Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte am Mittwochabend mit, nach der Aufdeckung einer Schwachstelle werde in Kürze eine neue Version der sogenannten AusweisApp bereitgestellt.
Die Sicherheitslücke wurde von einem Mitglied der Piratenpartei aufgedeckt: Jan Schejbal wies am Dienstag auf eine fehlerhafte Umsetzung von Verschlüsselungsmechanismen in der Update-Funktion der Software hin. Dadurch ist es möglich, unter bestimmten Umständen bösartige Dateien auf die Festplatte eines PCs mit der AusweisApp abzulegen.
"Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen", erklärte die Behörde in Bonn. Bei einem derartigen Angriff werde die AusweisApp selbst weder angegriffen noch verfälscht. Auch beeinflusse dies nicht die Sicherheit des neuen Personalausweises.
Das BSI empfahl Nutzern der AusweisApp, nicht die Update-Funktion der Software zu verwenden, sondern das Programm nach Bereitstellung der angekündigten Version neu zu installieren. Danach werde es möglich sein, auch die Auto-Update-Funktion der AusweisApp wie vorgesehen zu verwenden. Die AusweisApp dient dazu, sich mit Hilfe des zum 1. November eingeführten neuen Personalausweises bei Unternehmen oder auch bei Behörden im Internet zu identifizieren.
- Personalausweis elektronisch
Der E-Perso kann in Verbindung mit einem PC, auf dem die Middleware "Bürgerclient" aufgespielt ist, als Identifikationssystem genutzt werden. Die Software zeigt dabei für den Anwender wesentliche Informationen zu Diensteanbietern, Berechtigungsnachweisen und Zertifikaten an. - Personalausweis elektronisch
Der Anwender und Besitzer des E-Perso kann entscheiden, welche Daten übermittelt werden dürfen. - Personalausweis elektronisch
Der Anwender muss der Übermittlung von Daten durch die Eingabe seiner PIN-Nummer zugestimmt haben. - Personalausweis elektronisch
Dann werden PIN-Nummer und Berechtigungszertifikat geprüft... - Personalausweis elektronisch
... und dann erst wird die Datenübermittlung abgesegnet. - Personalausweis elektronisch
Ein Icon zeigt an, dass der Anwender via E-Perso "auf Sendung" ist. - Personalausweis elektronisch
So sieht dann beispielsweise ein Desktop aus. - Personalausweis elektronisch
Dann muss angegeben werden, welches Kartenlesegerät benutzt wird. Es gibt billigere und weniger preisgünstige. - Personalausweis elektronisch
Es gibt darüber hinaus verschiedene Optionen, den Bürgerclient zu nutzen. - Personalausweis elektronisch
Nicht ganz unwichtig ist auch, dass der Benutzer seinen PIN-Code ändern kann.
Die Sicherheit und Einsatzfähigkeit des Personalausweises außerhalb des Internets sei nicht in Frage gestellt, sagte der Leiter des Hasso-Plattner-Instituts (HPI) an der Universität Potsdam, Christoph Meinel, am Mittwoch dem RBB-Hörfunksender Antenne Brandenburg. Bei dem neuen Personalausweis und der dazugehörigen Software handle es sich um ein neuartiges und komplexes System. "Wichtig ist, dass jetzt sofort reagiert wird", sagte Meinel. (dpa/tc)