Jan Schejbal von der Piratenpartei wies am Dienstag in einem Experiment nach, dass über die Aktualisierungsfunktion der Software schädliche Programme auf einen Personal Computer eingeschleust werden können. Der Personalausweis selbst wird von dem Hack allerdings nicht angegriffen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, man prüfe derzeit gemeinsam mit dem Hersteller der Software OpenLimit, ob der beschriebene Angriff durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig seien. "Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren", sagte BSI-Sprecher Tim Griese der Nachrichtenagentur dpa.
Die Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der Software. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt. Über eine Manipulation der Netzwerk-Verbindung (DNS-Server) könnten aber Update-Anfragen der Software an den Bundes-Server auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort könnten dann schädliche Programme auf den PC mit der AusweisApp gelangen.
- Personalausweis elektronisch
Der E-Perso kann in Verbindung mit einem PC, auf dem die Middleware "Bürgerclient" aufgespielt ist, als Identifikationssystem genutzt werden. Die Software zeigt dabei für den Anwender wesentliche Informationen zu Diensteanbietern, Berechtigungsnachweisen und Zertifikaten an. - Personalausweis elektronisch
Der Anwender und Besitzer des E-Perso kann entscheiden, welche Daten übermittelt werden dürfen. - Personalausweis elektronisch
Der Anwender muss der Übermittlung von Daten durch die Eingabe seiner PIN-Nummer zugestimmt haben. - Personalausweis elektronisch
Dann werden PIN-Nummer und Berechtigungszertifikat geprüft... - Personalausweis elektronisch
... und dann erst wird die Datenübermittlung abgesegnet. - Personalausweis elektronisch
Ein Icon zeigt an, dass der Anwender via E-Perso "auf Sendung" ist. - Personalausweis elektronisch
So sieht dann beispielsweise ein Desktop aus. - Personalausweis elektronisch
Dann muss angegeben werden, welches Kartenlesegerät benutzt wird. Es gibt billigere und weniger preisgünstige. - Personalausweis elektronisch
Es gibt darüber hinaus verschiedene Optionen, den Bürgerclient zu nutzen. - Personalausweis elektronisch
Nicht ganz unwichtig ist auch, dass der Benutzer seinen PIN-Code ändern kann.
Die Update-Routine führt diesen Schadcode auf dem PC zwar nicht aus. Allerdings lässt die Software zu, dass beliebige Dateien auf die PC-Festplatte geschrieben werden. Mit der AusweisApp können Besitzer des neuen Personalausweises Daten des Dokumentes in die digitale Welt übertragen, um beispielsweise Online-Einkäufe vorzunehmen oder Versicherungen abzuschließen. (dpa/tc)