Seite 2: Man-in-the-Middle-Attacke möglich

Inhaltsverzeichnis

Die staatlichen Sicherheitsexperten monieren zudem, dass es für den Hotel-Check-in "keinen Penetrationstest oder ähnliche Prüfungen von externen" Sachverständigen gebe, "die eine ausreichende Resistenz des hier tatsächlich verwendeten Gesamtsystems gegen Angreifer nachweisen". Das BSI erwähnt hier einen "vor etwa drei Jahren" durchgeführten einschlägigen simulierten Hackerangriff für die Implementierung einer Hyperledger-Komponente aufgrund des Blockchain-Ansatzes. Für den Piloten habe sich bisher nicht bestätigen lassen, dass die dabei entdeckten Sicherheitslücken behoben seien.

Das BMI hat auf die Informationsfreiheitsanfrage hin ferner einen Auszug aus einem undatierten Penetrationstest der Berliner Firma Secure Systems Engineering (SSE) veröffentlicht. Auch darin erwähnen die Prüfer die Schwachstelle, wonach keine Verifikation der Endpunkte – im Fall des Check-in-Projekts Hotels – stattfinde. Diese Lücke plagt das Projekt bis heut. Ein Angreifer könne dadurch Daten eines sich registrierenden Benutzers erlangen, indem er eine Man-in-the-Middle-Attacke vornimmt. Die Überprüfung sei derzeit durch eine einfache Anzeige der URL dem User überlassen, der diese Webadresse aber nur schwer überprüfen könne. Das davon ausgehende Risiko schätzte SSE als "mittel" ein.

Angriffsszenario "nicht einschlägig"

Digitalstaatsministerin Dorothee Bär, die die Ökosystem-Initiative im Kanzleramt leitet, geht in einer Antwort Anfang Oktober auf Anfrage der linken Netzpolitikerin Anke Domscheit-Berg auf die Lücke grundsätzlich ein. Ein Abfangen der Daten benötige bei Verbindungsaufbau über die erweiterte Version 1.6 der ID Wallet einen QR-Code oder einen vergleichbaren Link, schreibt die CSU-Politikerin. Dessen Austausch sei bei einem gedruckten QR-Code aber nur durch physische Anwesenheit eines Angreifers oder bei einer Einbindung auf einer Website durch Zugriff auf interne Systeme der Verifizierenden möglich. Nach Informationen durch die Entwickler IBM und Esatus sei dies konkret beim Anwendungsfall Hotel-Check-In nur unter erschwerten Bedingungen möglich.

Schon für den ersten Piloten sind Bär zufolge "in Abstimmung mit dem BSI daher zusätzliche organisatorische Maßnahmen ergriffen" worden, um die Missbrauchsgefahren zu vermeiden beziehungsweise "auf ein sehr geringes Maß zu reduzieren". Das beschriebene Angriffsszenario sei dabei "nicht einschlägig".

"Notwendigen Weiterentwicklungsbedarf festgestellt"

Vor der Freischaltung weiterer Anwendungsfälle und dem Relaunch der ID Wallet "werden weitere zusätzliche Sicherungsmechanismen implementiert", erklärte die Staatsministerin. Dazu gehöre etwa das Setzen auf dynamische QR-Codes. Weitere Maßnahmen zur Verhinderung von Phishing-Versuchen würden geprüft. Bei den sensiblen Nachweisen Basis-ID und digitaler Führerschein seien mit der Gerätebindung zudem weitere Sicherheitsmechanismen implementiert. Diese stellten sicher, dass diese Funktionen "nur auf dem Gerät verwendet werden können, auf dem sie ausgestellt wurden".

Laut Bär wurde darüber hinaus inzwischen "notwendiger Weiterentwicklungsbedarf am System-Konzept festgestellt, bevor die Pilotanwendung in einen offenen Wirkbetrieb" übergehen könne. "Daran wird gearbeitet." Es gebe auch einen fortlaufenden Austausch mit dem Bundesdatenschutzbeauftragten Ulrich Kelber. Dessen Behörde biete aber "keine Prüfung oder Zertifizierung isolierter Apps an, insbesondere nicht von privaten Herausgebern".

Die IT-Sicherheitsforscherin Lilith Wittmann, die auf die Lücke beim digitalen Führerscheinnachweis mit aufmerksam gemacht hatte, äußerte auf Twitter die Hoffnung, dass das Thema "nun endgültig gestorben" sei. Vertreter der Bundesregierung bekräftigten jüngst aber noch einmal, dass das Projekt mit den bisherigen Wirtschaftspartnern fortgeführt werden solle.

(tiw)