Aktuelles, Branche - geschrieben von dp am Sonntag, November 25, 2018 16:29 - noch keine Kommentare
ePerso: Schwachstelle erlaubt Identitätsbetrug
Adam Brown erkennt in in der Entdeckung „ein gutes Beispiel für einen Designfehler“
[datensicherheit.de, 25.11.2018] Laut Medienberichten soll am 20. November 2018 eine kritische Schwachstelle in der Online-Ausweisfunktion des elektronischen Personalausweises bekanntgeworden sein. So sei es Sicherheitsforschern der SEC-Consult gelungen, sich online als Bürger mit dem fiktiven Namen „Johann Wolfgang von Goethe“ auszugeben.
50 Prozent der Schwachstellen auf Designfehler zurückzuführen
Zu dem Fall hat Adam Brown, „Manager Security Solutions“ bei Synopsys, Stellung bezogen: Diese Schwachstelle sei „ein gutes Beispiel für einen Designfehler“. Nach ihren Erfahrungen seien 50 Prozent der Schwachstellen auf Designfehler zurückzuführen – und würden daher häufig übersehen.
„Designfehler lassen sich nämlich nicht durch automatisiertes Testen erkennen, sondern werden üblicherweise in einer Designprüfung identifiziert“, erläutert Brown.
Eine solche Prüfung sei deshalb eine „wichtige Aktivität im Software-Entwicklungslebenszyklus“ und sollte möglichst frühzeitig durchgeführt werden, um die Implementierung fehlerhafter Designs zu verhindern.
Identitätsbetrug droht
Brown weiter: „Unternehmen, die diesen Authentifizierungsmechanismus verwenden, sind offen für Repudiation-Angriffe.“ Die Folge könne ein Identitätsbetrug sein.
Angesichts der weit verbreiteten Implementierung und des hohen Vertrauensgrades in diese Art der Online-Authentifizierung wären die Auswirkungen eines jeden Angriffs mit dieser Schwachstelle als „kritisch“ zu bewerten.
Betroffene Organisationen sollten daher unbedingt den bereitgestellten Patch verwenden und auf eine nicht verwundbare Version updaten, empfiehlt Brown.
Weitere Informationen zum Thema:
SEC Consult
MEIN NAME IST JOHANN WOLFGANG VON GOETHE – ICH KANN ES BEWEISEN
datensicherheit.de, 25.01.2017
Personalausweisrecht: Bundesregierung plant grundlegende Änderungen
datensicherheit.de, 27.08.2013
report München: Sicherheitslücken beim neuen Personalausweis
datensicherheit.de, 09.11.2010
AusweisApp für ePerso: Parteimitglied der PIRATEN deckt Sicherheitslücken auf
Medienpartnerschaft
Kooperation
Kooperation
Mitgliedschaft
Multiplikator
Partner
Gefragte Themen
- Analyse-Dienste für Webseiten nur mit Einwilligung zu nutzen
- BKA stellt Bundeslagebild für 2018 vor
- Datendiebstahl: Größte Tätergruppe die eigenen Mitarbeiter
- Smart Cities: Potentiale und Risiken managen
- Sicherheit im Cyberspace als Gemeinschaftsaufgabe
- Digitalisierung – die ersten gefährdeten Schritte im Cyberspace
- Cyberspace: Virtueller Raum mit realer Gefahr
- Auch Freie Ärzteschaft kritisiert Digitales-Versorgungs-Gesetz
- Schutz gegen Quantencomputer: Wettrüsten gestartet
- Patientendaten: Bundesregierung plant Weiterleitung
- OLG Köln: Neue Smartphones müssen nicht sicher sein
- Es ist nicht zu fassen, was Herr Spahn sich hier mit diesem Gesetz erlaubt! Ein ...
- Von dem Cyberangriff auf Nordvpn hat ursprünglich TechCrunch berichtet und alle ...
- Intelligente Gebäudeautomation und damit Smart Buildings sind an sich schon eine...
- Mir hat man bei meiner immer noch herausragenden Ausbildung bei der AOK beigebra...
- Sehr geehrter Herr Stange,
die Redaktion von datensicherheit.de geht davon aus,...
- Ich vermute, dass es sich bei „GermanWiper“ um nichts anderes als eine Hoax-Meld...
- Vielen Dank für Ihren Kommentar. Weitere Informationen finden Sie unter den Empf...
- Leider ein (nur) sehr alarmistischer Artikel, ohne wirkliche Substanz: Was sind ...
Aktuelles, Experten - Nov 14, 2019 19:49 - noch keine Kommentare
Analyse-Dienste für Webseiten nur mit Einwilligung zu nutzen
weitere Beiträge in Experten
- BKA stellt Bundeslagebild für 2018 vor
- Smart Cities: Potentiale und Risiken managen
- Sicherheit im Cyberspace als Gemeinschaftsaufgabe
- Digitalisierung – die ersten gefährdeten Schritte im Cyberspace
- Cyberspace: Virtueller Raum mit realer Gefahr
Aktuelles, Branche, Studien - Nov 9, 2019 20:57 - noch keine Kommentare
Datendiebstahl: Größte Tätergruppe die eigenen Mitarbeiter
weitere Beiträge in Branche
- Smart Cities: Potentiale und Risiken managen
- Schutz gegen Quantencomputer: Wettrüsten gestartet
- OLG Köln: Neue Smartphones müssen nicht sicher sein
- APT41 stiehlt Textnachrichten bei Telekommunikationsanbietern
- Fancy Bear: Ransom-Attacken gegen Finanzinstitute
Aktuelles, Persönlichkeiten, Portraits, Rezensionen, Service - Okt 16, 2019 15:42 - noch keine Kommentare
Warnung und Trost zugleich: Keine absolute Sicherheit
weitere Beiträge in Service
- Nährwertkennzeichnung: Große Mehrheit für Nutri-Score-Ampel
- Datenschutz: Mehrheit fühlt sich durch die Gesetze sicher
- Umfrage der Brabbler AG zum Thema Privatsphäre
- Bitkom: Kunden achten beim Online-Banking nicht immer auf Sicherheit
- Trotz hoher Risiken: Unternehmen vertrauen auf die Sicherheit der Cloud-Provider
Kommentieren