Sicherheitslücke bei VicRoad ermöglicht Identitätsdiebstahl

Die Geschichte könnte bei deutschen Behörden spielen: Es gibt eine Sicherheitslücke in der Führerscheinverwaltung des australischen Bundesstaats Victoria. Über diese Lücke können sich Dritte Dokumente beschaffen, um eine fremde Identität für eigenen Zwecke zu missbrauchen. Hier ein Fall, welche Probleme die Digitalisierung für den Einzelnen bedeuten kann.


Anzeige

Diesmal spielt die Geschichte nicht Deutschland, sondern in Australien. Es geht um die VicRoads-Webseite, über die Australier als Führerscheinbesitzer ihre Adresse online ändern können. ZDNet.com hat hier die Geschichte an einem Fall aufbereitet.

Führerschein geklaut – Lizenz zum Identitätsdiebstahl

Niel Fulton, in Melbourne ansässig, beantragte am 10. November 2017 einen neuen Führerschein. Wie sich das für moderne Australier so gehört, stellte er den Antrag über die VicRoads-Webseite. Zwei Wochen später stellte er fest, dass seine Adresse auf der VicRoads-Webseite geändert worden war.

Fulton geht davon aus, dass seine Sendung mit dem neuen Führerschein aus der Post gestohlen wurde, entweder auf dem Transportweg oder aus seinem Briefkasten. Das Problem: Der Dieb verfügt mit dem Führerschein über alle Informationen, um einen Änderungsantrag auf der VicRoads-Webseite einzureichen. Denn die Informationen umfassen die Lizenznummer des Führerscheins, den Namen des Inhabers, dessen Adresse und das Geburtsdatum des Fahrers.

Wird der Änderungsantrag abgeschickt, stellt VicRoads einen Aufkleber mit der neuen Adresse aus und verschickt diesen. Dieser wird dann dem Führerschein beigefügt. In Australien scheint der Führerschein zur Identifikation (bei Online-Konten etc.) verwendbar zu sein. Der Dieb kann daher den Führerschein zur Legitimation verwenden (zumindest solange, bis die Änderung vom rechtmäßigen Lizenzinhaber bemerkt wird, insbesondere bei Diensten, die kein Foto erfordern – und das schließt viele, wenn nicht sogar die meisten Online-Konten ein).

"Was bedeutet das? Jeder, der im Besitz einer Lizenz (Führerschein) ist, die nicht seine eigene ist, kann sie als eine Form der ID verwenden und so den Weg für einen Identitätsdiebstahl ebenen", sagte Fulton. Bemerkt der ursprüngliche Besitzer des Führerscheins den Eingriff, kann er zwar die Adresse wieder ändern. Aber der Dieb hat mit den erbeuteten Daten genügend Informationen, um das Konto des Führerscheinbesitzers bei VicRoads erneut zu übernehmen.

Behörde wenig hilfreich

Fulton kontaktierte VicRoads schließlich am 15. Januar 2018, aber mit wenig Erfolg. VicRoads kann die IP-Adresse des Benutzers oder andere Details der unrechtmäßigen Änderung nicht zurückverfolgen. Fulton sagte auch, dass VicRoads ihm keinen neuen Führerschein mit geänderter Lizenznummer ausstellen werde, bis sie konkrete Beweise dafür haben, dass Betrug begangen wurde. "Eine neue Lizenz, die mit der gleichen Nummer ausgestellt wurde, bedeutet, dass die Lizenz, die von Unbekannten gehalten wird, immer noch gültig und verwendbar ist, für… was auch immer," so Fulton.

ZDNet.com hat bei VicRoads nachgefragt. Diese lehnten es ab, diese Angaben zu bestätigen. Ach ja, die Floskel, dass die Agentur "die Sicherheit der persönlichen Daten unserer Kunden sehr ernst nimmt", muss in diesem Zusammenhang wohl auch gefallen sein.

Zahlen bitte

"Wir verarbeiten mehr als 24 Millionen Lizenzierungs- und Registrierungsinteraktionen pro Jahr und die Anzahl der Lizenzen, die aufgrund betrügerischer Aktivitäten jedes Jahr ersetzt werden, liegt bei einer von 1 Million", sagte Paul Santamaria, geschäftsführender Direktor der VicRoads-Abteilung für Registrierung und Lizenzierung, gegenüber ZDNet.com.


Anzeige

myVicRoads-Konten sind per Passwort geschützt

Neben der Webseite von VicRoads, auf der wohl Adressänderungen möglich sind, gibt es auch noch ein myVicRoads-Konto. myVicRoads ist ein passwortgeschütztes Portal, das es Kunden ermöglicht, eine Reihe von Transaktionen durchzuführen, einschließlich Adressänderungen. Sobald ein Konto erstellt wurde, erhält der Kunde einen Folgebrief, um die Richtigkeit seiner Angaben zu bestätigen. Die Behörde führt aus: "Wir ermutigen unsere Kunden, ein myVicRoads-Konto einzurichten, um ihre Interaktionen mit VicRoads zu verwalten." Das wäre also die 'sicherere Variante' der Geschichte.

