Nach Sicherheitsproblem mit E-Ausweis

Neue Ausweis-App im Januar

21.12.2010
Von Johannes Klostermeier
Zum 3. Januar will das Bundesamt für Sicherheit in der Informationstechnik (BSI) die erneuerte Ausweis-App für den Personalausweis bereit stellen. Die alte hatte peinlicherweise Sicherheitslücken beim Update-Prozess gezeigt.

Die Teilnehmer des zentral koordinierten Anwendungstests zum neuen Personalausweis haben bereits am 10. Dezember 2010 eine Vorabversion der überarbeiteten Ausweis-App-Software erhalten. Die Ausweis-App ist notwendig, wenn man die Online-Ausweisfunktion des neuen Personalausweises nutzen möchte.

Mit dem zentral koordinierten Anwendungstest haben sich seit Oktober 2009 dreißig Anbieter von E-Business- und E-Government-Diensten auf den neuen Personalausweis vorbereitet. Den vorhandenen Fehler hatte aber offenbar niemand bemerkt. Angeblich fließen die Rückmeldungen der Anbieter von Diensten aber auch bei der neuen Version des Programms in die Weiterentwicklung mit ein.

Die Tricks der Angreifer

Mit einer Reihe von Tricks konnte bei der alten Ausweis-App ein Angreifer, der die Internetverbindung etwa über ein ungesichertes WLAN Netzwerk oder einen manipulierten DNS-Server kontrolliert, die vermeintlich sichere Verbindung umleiten und ein gefälschtes Updatepaket einschleusen. Durch einen weiteren Fehler konnte auch die zweite Sicherheitsebene umgangen werden, wodurch der Angreifer eigene (Schad-)Software installieren hätte können.

Die alte App musste aufgrund der aufgetretenen Fehler zurück gezogen werden; das BSI und die beteiligten Firmen Open Limit Sign Cubes und Siemens IT Solutions and Services GmbH mussten nacharbeiten. CIO.de berichtete bereits in dem Artikel "Ausweis-App: Neue Version 'in Kürze'".