Elektronischer Personalausweis: Neue AusweisApp kommt in Kürze

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich am Mittwochabend in einer Stellungsnahme zur aufgedeckten Sicherheitslücke in der Software geäußert, mit der der neue elektronische Personalausweis am PC abgefragt werden kann. Alle Nutzer der AusweisApp müssen demnächst eine Neuinstallation durchführen.

In Pocket speichern vorlesen Druckansicht 263 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Detlef Borchers

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die aufgedeckte Sicherheitslücke der AusweisApp reagiert, mit der der neue elektronische Personalausweis auf einem PC abgefragt werden kann. In Zusammenarbeit mit den an der Softwareentwicklung beteiligten Firmen Siemens IT Solutions & Services GmbH sowie dem Subunternehmer OpenLimit SignCubes AG soll in Kürze eine neue Version der AusweisApp bereitgestellt werden. Ausweisbesitzer, die bereits die AusweisApp heruntergeladen haben, werden ausdrücklich aufgefordert, nicht die Update-Funktion dieser Software zu benutzen: Die aufgedeckte Sicherheitslücke betrifft genau die Update-Funktion. Ausnahmslos alle Nutzer der Software müssen eine Neuinstallation durchführen.

In der ausführlichen Stellungnahme des BSI wird die Lücke bestätigt, die der IT-Fachmann Jan Scheijbal von der Piratenpartei Deutschland entdeckt hat und die in den Tests von heise online nachvollzogen werden konnte. Einschränkend wird in der Stellungnahme des BSI von einer "theoretischen Möglichkeit" gesprochen, nicht von einem Fehler mit durchaus praktischen Konsequenzen: "Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen." Als theoretische Möglichkeiten werden in der Security-Welt die Probleme angesehen, wenn eine kryptographische Schwäche die Komplexität einer Sicherheits-Software verringert. Handwerkliche Programmierfehler fallen nicht unter diesen Begriff.

In den Worten des BSI wird die Lücke so dargestellt: "Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die Verwendung der AusweisApp selbst, sondern auf die automatische Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens download.ausweisapp.bund.de zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren."

Dabei legt das BSI Wert auf die Feststellung, dass durch die aufgedeckte Sicherheitslücke die AusweisApp weder angegriffen noch verfälscht werden könne. "Auch beeinflusst dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führt auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden können." Damit tritt das BSI vor allem Presseberichten entgegen, die davon berichtet haben, dass der Personalausweis ein zweites Mal gehackt worden sei. Als erstes Mal gilt ein vom CCC veröffentlichter Ansatz mit einem durch Spyware infizierten PC und einem Basiskartenleser ohne eigene Tastatur.

Wann die neue AusweisApp verfügbar sein wird, steht noch nicht fest. Zum Korrektur-Verfahren selbst äußert sich die Pressemitteilung recht wolkig: "Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitigung implementiert, um auf derartige Probleme kurzfristig reagieren zu können."

Ob die genannten Fehlerbeseitigungsverfahren alleine ausreichen, wird die Zukunft der AusweisApp zeigen müssen. Zumindest die über 100 MByte große Ubuntu-Version der App kippte dem Autor eine Menge Müll auf den Rechner, darunter eine veraltete JRE und Datenbank-Middleware aus der Zeit, als die AusweisApp noch als "Bürgerclient" für alle Kartenprojekte des Bundes konzipiert war, also auch mit der elektronischen Gesundheitskarte zusammenarbeiten sollte. Nach Informationen von heise online ist die AusweisApp vom BSI zudem auch noch gar nicht zertifiziert worden.

Siehe dazu auch im c't-Blog:

(pmz)