Identifikationsdienst eIDAS macht Fortschritte
Die europäische Verordnung über Vertrauens- und Identifikationsdienste eIDAS kommt voran. Doch es gibt auch Risiken bei der Umsetzung.
(Bild: dpa)
Im Wirtschaftsministerium in Berlin findet derzeit der eIDAS Summit statt. Diskutiert wird, wie elektronische Signaturen, Siegel, Zeitstempel, Zustelldienste und Zertifikate zur Authentifizierung von Webseiten europaweit eingesetzt werden können.
"Mächtiger Hebel"
Passend zu diesem Anlass stellt die Firma Ecsec ein System vor, wie mit dem elektronischen Personalausweis und der Open Source-App Open eCard eine fortgeschrittene elektronische Signatur erstellt werden, die dem eIDAS-Vertrauensniveau "High" entspricht. Weitab vom eIDAS-Summit stellten Sicherheitsforscher auf dem aI3/BSI-Symposium 2018 in Bochum erste Analysen zu "Risiken der eIDAS-Infrastruktur" vor.
Für den IT-Branchenverband Bitkom ist das europaweit angestoßene Vertrauensprojekt eIDAS eine mächtiger Hebel, mit dem die Verwaltung digitalisiert werden kann. So ermögliche es eIDAS, europaweit Zeugnisse zu digitalisieren und rechtssicher zu signieren. Bitkom-Präsident Achim Berg warnte davor, die Möglichkeiten von eIDAS durch deutsche Regulierungen zu behindern.
Risiken und Schwachstellen
Weil in Europa höchst unterschiedliche Ansätze für elektronische Identitäten und Signaturen gewählt wurden, muss nach eIDAS der Austausch zwischen verschiedenen Ländern so arbeiten, dass ein eIDAS-Provider in einem Land den nationalen eIDAS-Node kontaktiert und dieser dann den eIDAS-Node des Ziellandes. Wie Juraj Somorovsky, Vladislav Mladenov und Jörg Schwenk für das EU-Projekt FutureTrust analysiert haben, bergen die von den Providern eingesetzten XML-Parser Risiken und Schwachstellen, die den eIDAS-Verbund für DDoS- und SSRF-Attacken anfällig machen oder gar den illegitimen Zugriff auf Dateien ermöglichen.
Bei der Analyse der Angebote von zwölf europäischen Service Providern haben sich jeweils die Hälfte aller Installationen als anfällig für Denial of Service-Attacken und für gefälschte Server-Anfragen erwiesen. Noch 33 Prozent hätten Sicherheitslücken beim Dateizugriff offenbart. In den kommenden Monaten wollen die Forscher ein Paper veröffentlichen, in dem die besten eIDAS-Implementationen und automatisierten Test-Tools vorgestellt werden, mit denen die Schwachstellen gefunden werden können. (anw)
