ID Wallet: Bundesregierung wusste über IT-Sicherheitslücke längst Bescheid

Inhaltsverzeichnis

Das vom Bundeskanzleramt vorangetriebene Programm ID Wallet, mit dem sich Bürger gegenüber Dritten etwa über einen Führerscheinnachweis digital ausweisen können sollen, scheiterte im September zunächst krachend: Der von der Bundesregierung beauftragte Dienstleister Digital Enabling zog die App aus den Stores von Google und Apple nach massiver Kritik von Sicherheitsexperten und Nutzern und zurück. Jetzt kam über eine Anfrage nach dem Informationsfreiheitsgesetz heraus, dass dem Bundesinnenministerium (BMI) eine der zutage getretenen zentralen Schwachstellen seit Langem bekannt war.

Identitätsdiebstahl möglich, Vertrauen untergraben

Die ID Wallet ist Teil des übergeordneten größeren interministeriellen Projekts "Ökosystem digitale Identitäten". Die Firma Digital Enabling, hinter der IBM Deutschland und die Langener IT-Sicherheitsfirma Esatus stehen, hatte die App bereits im Mai in einer früheren Version veröffentlicht. Der Vorläufer Esatus Wallet war sogar schon seit Mitte Februar 2020 verfügbar. Im Mai startete die Bundesregierung mit Partnern aus der Reisebranche das erste Pilotprojekt des vorgesehenen Ökosystems zum digitalen Hotel-Check-in. Dazu speicherte die Bundesdruckerei auf der ID Wallet die von ihr verifizierten Identitätsdaten des Besitzers.

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) fiel das Konzept aber größtenteils durch. Es warnte am 11. Mai in einer jetzt vom BMI herausgegebenen Bewertung für das Hotel-Projekt unter anderem just vor der Sicherheitslücke, die im September zum Fiasko bei der auf den digitalen Führerschein ausgeweiteten ID-Wallet-Variante führte. So sei für Nutzer der App insbesondere nicht ersichtlich, wem gegenüber sie sich überhaupt identifizieren. Mit dem so ermöglichten Identitätsdiebstahl wird das Vertrauen in die Anwendung untergraben.

BSI: Nicht ausreichend gegen Zugriff durch Fremde geschützt

Das BSI drückt das Problem so aus: "Die für die Durchführung eines Hotel-Check-ins notwendige Authentifizierung des Nutzers anhand der Faktoren Besitz ("Link-Secret") und Wissen ("PIN") erfolgt ausschließlich anhand von Schlüsselmaterial, welches in der Wallet-App gespeichert wird." Es komme kein gesondert gesichertes elektronisches Speicher- und Verarbeitungsmedium wie ein in Smartphones integriertes "Secure Element" zum Einsatz.

Auch die personenbezogenen Daten würden durch die App nur auf Software-Ebene verschlüsselt und gegebenenfalls nach der Entsperrung des Mobiltelefons mit dem Start der Anwendung im Wesentlichen über die sechsstellige Geheimzahl entschlüsselt. Mit diesen technischen Maßnahmen seien die überprüfbaren Identitätsnachweise aber "nicht ausreichend gegen den Zugriff Fremder geschützt". Dies ermögliche schon wenig versierten Angreifern das Kopieren und Nutzen solcher "Credentials" wie der hier verwendeten "Basis-ID" ohne Mitwissen des Besitzers und ohne Kenntnis seiner PIN.

Dem Hotel-Check-in-Test stimmte das BSI daher nur zu, weil dieses auf Firmenhandys beschränkt wurde. Diese verfügten zumindest über einen speziell zu verwaltenden geschäftlichen Bereich, um die größten Risiken zusammen mit zusätzlichen organisatorischen Maßnahmen abzumildern.

Anfällig für Sicherheitslücken, unklarer Nutzen

Von einem weiteren Einsatz des Konzepts über den Piloten hinaus riet das BSI ausdrücklich ab. Es hob dabei als andere "sicherheitsrelevante Punkte" etwa hervor, dass durch die Nutzung der Blockchain-basierten Lösung "die Komplexität und damit einhergehend die grundsätzliche Anfälligkeit für Sicherheitslücken des gesamten Systems bei unklarem Nutzen deutlich erhöht" werde. Viele Ziele könnten auf Basis klassischer Verschlüsselungstechniken wie einer Public-Key-Infrastruktur ebenso umgesetzt werden.

Für den Betrieb des Blockchain-Netzwerks und den Identitätsnachweis würden kryptographische Protokolle und Verfahren eingesetzt, die vom BSI "nicht empfohlen werden", heißt es weiter. Generell verwende der Test abgesehen von der Identifizierung mit dem elektronischen Personalausweis keine zertifizierten Komponenten.

