"AusweisApp" gehackt: Die Perso-Software hat ein Leck
Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist sie nicht ganz dicht.
Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine Sicherheitslücke.
Wie der Internet-Aktivist Jan Schejbal in seinem Blog berichtet, ist der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel werden.
Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der "AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung (DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem.
Anschließend verschickt man dann eine manipulierte Version der "AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe einer elektronischen Signatur überprüft. Doch hier steckt eine weitere Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an anderer Stelle Schädlingscode ablegen.
Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die Idee kommen, die Lücke auszunutzen.
Wer auf Nummer sicher gehen will, sollte nicht die automatische Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern sich diese direkt aus dem Web besorgen. Moderne Webbrowser überprüfen, ob der Server auch zur Signatur passt.
Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine möglicherweise schwerwiegende Sicherheitslücke bei der Verwendung des neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger Kartenleser auch noch teilweise mitschuldig war.
Links lesen, Rechts bekämpfen
Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen