Kurz nach dem Start muss die Software für den elektronischen Personalausweis vorerst wieder vom Netz: Eine Sicherheitslücke könnte sonst für unangenehme Folgen sorgen.
Es war ein kurzes Vergnügen: Seit Montagabend stand die Software für den elektronischen Personalausweis zum Herunterladen im Netz bereit, am Mittwochnachmittag ist sie bereits wieder verschwunden.
Bild vergrößern
Der elektronische Personalausweis soll auch zur Identifikation über das Internet verwendet werden können - doch das zugehörige Programm macht beim Start Schwierigkeiten. (© dapd)
Anzeige
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Download-Funktion für die "AusweisApp" vorläufig deaktiviert, weil der Piratenpartei-Hacker Jan Schejbal auf seinem Blog eine Sicherheitslücke publik gemacht hatte.
Die zum neuen elektronischen Personalausweis gehörende Software muss wenige Tage nach ihrer Einführung schon erneuert werden. Das BSI teilte mit, nach der Aufdeckung einer Schwachstelle werde in Kürze eine neue Version der sogenannten AusweisApp bereitgestellt. "Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen", erklärte die Behörde in Bonn. Bei einem derartigen Angriff werde die AusweisApp selbst weder angegriffen noch verfälscht. Auch beeinflusse dies nicht die Sicherheit des neuen Personalausweises.
Das BSI empfahl Nutzern der AusweisApp, nicht die Update-Funktion der Software zu verwenden, sondern das Programm nach Bereitstellung der angekündigten Version neu zu installieren. Danach werde es möglich sein, auch die Auto-Update-Funktion der AusweisApp wie vorgesehen zu verwenden. Die AusweisApp dient dazu, sich mit Hilfe des zum 1. November eingeführten neuen Personalausweises bei Unternehmen oder auch bei Behörden im Internet zu identifizieren.
Schejbal hatte nachgewiesen, dass über die Aktualisierungsfunktion der AusweisApp schädliche Programme auf einen Personal Computer eingeschleust werden können. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt. Damit können unter bestimmten Umständen bösartige Dateien auf die Festplatte eines PCs mit der AusweisApp geschrieben werden.
Auch das Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) hatte am Mittwoch bestätigt, dass in der Software zum neuen Personalausweis eine Sicherheitslücke klafft. Die Sicherheit und Einsatzfähigkeit des Personalausweises außerhalb des Internets sei jedoch nicht in Frage gestellt, sagte Professor Christoph Meinel, Leiter des HPI, dem RBB-Hörfunksender Antenne Brandenburg.
Bei dem neuen Personalausweis und der dazugehörigen Software handele es sich um ein neuartiges und komplexes System. "Wichtig ist, dass jetzt sofort reagiert wird", sagte Meinel. Nach dem Hack sei der Update-Server beim Bund abgestellt worden. Offenbar sei das von Bund beauftragte Software-Unternehmen schon dabei, die Sicherheitslücke zu schließen.
Mit der AusweisApp können Besitzer des neuen Personalausweises Daten des Dokumentes in die digitale Welt übertragen, um beispielsweise Online-Einkäufe vorzunehmen oder Versicherungen
Griechenland und die Euro-Zone
- Digitaler Personalausweis: Sicherheitslücke Virusfalle AusweisApp 10.11.2010
- Elektronischer Personalausweis Misstrauen gegen einen Mikrochip 15.10.2010
- Elektronischer Personalausweis Eine Frage des Lesegeräts 11.10.2010
- Neuer Personalausweis ab November Identität für 28 Euro 01.11.2010
- Neuer Personalausweis zum 1. November Hilfe oder Hacker-Spielzeug 27.10.2010
- Elektronischer Personalausweis Lücken im Vorzeigedokument 22.09.2010
- Testbericht Sicherheitslücken beim neuen Personalausweis 24.08.2010
(sueddeutsche.de/dpa/joku/holz)
das frage ich mich auch jedesmal bei derartigen Meldungen. Es ist ja nicht das erste Mal das Hacker und der Chaos Computer Club vermeintlich bombensichere technische Neuerungen als eher unsicher entlarven. Jedesmal findet dann das gleiche Trauerspiel statt. Die Entwickler beharren trotzig darauf, ihr Produkt sei sicher, obwohl weitere Hacker diese Behauptung widerlegen. Warum um Himmels willen werden gutmeinende Hacker, die ihre Expertise in den Dienst zur Verbesserung der Produkte stellen, nicht von vornherein in die Entwicklung der Innovationen eingebunden um von vornherein einen guten Start zu ermöglichen? Falls dann noch Sicherheitslücken auftauchen sollten, kann sich der Hersteller zumindest auf die Mithilfe der Hacker berufen.
und natürlich kann und wird man diesen epass immer knacken können auch nach der "betaphase".
Ich kannte sie bisher nicht. Ist das irgendeine "Scheinfirma", die nur zum Zwecke des neuen Personalausweises gegrüdet wurde oder stellt die sonst noch etwas her?
Davon abgesehen ist der hier beschriebene Fehler ein Anfängerfehler. Wer im sicherheitsrelevanten Umfeld arbeitet und Software für potenziell 80 Mio. User entwickelt und bereit stellt, der sollte wissen, dass es nicht reicht, die Verbindung selbst zu verschlüsseln - es muss auch die Identität der Gegenstelle verifiziert werden. Und hier prophezeihe ich schon in kürzester Zeit weitere Probleme - denn in der Tat ist ein "Online Update" bei einer solchen Anwendung generell keine gute Idee - besser wäre es, zertifizierte CDs bei den Behörden auszulegen und diese gegen Unkostenerstattung auch postalisch an die Nutzer zu senden.
Darüber hinaus warte ich nur darauf, dass sich die ersten Hacker mal richtig mit der Anwendung befassen. Mit Sicherheit wird auch die Speicherverwaltung und interne Datenhaltung Schwachstellen aufweisen.Ich freue mich auf die nächsten Meldungen zum "eAusweis BETA".
Ich finde es aber trotzdem bemerkenswert, dass der Softwarehersteller darauf verzichtet hat, die Software eben gerade auch durch Hacker testen zu lassen - zum Beispiel im Rahmen eines hochdotierten Wettbewerbes, der auch entsprechende Anreize dazu schafft. Denn neben solchen Amateurfehlern, wie sie in diesem Fall gemacht wurden, gibt es auch Probleme und Risiken, die man nicht immer durch bloße Sorgfalt entdecken kann - da braucht es eben Expertenwissen und das haben i.d.R. die Hacker.
Ich freue mich immer mehr, dass ich noch 10 Jahre Ruhe habe und die Reifung dieses Beta-Testlaufs aussitzen kann.
... engagiert man lieber vertraulich und für viel geld ein paar bekannte Hacker im exklusiven Auftrag, die Dinger zu knacken, hinter- und unabhängig voneinander.