Aktuell hat VicRoads 315.000 registrierte myVicRoads-Kontoinhaber. Man plant nun, den Adressänderungsdienst auf der VicRoads-Website zu schließen, sobald weitere myVicRoads-Konten erstellt werden. Allerdings, schreibt ZDNet.com, gibt es auf dem Adressänderungsformular der VicRoads-Webseite keinen Hinweis darauf, dass ein eigenes myVicRoads-Konto sicherer wäre. Auf der VicRoads-Webseite findet sich nur der Hinweis, dass ein myVicRoads-Konto nur die Möglichkeit einer kurzfristigen Kfz-Zulassung bietet. Die Nutzer bekommen also schlicht nicht mit, dass es etwas 'besseres' gibt.

Floskeln und Behördenirrsinn

"Wir verstehen die Probleme, die mit Identitätsdiebstahl verbunden sind, und wir ermutigen Kunden, sich an die Polizei zu wenden, wenn sie glauben, dass sie Opfer von Identitätsdiebstahl sind… Lizenzdiebstahl und betrügerische Aktivitäten werden als Angelegenheit der Victoria Police behandelt.", so die Behörde.

Fulton hat den Fall bei der Victoria Police eingereicht. Dort gab es aber wenig, was sie tun konnten. Sinngemäß lautete die Antwort: 'Wir können als Polizei nicht einfach zur angegebenen Adresse fahren, selbst, wenn wird diese kennen, und nach dem geklauten Führerschein fragen, denn dort wird abgestritten, dass sie etwas mit dem Fall zu tun haben'. Die Polizei des Bundesstaats Victoria Police ist aber auch nicht in der Lage, Statistiken über Lizenzdiebstahl zur Verfügung zu stellen. Ein Sprecher sagte dem ZDNet, dass es "kein Kästchen zum Ankreuzen" in ihren Kriminalitätsberichten gibt.

Fulton wurde zwar nach dem ZDNet-Artikel von VicRoads kontaktiert. Sie entschuldigen sich und versicherten, dass sie den Fall untersuchen und ihm eine neue Lizenznummer für den Führerschein vergeben. Fulton gibt an, dass VicRoads keine Details zur Schwachstelle offen gelegt habe, aber aus dem Gespräch war für ihn klar, dass es ein Problem gibt.

Schöne neue digitale Welt

Das ist also die schöne neue Welt der Digitalisierung, die auch unsere Behörden gerne den Bürgern aufs Auge drücken. Sicherheitslücken inklusive. Was den Australier Fulton besonders frustriert, fasst er in folgender Aussage zusammen: "Was das Ganze für mich noch schlimmer macht, ist, dass ich die Schwierigkeiten verstehe, die alle Parteien in dieser Angelegenheit haben… Ich bin erschöpft, besorgt über meine Zukunft, angepisst und frage mich, wie viele andere Menschen sich hier in der gleichen Situation befinden – einige von ihnen wissen es sicher nicht." Und als Individuum kannst Du kam was tun.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Sicherheitslücke bei VicRoad ermöglicht Identitätsdiebstahl

  1. Tim sagt:

    "Diesmal spielt die Geschichte nicht Deutschland"

    Anspielung auf den E-Perso, der seit Jahren so bombig funktioniert…?

    Ich glaub bei uns hier geht "jetzt" Fahrzeug abmelden online… :)

    • Günter Born sagt:

      Mir waren eher das besondere anwaltliche Postfach beA, BBI, die Gesundheitskarte etc. im Hinterkopf.

      • Tim sagt:

        Wobei die Gesundheitskarte ja auch eher noch immer eine Luftnummer ist.
        Immerhin gut 12 Jahre, oder?

        Vielleicht ist es aber eben auch ganz gut, das die fixen Ideen einiger am Ende doch nicht so funktionieren, wie sich diese Leute das gerne so vorstellen.
        Immer nur schade ums Geld…

        • der_Puritaner sagt:

          Kleiner Schildbürgerstreich aus Australien ;)

          Ja ganz so einfach ist das bei uns aber noch nicht Günters Auto Online Abzumelden, da müsste ich zunächst erst einen neuen Fahrzeugschein Online beantragen um an die Fahrzeugsidentitätsnummer zu gelangen dazu bräuchte ich aber erst Günters ID vom Personalausweis.

          In Amiland ist das hingegen viel einfacher da gibt es nämlich keine Fahrzeugsidentitätsnummer bei älteren Modellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.