Bei der 33. Hackerkonferenz Def Con wurden mit den Pwnie-Awards die „Oscars“ der IT-Security verliehen. Matteo Rizzo, Kristoffer Janke, Josh Eads, Tavis Ormandy und Eduardo Vela Nava gewannen gleich zweimal: in den Kategorien „Bester Krypto-Bug“ und „Bester Desktop-Bug“. Sie fanden heraus, dass AMD seit sieben Jahren den Schlüssel aus der NIST-Dokumentation, der dort als Beispiel angegeben ist, in der Produktion benutzt hat.

Ken Gannon erhielt einen Award für das Enthüllen der komplizierten Exploitkette, mit der man ein Samsung Galaxy S24 mit sieben Bugs zum Installieren eigener APKs bringt. Den Pwnie für die beste Privilegien-Eskalation gewannen die Hacker v4bel und qwerty_po für die Linux Kernel VSOCK Quadruple Race Condition. Die Sicherheitsforscher von Qualys haben ebenfalls zwei Pwnies gewonnen: in den Kategorien „Best RCE“ (Remote Code Execution) und „Epic Achievement“ für das Enthüllen von OpenSSH-Schwachstellen.

Inwhan Chun, Isabella Siu und Riccardo Paccagnella bekamen den Pwnie für „Most Underhyped Research“ (etwa: am meisten unterbewertete Forschung). Der von ihnen entdeckte Bug „Scheduled Disclosure“ in den Energieverwaltungsalgorithmen moderner Intel-Prozessoren ermöglicht es, Power-Side-Channel-Angriffe in Remote-Timing-Angriffe umzuwandeln – und zwar effektiver als bisher und ohne Frequenz-Side-Channel-Leckage.

Der Preis für den „Most Innovative“-Beitrag ging an Angelos Beitis. Er fand im Internet mehr als vier Millionen Server, die alten, nicht authentifizierten Tunnelverkehr wie IPIP, GRE, 6in4 oder 4in6 akzeptieren. Dadurch lassen sich Quell-IP-Adressen trivial fälschen, Denial-of-Service-Angriffe durchführen und sogar Zugriffe auf interne Unternehmensnetze erlangen.

„Signal-Gruppen töten Truppen“

Außer den Awards für Sicherheitsforscher gibt es auch ironisch gemeinte „Auszeichnungen“ für Firmen und Einzelpersonen. Den Negativ-Pwnie „Lamest Vendor Response“ (etwa: schwächste Herstellerantwort) ging an die Linux-Kernelentwickler wegen der Sicherheitslücke “Linux kernel slab OOB write in hfsplus” (CVE-2025-0927). Und der Pwnie „EPIC Fail“ ging an Mike Waltz für SignalGate genannte Signal-Gruppenchat-Affäre der US-Regierung. Das Pwnie-Team überreichte ihm auch ein T-Shirt, das das Motiv eines Sicherheits-Awareness-Plakates aufgreift: „Signal Groups kill troops.“

(tiw)

Wer die eigene elektronische Patientenakte (ePA) in einer Krankenkassen-App aktivieren wollte, musste sich bislang digital ausweisen. Dafür kam entweder die elektronischen Gesundheitskarte (eGK) oder die Online-Ausweisfunktion des Personalausweises zum Einsatz – inklusive PIN-Abfrage. Das Bundesgesundheitsministerium hatte sich bewusst für diese hohen Sicherheitshürden entschieden, da in der ePA sensible Gesundheitsdaten verwaltet werden.

Nun ist eine Möglichkeit hinzugekommen, mit der sich Versicherte identifizieren können, ohne dass sie dafür eine PIN benötigen. Die Gematik hat das Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect rückwirkend zum 1. August zugelassen. Das Verfahren darf demnach für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die eGK genutzt werden. Mit der Karte lassen sich eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Die Entscheidung der Gematik überrascht. Denn vor ziemlich genau drei Jahren hatte sie Video-Ident-Verfahren für unzulässig erklärt. Das Verbot war aufgrund einer „sicherheitstechnischen Schwachstelle in diesem Verfahren … unumgänglich“ gewesen, wie die Gematik damals schrieb. Eine Wiederzulassung könne erst dann entschieden werden, „wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind“.