Man-in-the-Middle-Attacke möglich

Die staatlichen Sicherheitsexperten monieren zudem, dass es für den Hotel-Check-in "keinen Penetrationstest oder ähnliche Prüfungen von externen" Sachverständigen gebe, "die eine ausreichende Resistenz des hier tatsächlich verwendeten Gesamtsystems gegen Angreifer nachweisen". Das BSI erwähnt hier einen "vor etwa drei Jahren" durchgeführten einschlägigen simulierten Hackerangriff für die Implementierung einer Hyperledger-Komponente aufgrund des Blockchain-Ansatzes. Für den Piloten habe sich bisher nicht bestätigen lassen, dass die dabei entdeckten Sicherheitslücken behoben seien.

Das BMI hat auf die Informationsfreiheitsanfrage hin ferner einen Auszug aus einem undatierten Penetrationstest der Berliner Firma Secure Systems Engineering (SSE) veröffentlicht. Auch darin erwähnen die Prüfer die Schwachstelle, wonach keine Verifikation der Endpunkte – im Fall des Check-in-Projekts Hotels – stattfinde. Diese Lücke plagt das Projekt bis heut. Ein Angreifer könne dadurch Daten eines sich registrierenden Benutzers erlangen, indem er eine Man-in-the-Middle-Attacke vornimmt. Die Überprüfung sei derzeit durch eine einfache Anzeige der URL dem User überlassen, der diese Webadresse aber nur schwer überprüfen könne. Das davon ausgehende Risiko schätzte SSE als "mittel" ein.

Angriffsszenario "nicht einschlägig"

Digitalstaatsministerin Dorothee Bär, die die Ökosystem-Initiative im Kanzleramt leitet, geht in einer Antwort Anfang Oktober auf Anfrage der linken Netzpolitikerin Anke Domscheit-Berg auf die Lücke grundsätzlich ein. Ein Abfangen der Daten benötige bei Verbindungsaufbau über die erweiterte Version 1.6 der ID Wallet einen QR-Code oder einen vergleichbaren Link, schreibt die CSU-Politikerin. Dessen Austausch sei bei einem gedruckten QR-Code aber nur durch physische Anwesenheit eines Angreifers oder bei einer Einbindung auf einer Website durch Zugriff auf interne Systeme der Verifizierenden möglich. Nach Informationen durch die Entwickler IBM und Esatus sei dies konkret beim Anwendungsfall Hotel-Check-In nur unter erschwerten Bedingungen möglich.

Schon für den ersten Piloten sind Bär zufolge "in Abstimmung mit dem BSI daher zusätzliche organisatorische Maßnahmen ergriffen" worden, um die Missbrauchsgefahren zu vermeiden beziehungsweise "auf ein sehr geringes Maß zu reduzieren". Das beschriebene Angriffsszenario sei dabei "nicht einschlägig".

"Notwendigen Weiterentwicklungsbedarf festgestellt"

Vor der Freischaltung weiterer Anwendungsfälle und dem Relaunch der ID Wallet "werden weitere zusätzliche Sicherungsmechanismen implementiert", erklärte die Staatsministerin. Dazu gehöre etwa das Setzen auf dynamische QR-Codes. Weitere Maßnahmen zur Verhinderung von Phishing-Versuchen würden geprüft. Bei den sensiblen Nachweisen Basis-ID und digitaler Führerschein seien mit der Gerätebindung zudem weitere Sicherheitsmechanismen implementiert. Diese stellten sicher, dass diese Funktionen "nur auf dem Gerät verwendet werden können, auf dem sie ausgestellt wurden".

Laut Bär wurde darüber hinaus inzwischen "notwendiger Weiterentwicklungsbedarf am System-Konzept festgestellt, bevor die Pilotanwendung in einen offenen Wirkbetrieb" übergehen könne. "Daran wird gearbeitet." Es gebe auch einen fortlaufenden Austausch mit dem Bundesdatenschutzbeauftragten Ulrich Kelber. Dessen Behörde biete aber "keine Prüfung oder Zertifizierung isolierter Apps an, insbesondere nicht von privaten Herausgebern".

Die IT-Sicherheitsforscherin Lilith Wittmann, die auf die Lücke beim digitalen Führerscheinnachweis mit aufmerksam gemacht hatte, äußerte auf Twitter die Hoffnung, dass das Thema "nun endgültig gestorben" sei. Vertreter der Bundesregierung bekräftigten jüngst aber noch einmal, dass das Projekt mit den bisherigen Wirtschaftspartnern fortgeführt werden solle.

(tiw)