Es war ein kurzes Vergnügen: Seit Montagabend stand die Software für den elektronischen Personalausweis zum Herunterladen im Netz bereit, am Mittwochnachmittag ist sie bereits wieder verschwunden.
Der elektronische Personalausweis soll auch zur Identifikation über das Internet verwendet werden können - doch das zugehörige Programm macht beim Start Schwierigkeiten.
(Foto: dapd)Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Download-Funktion für die "AusweisApp" vorläufig deaktiviert, weil der Piratenpartei-Hacker Jan Schejbal auf seinem Blog eine Sicherheitslücke publik gemacht hatte.
Die zum neuen elektronischen Personalausweis gehörende Software muss wenige Tage nach ihrer Einführung schon erneuert werden. Das BSI teilte mit, nach der Aufdeckung einer Schwachstelle werde in Kürze eine neue Version der sogenannten AusweisApp bereitgestellt. "Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen", erklärte die Behörde in Bonn. Bei einem derartigen Angriff werde die AusweisApp selbst weder angegriffen noch verfälscht. Auch beeinflusse dies nicht die Sicherheit des neuen Personalausweises.
Das BSI empfahl Nutzern der AusweisApp, nicht die Update-Funktion der Software zu verwenden, sondern das Programm nach Bereitstellung der angekündigten Version neu zu installieren. Danach werde es möglich sein, auch die Auto-Update-Funktion der AusweisApp wie vorgesehen zu verwenden. Die AusweisApp dient dazu, sich mit Hilfe des zum 1. November eingeführten neuen Personalausweises bei Unternehmen oder auch bei Behörden im Internet zu identifizieren.
Schejbal hatte nachgewiesen, dass über die Aktualisierungsfunktion der AusweisApp schädliche Programme auf einen Personal Computer eingeschleust werden können. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt. Damit können unter bestimmten Umständen bösartige Dateien auf die Festplatte eines PCs mit der AusweisApp geschrieben werden.
Auch das Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) hatte am Mittwoch bestätigt, dass in der Software zum neuen Personalausweis eine Sicherheitslücke klafft. Die Sicherheit und Einsatzfähigkeit des Personalausweises außerhalb des Internets sei jedoch nicht in Frage gestellt, sagte Professor Christoph Meinel, Leiter des HPI, dem RBB-Hörfunksender Antenne Brandenburg.
Bei dem neuen Personalausweis und der dazugehörigen Software handele es sich um ein neuartiges und komplexes System. "Wichtig ist, dass jetzt sofort reagiert wird", sagte Meinel. Nach dem Hack sei der Update-Server beim Bund abgestellt worden. Offenbar sei das von Bund beauftragte Software-Unternehmen schon dabei, die Sicherheitslücke zu schließen.
Mit der AusweisApp können Besitzer des neuen Personalausweises Daten des Dokumentes in die digitale Welt übertragen, um beispielsweise Online-Einkäufe vorzunehmen oder Versicherungen