BSI behebt Sicherheitslücke

Ausweis-App - Neue Version "in Kürze"

Johannes Klostermeier ist ein freier Journalist aus Berlin. Zu seinen Spezialgebieten zählen unter anderem die Bereiche Public IT, Telekommunikation und Social Media. Auf cio.de schreibt er über CIO Auf- und Aussteiger.
Peinliche Panne bei der Ausweis-App: Sie hat eine Sicherheitslücke. Eine neue Version ist in Vorbereitung - statt Update empfiehlt das BSI die Neu-Installation.

Obwohl noch kaum jemand den neuen, elektronischen Personalausweis haben kann und auch die kostenlosen Lesegeräte noch nicht unters Volk gebracht worden sind, gibt es schon Ärger mit der zum Lesegerät gehörenden kostenlosen Ausweis-App, mit der man die E-ID-Funktion des Ausweises nutzen kann.

Ein Mitglied der Piratenpartei hat eine Schwachstelle in der Ausweis-App entdeckt.
Ein Mitglied der Piratenpartei hat eine Schwachstelle in der Ausweis-App entdeckt.

Jan Schejbal, Mitglied der Piratenpartei, hat die Sicherheitslücke aufgedeckt. Durch eine Schwachstelle in der automatischen Update-Funktion könnten Angreifer, so hat er herausgefunden, Schadsoftware auf den Rechner des Nutzers aufspielen und damit die Kontrolle über das Gerät erlangen.

Die Ausweis-App aktualisiert sich automatisch bei jedem Start. Wie Schejbal erklärt, versucht sie dabei, eine sichere Verbindung zum Updateserver aufzubauen. Mit einer Reihe von Tricks kann ein Angreifer, der die Internetverbindung zum Beispiel über ein ungesichertes W-LAN Netzwerk oder einen manipulierten DNS-Server kontrolliert, die vermeintlich sichere Verbindung umleiten und ein gefälschtes Updatepaket einschleusen. Durch einen weiteren Fehler kann auch die zweite Sicherheitsebene umgangen werden, wodurch der Angreifer beispielsweise eigene (Schad-)Software installieren kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte mit, dass man „die theoretische Möglichkeit einer Infektion mit Schadsoftware" nachvollziehen könne. Dass sich die Möglichkeit des Angriffs nicht auf die Verwendung der Ausweis-App selbst bezog, sondern auf die automatische Update-Funktion der Software, und dass bei dem Angriff die Ausweis-App selbst weder angegriffen noch verfälscht werde, betonte die Behörde ausdrücklich. Auch beeinflusse dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führe auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden könnten.