Digitaler Personalausweis: Sicherheitslücke in Software (Update)
Digitaler Personalausweis - Sicherheitslücke in Software nachgewiesen
Montage: teltarif.de
Der neue digitale Personalausweis, der zum
1. November eingeführt werden sollte, ist seit geraumer Zeit Gegenstand
zahlreicher Diskussionen mit Bezug auf die Sicherheit des chipgesteuerten
Dokumentes. Der Computerspezialist Jan Schejbal von der Piratenpartei konnte in einem Experiment jetzt eine bedeutende
Sicherheitslücke in der Software zum neuen elektronischen Personalausweis, der sogenannten "AusweisApp", nachweisen: Über die
Aktualisierungsfunktion der Software können schädliche Programme auf die Computer der Nutzer relativ leicht eingeschleust werden. Der digitale Personalausweis selbst ist von dem Hack allerdings nicht angegriffen, dass heißt es sind keinerlei Veränderungen am gespeicherten Datenbestand möglich.
Digitaler Personalausweis: Update-Routine offenbar ursächlich für Sicherheitsleck
Digitaler Personalausweis - Sicherheitslücke in Software nachgewiesen
Montage: teltarif.de
Die
vermeintliche Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der besagten Software. Die AusweisApp baut zwar eine verschlüsselte
Verbindung zum entsprechenden Server des Bundes auf, überprüft dabei allerdings nicht, ob das notwendige Verschlüsselungszertifikat tatsächlich auch von diesem Update-Server kommt. Über eine entsprechende Manipulation der
Netzwerkverbindung (DNS-Server) könnten aber Update-Anfragen der Software an den
Bundesserver auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort aus können folglich
schädliche Programme auf den PC mit der AusweisApp gelangen. Die Angaben von Schejbal in Sachen Sicherheitslücke beim neuen, digitalen
Personalausweis wurden von Sicherheitsexperten von heise.de bestätigt.
BSI prüft das vermeintliche Sicherheitsleck
Das hierfür zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, man prüfe derzeit in Zusammenarbeit mit dem Software-Hersteller, ob der von Jan Schejbal beschriebene Hack tatsächlich durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig seien: "Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren", so BSI-Sprecher Tim Griese gegenüber einem Nachrichtendienst.
Mit Hilfe der AusweisApp können Besitzer des neuen
Personalausweises Daten, die im elektronischen Dokument gespeichert sind, in die digitale Welt übertragen, um beispielsweise zertifizierte
Online-Einkäufe vorzunehmen, oder mittels der dadurch gesicherten
Legitimation rechtswirksam Versicherungen oder sonstige Geschäfte, die normalerweise eine direkte Unterschrift der Beteiligten voraussetzen,
abzuschließen.
Update: Seit dem heutigen Mittwoch nachmittag ist der Download der AusweisApp-Software offenbar nicht mehr möglich. Eine Stellungnahme des BSI zu ihrem eigenen Untersuchungs-Ergebnisse und Gründen des Download-Stopps steht laut heise.de noch aus.