ID Wallet: Bundesregierung wusste über IT-Sicherheitslücke längst Bescheid
Bereits im Mai warnte das BSI das Bundesinnenministerium, dass für Nutzer der ID Wallet nicht ersichtlich ist, wem gegenüber sie sich identifizieren.
(Bild: SvetaZi/Shutterstock.com)
Das vom Bundeskanzleramt vorangetriebene Programm ID Wallet, mit dem sich Bürger gegenüber Dritten etwa über einen Führerscheinnachweis digital ausweisen können sollen, scheiterte im September zunächst krachend: Der von der Bundesregierung beauftragte Dienstleister Digital Enabling zog die App aus den Stores von Google und Apple nach massiver Kritik von Sicherheitsexperten und Nutzern und zurück. Jetzt kam über eine Anfrage nach dem Informationsfreiheitsgesetz heraus, dass dem Bundesinnenministerium (BMI) eine der zutage getretenen zentralen Schwachstellen seit Langem bekannt war.
Identitätsdiebstahl möglich, Vertrauen untergraben
Die ID Wallet ist Teil des übergeordneten größeren interministeriellen Projekts "Ökosystem digitale Identitäten". Die Firma Digital Enabling, hinter der IBM Deutschland und die Langener IT-Sicherheitsfirma Esatus stehen, hatte die App bereits im Mai in einer früheren Version veröffentlicht. Der Vorläufer Esatus Wallet war sogar schon seit Mitte Februar 2020 verfügbar. Im Mai startete die Bundesregierung mit Partnern aus der Reisebranche das erste Pilotprojekt des vorgesehenen Ökosystems zum digitalen Hotel-Check-in. Dazu speicherte die Bundesdruckerei auf der ID Wallet die von ihr verifizierten Identitätsdaten des Besitzers.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) fiel das Konzept aber größtenteils durch. Es warnte am 11. Mai in einer jetzt vom BMI herausgegebenen Bewertung für das Hotel-Projekt unter anderem just vor der Sicherheitslücke, die im September zum Fiasko bei der auf den digitalen Führerschein ausgeweiteten ID-Wallet-Variante führte. So sei für Nutzer der App insbesondere nicht ersichtlich, wem gegenüber sie sich überhaupt identifizieren. Mit dem so ermöglichten Identitätsdiebstahl wird das Vertrauen in die Anwendung untergraben.
BSI: Nicht ausreichend gegen Zugriff durch Fremde geschützt
Das BSI drückt das Problem so aus: "Die für die Durchführung eines Hotel-Check-ins notwendige Authentifizierung des Nutzers anhand der Faktoren Besitz ("Link-Secret") und Wissen ("PIN") erfolgt ausschließlich anhand von Schlüsselmaterial, welches in der Wallet-App gespeichert wird." Es komme kein gesondert gesichertes elektronisches Speicher- und Verarbeitungsmedium wie ein in Smartphones integriertes "Secure Element" zum Einsatz.
Auch die personenbezogenen Daten würden durch die App nur auf Software-Ebene verschlüsselt und gegebenenfalls nach der Entsperrung des Mobiltelefons mit dem Start der Anwendung im Wesentlichen über die sechsstellige Geheimzahl entschlüsselt. Mit diesen technischen Maßnahmen seien die überprüfbaren Identitätsnachweise aber "nicht ausreichend gegen den Zugriff Fremder geschützt". Dies ermögliche schon wenig versierten Angreifern das Kopieren und Nutzen solcher "Credentials" wie der hier verwendeten "Basis-ID" ohne Mitwissen des Besitzers und ohne Kenntnis seiner PIN.
Dem Hotel-Check-in-Test stimmte das BSI daher nur zu, weil dieses auf Firmenhandys beschränkt wurde. Diese verfügten zumindest über einen speziell zu verwaltenden geschäftlichen Bereich, um die größten Risiken zusammen mit zusätzlichen organisatorischen Maßnahmen abzumildern.
Anfällig für Sicherheitslücken, unklarer Nutzen
Von einem weiteren Einsatz des Konzepts über den Piloten hinaus riet das BSI ausdrücklich ab. Es hob dabei als andere "sicherheitsrelevante Punkte" etwa hervor, dass durch die Nutzung der Blockchain-basierten Lösung "die Komplexität und damit einhergehend die grundsätzliche Anfälligkeit für Sicherheitslücken des gesamten Systems bei unklarem Nutzen deutlich erhöht" werde. Viele Ziele könnten auf Basis klassischer Verschlüsselungstechniken wie einer Public-Key-Infrastruktur ebenso umgesetzt werden.
Für den Betrieb des Blockchain-Netzwerks und den Identitätsnachweis würden kryptographische Protokolle und Verfahren eingesetzt, die vom BSI "nicht empfohlen werden", heißt es weiter. Generell verwende der Test abgesehen von der Identifizierung mit dem elektronischen Personalausweis keine zertifizierten Komponenten.