„Von Natur aus anfällig für Angriffe“

Zu dem Verbot war es gekommen, nachdem der IT-Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club mehrere gängige Video-Ident-Verfahren überlisten konnte – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kam damals zu einem klaren Urteil: „Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises.“

Und erst kürzlich bekräftigte das BSI, dass die videobasierte Identitätsprüfung zwar benutzerfreundlich, „von Natur aus aber anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen“ sei. Das Video-Ident-Verfahren, das das Bundesinnenministerium ohnehin nur als Brückentechnologie betrachtete, schien damit endgültig am Ende.

Die Rückkehr der Brückentechnologie

Nun aber bringt die Gematik die visuelle Personenidentifikation zurück. Das Verfahren sollen all jene Versicherten nutzen können, die keine PIN für ihre elektronische Gesundheitskarte oder ihren Personalausweis haben. „Wie üblich bei sicherheitsrelevanten Themen rund um die Telematikinfrastruktur wurde das BSI im Vorfeld über den Sachverhalt informiert“, schreibt die Gematik auf Anfrage von netzpolitik.org.

Ihre Entscheidung begründet die Gematik damit, dass „bei dem ‚Nect ePass‘-Verfahren zusätzlich zur Personenidentifikation Ausweisdokumente (z. B. Personalausweis oder Reisepass) elektronisch ausgelesen“ werden. Es verfüge damit über „die sicherheitstechnische Eignung für den Einsatz in der Telematikinfrastruktur“.

Das „ePass“-Verfahren der Nect GmbH erfolgt „vollautomatisiert“ mit Hilfe einer „KI-gestützten Dokumentenprüfung“. Außerdem müssen Nutzer:innen den NFC-Chip ihres Ausweisdokuments mit dem Smartphone auslesen und bei einem Video-Selfie zwei zufällig ausgewählte Worte sagen („Liveness Detection“).

Letztlich verändert die Gematik die Sicherheitsvorgaben: Bislang brauchten Versicherte notwendigerweise eine PIN, um ihre Identität zu bestätigen. Nun können sie sich auch ohne PIN mit ihrem Personalausweis im Video-Ident-Verfahren identifizieren. Damit erhalten sie eine PIN für ihre Gesundheitskarte, um dann ihre ePA zu aktivieren.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. „Im Prinzip handelt es sich bei dem Verfahren um eine Art 1,5-Faktor-Authentifizierung“, sagt sie gegenüber netzpolitik.org. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, ein Verfahren, bei dem zwei unterschiedliche und voneinander unabhängige Komponenten zur Prüfung eingesetzt werden.

Damit sind für Kastl weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt sie. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Warnung vor Bauchlandung

Die Entscheidung der Gematik hat offenkundig auch mit der geringen Zahl an Versicherten zu tun, die die elektronische Patientenakte aktiv nutzen. „Der elektronischen Patientenakte für alle droht eine Bruchlandung“, mahnte Ende Juli der Bundesvorsitzende des Hausärzteverbandes, Markus Beier. Er rief die Krankenkassen dazu auf, Patienten besser aufzuklären, statt die „Hände in den Schoß“ zu legen.

Angaben der Krankenkassen untermauern den Befund. Techniker Krankenkasse, AOK und Barmer haben zusammen mehr als 44 Millionen elektronische Patientenakten eingerichtet. Doch nur 1,2 Millionen Versicherte nutzen die ePA aktiv.

Der Vorstandschef der Techniker Krankenkasse, Jens Baas, kritisiert derweil den aus seiner Sicht komplizierten Registrierungsprozess für die ePA. „Wir bekommen viele Rückmeldungen von Versicherten, dass sie den Registrierungsprozess für die ePA zu kompliziert finden“, sagte der TK-Vorstandschef nur wenige Tage vor der Gematik-Entscheidung. Er forderte, die rechtlichen Rahmenbedingungen so anzupassen, dass Video-Ident-Verfahren dafür wieder möglich sind.

