Search

Wer hat das Elster-Zertifikat weiterge­geben?

December 3, 2024

This blog post is mainly written in German as it is very specific to the government-provided BundID. A summary is provided in English.

Summary

The German government has introduced a government-provided electronic identity for its citizens, the BundID. Authentication for this ID can be – among other things – achieved using a certificate file that was introduced for submitting tax returns. However, many citizens share this certificate file either with people that do the taxes for them or with online services that provide easier interfaces for doing your taxes. As a result, many people’s online identities are at risk.

Die BundID und Authentisierungs­möglichkeiten

Seit 2019 existiert die BundID als ein zentrales Konto für Bürger, um sich für online nutzbare Leistungen von Behörden authentisieren zu können.

Dies ist nicht die erste Möglichkeit zur Authentisierung, die vom Bund bereitgestellt wird. 2010 wurde der „neue Personalausweis“ eingeführt, der mit der eID-Funktion eine elektronische Authentisierung ermöglicht. Leider setzte sich die Nutzung des Ausweises nicht durch. Mit der weiten Verbreitung NFC-fähiger Smartphones ist die Nutzung mittlerweile zwar einfach, es existieren aber wenige Onlinedienste, welche die Nutzung der eID-Funktion ermöglichen, darunter ist zum Beispiel die POSTIDENT-App.

Ein weiterer Weg, über den sich deutsche Bürger zumindest gegenüber einer Behörde – dem Finanzamt – authentisieren können, ist das „Elster-Zertifikat“. Seit 2005 kann ein solches Softwarezertifikat gemeinsam mit einem Passwort zur Authentisierung bei der Nutzung von Elster verwendet werden – zum Beispiel zum Einreichen für die Steuererklärung.

Vertrauensniveaus bei der BundID

Um die BundID nutzen zu können, muss man sich zunächst registrieren und in der Folge bei jeder Nutzung authentisieren. Dabei können verschiedene Formen der Authentisierung gewählt werden, hier kommen auch die alten Bekannten wieder zum Zug:

  • Benutzername/Passwort (Basisregistrierung)
  • Elster-Zertifikat (Vertrauensniveau „substanziell“)
  • Neuer Personalausweis (Vertrauensniveau „hoch“)

Je höher das erreichte Vertrauensniveau beim Login, desto sensiblere Funktionen können bei den Diensten genutzt werden, die BundID zur Authentisierung zulassen. Dabei ist die Stärke des nPA im Vergleich zu den anderen Mechanismen offensichtlich, denn der Login ist nur möglich, wenn man den Personalausweis physisch bei sich hat und zusätzlich auch über die PIN verfügt, es wird also ein Faktor Wissen und ein Faktor Besitz geprüft. Ein „Verleihen“ oder Weitergeben des Personalausweises – bzw. gar der PIN – ist eher unüblich.

Die Authentifizierung mittels des Elster-Zertifikats deckt ebenfalls die Faktoren Besitz und Wissen ab, da man zum Login mit dem Zertifikat einerseits über die Zertifikatsdatei und andererseits über das zugehörige Passwort verfügen muss. Allerdings ist eine Weitergabe der Zertifikatsdatei technisch einfach machbar.

Weitergabe des Elster-Zertifikats

Dass diese Weitergabe des Elster-Zertifikats durchaus auch erfolgt, ist leicht vorzustellen. Der einfachste Weg, die Steuererklärung für eine andere Person abzugeben (z. B. weil man sich in der Familie hilft), ist die Nutzung des Zertifikats der betreffenden Person. Es ist zwar möglich, auch mit dem eigenen Zertifikat für andere die Steuererklärung abzugeben, dies ist aber nicht allgemein bekannt.

Darüber hinaus existieren bekannte Drittanbieterprogramme, die einen bei der Abgabe der Steuererklärung unterstützen und den Benutzer auffordern, sein Elster-Zertifikat hochzuladen und schließlich das zugehörige Passwort einzugeben. Die Betreiber dieser Programme können also über eine große Zahl von Zertifikaten und zugehörigen Passwörtern verfügen (inwieweit diese Anwendungen die Passwörter auch speichern, ist für den Benutzer jedoch nicht nachvollziehbar).

In der Folge kann jeder, der über das Elster-Zertifikat und das Passwort eines Bürgers verfügen, sich mit dessen Identität im Vertrauensniveau „substanziell“ bei der BundID authentisieren und entsprechende Funktionen daran angebundener Anwendungen nutzen bzw. das Postfach das Benutzers einsehen. Diese Möglichkeit ist unabhängig davon, ob der eigentliche Benutzer sich bereits selbst ein Benutzerkonto bei der BundID angelegt hat. Die Registrierung kann schließlich auch mit dem Elster-Zertifikat erfolgen.

Den wenigsten Menschen, die ihr Zertifikat weitergeben, ist klar, dass dieses Zertifikat seit der Einführung der BundID nicht mehr nur für die Abgabe der Steuererklärung geeignet ist, sondern eben auch die Registrierung einer BundID oder den Login mit dem Vertrauensniveau „substanziell“ ermöglicht. Nur ab dem Vertrauensniveau „substanziell“ können alle Bescheide und Nachrichten im Postfach gelesen werden. Dass vor einer Weitergabe des Elster-Zertifikats explizit gewarnt wird, ist den meisten Nutzern vermutlich ebenfalls nicht bekannt, auch wenn dies in dem Brief mit dem Code zum Abruf des Zertifikats beschrieben ist.

Fazit

Die Weitergabe des Elster-Zertifikats ist problematisch und sollte unterlassen werden. Alle, die ihr Zertifikat weitergegeben haben, sollten dieses in Elster widerrufen bzw. ein neues Zertifikat beantragen, um eine Nutzung der BundID durch Dritte zu verhindern.­

Category
Date

December 3, 2024

Navigation

Further blog articles

Blog

Loader Dev. 4 – AMSI and ETW

April 30, 2024 – In the last post, we discussed how we can get rid of any hooks placed into our process by an EDR solution. However, there are also other mechanisms provided by Windows, which could help to detect our payload. Two of these are ETW and AMSI.

Author: Kolja Grassmann

Mehr Infos »
Blog

Loader Dev. 1 – Basics

February 10, 2024 – This is the first post in a series of posts that will cover the development of a loader for evading AV and EDR solutions.

Author: Kolja Grassmann

Mehr Infos »
Do you want to protect your systems? Feel free to get in touch with us.
Search
Search