piwik no script img

"AusweisApp" gehacktDie Perso-Software hat ein Leck

Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist sie nicht ganz dicht.

Schön bunt, aber auch sicher? So wirbt das Bundesministerium für E-Perso und AusweisApp. Bild: screenshot bsi

Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine Sicherheitslücke.

Wie der Internet-Aktivist Jan Schejbal in seinem Blog berichtet, ist der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel werden.

Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der "AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung (DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem.

Anschließend verschickt man dann eine manipulierte Version der "AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe einer elektronischen Signatur überprüft. Doch hier steckt eine weitere Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an anderer Stelle Schädlingscode ablegen.

Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die Idee kommen, die Lücke auszunutzen.

Wer auf Nummer sicher gehen will, sollte nicht die automatische Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern sich diese direkt aus dem Web besorgen. Moderne Webbrowser überprüfen, ob der Server auch zur Signatur passt.

Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine möglicherweise schwerwiegende Sicherheitslücke bei der Verwendung des neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger Kartenleser auch noch teilweise mitschuldig war.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

3 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • D
    dauser

    Cui bono? Wem zum Vorteil?

     

    Dem Bundestrojaner!

  • S
    Stefan

    Ihrem Satz, der mit "Wer auf Nummer Sicher gehen will..." beginnt, muss ich leider widersprechen.

    Er müsste heißen:

    Wer auf Nummer Sicher gehen will sollte auf die Nutzung dieser Eigenschaft des Personalausweises gänzlich verzichten.

  • B
    Branko

    Was hat man erwartet? Der 'Spass' war doch von Anfang vorprogrammiert - ohne dass es dazu auch nur eine Zeile C-Code benötigt hätte.

    In einer Zeit, wo man bangen muss, ob die nahezu täglichen Updates eine Software noch wie gewohnt laufen lassen oder gar das ganze Betriebssystem übern Haufen schiesst, Eingabemasken mit Pull-Down-Staatenlisten von 'Afghanistan' bis 'Zimbabwe' aufwarten, aber die Annahme einer vierstelligen Postleitzahl verweigern, weil es nicht vorgesehen war, dass ein Deutscher im Ausland weilt, wo wir alle wissen, dass bei jedem Produkt bei Markteinführung lediglich Bananenversionen ausgeliefert werden, wird der Mensch in Form seines Personalausweises in dieses Computernetz hineinversponnen.

     

    Ich persönlich warte ja auf zewi Dinge:

    1.) Der erste Flugpassagier, der mit MP im Anschlag in Handschellen abgeführt wird und seinen Flug verpasst, weil die Bilderkennungssoftware nicht damit klargekommen ist, dass er sich den Bart abgenommen hat. Und der sich von nun auch auf keinen Flughafen mehr trauen kann, weil er trotz zig Schreiben seines Rechtsanwalts nicht aus der Terroristenkartei gelöscht wird.

     

    2.) Der grosse Verkauf der Daten einer Bundesregierung an einen Werbedienstleister, um kurz vor einer Bundestagswahl noch mal ein paar Steuergeschenke zu verteilen.

     

    Glauben Sie nicht?

    Na, dann warten wir's doch einfach mal ab :-]