Kritik an fehlender Transparenz

Dem Wunsch nach einem einfacheren Registrierprozess will die Gematik nun offenbar nachkommen, allerdings ohne rechtliche Anpassungen. „Unserer Kenntnis nach bewegt sich die Anzahl an Versicherten bzw. Bürger:innen, die ihre PIN zur eGK bzw. PIN zum Personalausweis aktiv nutzen, auf einem niedrigen Niveau“, schreibt die Gematik an netzpolitik.org. „Daher sind sichere VideoIdent-Verfahren aus Sicht der Gematik ein wichtiger Schritt, um einen einfacheren Zugang zu digitalen Anwendungen wie der elektronischen Patientenakte oder dem E-Rezept zu ermöglichen.“

Das Vorgehen der Gematik überrascht Kastl nicht. „Vom Prozess her ist das wieder klassisch: Irgendwo im Hintergrund wird an einem Verfahren gewerkelt, das dann auf einmal auf die Bevölkerung losgelassen wird“, so die Sicherheitsforscherin. „Transparente Risikoaufklärung und unabhängige Risikobewertung? Mal wieder Fehlanzeige.“

In der Open-Source-Kompressionsbibliothek libarchive klafft eine Sicherheitslücke, die zunächst als lediglich niedriges Risiko eingestuft wurde. Einige Zeit nach der Veröffentlichung aktualisierter Quellen kam das US-amerikanische NIST jedoch zu der Einschätzung, dass das Leck sogar eine kritische Bedrohung darstellt. Darauf wurde nun das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufmerksam.

Bei der Verarbeitung von .rar-Archiven kann ein Ganzzahlüberlauf in der Funktion archive_read_format_rar_seek_data() auftreten. In dessen Folge kann es zu einem „Double Free“ kommen, bei dem bereits freigegebene Ressourcen nochmals freigegeben werden. Dabei kommt es potenziell zu Störungen des Speichers, wodurch Angreifer etwa Schadcode einschleusen und ausführen oder einen Denial-of-Service-Zustand hervorrufen können (CVE-2025-5914 / EUVD-2025-17572, CVSS 9.8, Risiko „kritisch„).

Nachträglich höheres Risiko erkannt

Die ursprüngliche Meldung der Lücke an das libarchive-Projekt durch Tobias Stöckmann mitsamt eines Proof-of-Concept-Exploits fand bereits am 10. Mai dieses Jahres statt. Am 20. Mai haben die Entwickler die Version 3.8.0 von libarchive herausgegeben. Die öffentliche Schwachstellenmeldung erfolgte am 9. Juni ebenfalls auf Github. Dort wurde auch die CVE-Nummer CVE-2025-5914 zugewiesen, jedoch zunächst mit dem Schweregrad CVSS 3.9, Risiko „niedrig„, wie Red Hat die Lücke einordnete.

Mit einem aktualisierten Angriffsvektor kam das NIST am 20. Juni jedoch zur Einschätzung, dass das Risiko auf einen CVSS-Wert von 9.8 kommt und mithin „kritisch“ einzustufen ist. Die Änderung blieb weitgehend unbemerkt, bis FreeBSD zum Wochenende eine eigene Sicherheitsmitteilung veröffentlicht hat.

Nicht nur Linux- und Unix-Distributionen setzen auf libarchive – wo Admins die Softwareverwaltung anwerfen und nach bereitstehenden Aktualisierungen suchen lassen sollten –, sondern auch in Windows ist inzwischen libarchive am Werk. Zur Ankündigung des aufgebohrten Windows-ZIP-Tools, das inzwischen mehrere Archivformate beherrscht, gab der Leiter damalige Panos Panay der Produktabteilung Windows und Geräte zur Microsoft Build 2023 bekannt, dass die native Unterstützung für .tar, 7-zip, .rar, .gz und viele andere durch die Nutzung des Open-Source-Projekts libarchive hergestellt wird. Es ist derzeit unklar, ob Microsoft etwa zum kommenden Patchday die eingesetzte Bibliothek auf einen fehlerkorrigierten Stand bringt oder es bereits in den vergangenen zwei Monaten getan hat.

(dmk)