microsoft kündigt neue E-Mail-Anforderungen für Massenversender an

Was ist eine automatisierte Sicherheitsvalidierung?
Studien

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen

Intelligente Datenverwaltung: Warum IT-Entscheidungsträger die Kontrolle über ihre Daten übernehmen sollten

Blockchain und Cybersicherheit
Whitepaper

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu

Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation

Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus

PQC – Wie Sie Ihre PKI in vier Schritten bereit für das Quantenzeitalter machen

WatchGuard Internet Security Report: 94 Prozent mehr Netzwerk-Malware
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
