Digitaler Personalausweis: Details zur AusweisApp-Lücke

Sicherheitslücke in AusweisApp
Bild: dpa Zunächst das Lesegerät, dann die Online-Software - der digitale Personalausweis hat mit einigen Startproblemen zu kämpfen. Bereits nach wenigen Stunden nach Bereitstellung der Software für die Identifizierung im Internet war diese AusweisApp schon gehackt. Nicht die zuständige Behörde, sondern ein Darmstädter Student hat die Sicherheitslücke entdeckt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfte die Sache und teilte daraufhin mit, dass es in Kürze eine neue Version der Software geben soll. Der Entwickler OpenLimit teilte mit, dass die neue Version bereits getestet wird.

Sicherheitslücke in AusweisApp
Bild: dpa "Gestern Abend wurde die AusweisApp freigegeben", teilte Piratenpartei-Mitglied Jan Schejbal über seinen Blog mit, "und damit stand fest: Das wird für mich eine lange Nacht". Er habe sich eine Liste möglicher Angriffe zurechtgelegt, so Schejbal. Bei jeder Überprüfung von Software-Sicherheit gehören solche Angriffsszenarien zum Standard. Schejbal beschäftigte sich besonders mit der Updatefunktion der Software. Schejbal erklärte, dass dies generell eine gefährliche Sache ist, weil Code von außen eingeschleust werden kann. "Dort habe ich gesehen, dass es dort sogar zwei Sicherheitsebenen gibt, was mich überrascht hat." Jedoch habe er auf jeder dieser Ebenen eine Lücke entdeckt.

Software enthält zwei Sicherheitsebenen - beide mit Lücken

Die Software überprüft nicht, ob die Adresse download.ausweisapp.bund.de auch zur korrekten IP-Adresse führt - dort werden die Updates der AusweisApp bereitgestellt. IP-Adressen sind die Zahlenadressen, welche die Computer im Netz zur Weiterleitung der Daten verwenden. Laut Schejbal sei dies eine Prüfung, die man relativ leicht vergisst. "Das ist mir auch bereits passiert.", so Schejbal, der in Darmstadt IT-Sicherheit studiert.

Nachdem die AusweisApp das Update heruntergeladen hat, folgt das Entpacken der Zip-Datei. Hier beginnt die zweite Sicherheitsebene: Die AusweisApp fragt nach einer Signatur, um die Echtheit der Daten zu überprüfen - diesen Mechanismus konnte Schejbal aushebeln. Ein Angreifer könnte damit den Rechner des AusweisApp-Nutzers unter Kontrolle bringen.

Die AusweisApp wird benötigt, wenn man den neuen Personalausweis zum Ausweisen bei Behörden oder Unternehmen im Internet benutzen möchte. "Diese Software dient als Schnittstelle zwischen Ihrem Computer, Ihrem Ausweis und dem Diensteanbieter", erklärt das BSI. Der eigene Rechner sollte vor Schadsoftware geschützt sein, fordert die Verwaltung. Ansonsten ist es möglich, die für die AusweisApp verlangte PIN mit einem sogenannten Keylogger auszuspähen. Dies ist dann möglich, wenn ein einfaches Kartenlesegerät verwendet wird, bei dem die PIN über die PC-Tastatur eingegeben werden muss. Schejbal kritisiert: "Den sicheren Rechner hat man gerade wegen der AusweisApp nicht".

Die Kritik war vor der Einführung des neuen Personalausweises am 1. November teilweise überzogen. Nun fühlen sich die Kritiker bestätigt.