Digitaler Personalausweis: Sicherheitslücke in Software (Update)

Digitaler Personalausweis - Sicherheitslücke in Software nachgewiesen
Montage: teltarif.de Der neue digitale Personalausweis, der zum 1. November eingeführt werden sollte, ist seit geraumer Zeit Gegenstand zahlreicher Diskussionen mit Bezug auf die Sicherheit des chipgesteuerten Dokumentes. Der Computerspezialist Jan Schejbal von der Piratenpartei konnte in einem Experiment jetzt eine bedeutende Sicherheitslücke in der Software zum neuen elektronischen Personalausweis, der sogenannten "AusweisApp", nachweisen: Über die Aktualisierungsfunktion der Software können schädliche Programme auf die Computer der Nutzer relativ leicht eingeschleust werden. Der digitale Personalausweis selbst ist von dem Hack allerdings nicht angegriffen, dass heißt es sind keinerlei Veränderungen am gespeicherten Datenbestand möglich.

Digitaler Personalausweis: Update-Routine offenbar ursächlich für Sicherheitsleck

Digitaler Personalausweis - Sicherheitslücke in Software nachgewiesen
Montage: teltarif.de Die vermeintliche Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der besagten Software. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum entsprechenden Server des Bundes auf, überprüft dabei allerdings nicht, ob das notwendige Verschlüsselungszertifikat tatsächlich auch von diesem Update-Server kommt. Über eine entsprechende Manipulation der Netzwerkverbindung (DNS-Server) könnten aber Update-Anfragen der Software an den Bundesserver auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort aus können folglich schädliche Programme auf den PC mit der AusweisApp gelangen. Die Angaben von Schejbal in Sachen Sicherheitslücke beim neuen, digitalen Personalausweis wurden von Sicherheitsexperten von heise.de bestätigt.

BSI prüft das vermeintliche Sicherheitsleck

Das hierfür zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, man prüfe derzeit in Zusammenarbeit mit dem Software-Hersteller, ob der von Jan Schejbal beschriebene Hack tatsächlich durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig seien: "Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren", so BSI-Sprecher Tim Griese gegenüber einem Nachrichtendienst.

Mit Hilfe der AusweisApp können Besitzer des neuen Personalausweises Daten, die im elektronischen Dokument gespeichert sind, in die digitale Welt übertragen, um beispielsweise zertifizierte Online-Einkäufe vorzunehmen, oder mittels der dadurch gesicherten Legitimation rechtswirksam Versicherungen oder sonstige Geschäfte, die normalerweise eine direkte Unterschrift der Beteiligten voraussetzen, abzuschließen.

Update: Seit dem heutigen Mittwoch nachmittag ist der Download der AusweisApp-Software offenbar nicht mehr möglich. Eine Stellungnahme des BSI zu ihrem eigenen Untersuchungs-Ergebnisse und Gründen des Download-Stopps steht laut heise.de noch aus.