piwik no script img
taz logo

taz zahl ich

"AusweisApp" gehacktDie Perso-Software hat ein Leck

Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist sie nicht ganz dicht.

Schön bunt, aber auch sicher? So wirbt das Bundesministerium für E-Perso und AusweisApp. Bild: screenshot bsi
Von Ben Schwan

Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine Sicherheitslücke.

Wie der Internet-Aktivist Jan Schejbal in seinem Blog berichtet, ist der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel werden.

Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der "AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung (DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem.

Anschließend verschickt man dann eine manipulierte Version der "AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe einer elektronischen Signatur überprüft. Doch hier steckt eine weitere Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an anderer Stelle Schädlingscode ablegen.

Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die Idee kommen, die Lücke auszunutzen.

Wer auf Nummer sicher gehen will, sollte nicht die automatische Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern sich diese direkt aus dem Web besorgen. Moderne Webbrowser überprüfen, ob der Server auch zur Signatur passt.

Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine möglicherweise schwerwiegende Sicherheitslücke bei der Verwendung des neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger Kartenleser auch noch teilweise mitschuldig war.

Eine Koalition, die was bewegt: taz.de und ihre Leser:innen

Unsere Community ermöglicht den freien Zugang für alle. Dies unterscheidet uns von anderen Nachrichtenseiten. Wir begreifen Journalismus nicht nur als Produkt, sondern auch als öffentliches Gut. Unsere Artikel sollen möglichst vielen Menschen zugutekommen. Mit unserer Berichterstattung versuchen wir das zu tun, was wir können: guten, engagierten Journalismus. Alle Schwerpunkte, Berichte und Hintergründe stellen wir dabei frei zur Verfügung, ohne Paywall. Gerade jetzt müssen Einordnungen und Informationen allen zugänglich sein. Was uns noch unterscheidet: Unsere Leser:innen. Sie müssen nichts bezahlen, wissen aber, dass guter Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Es wäre ein schönes Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Feedback Kommentieren Fehlerhinweis
Mehr zum Thema

Analyse des E-Perso und der AusweisApp

Sicherheitsprobleme mit zwei Ohren

Nachdem sie gehackt wurde, ist die AusweisApp für den neuen Personalausweis nun wieder online - wenn auch nicht für jeden. Eine Analyse der Stärken und Schwächen.
Von Burkhard Schröder

Pannen beim neuen Personalausweis

Ausweise mit leeren Chips

Auf den neuen elektronischen Personalausweis muss man Wochen warten und kann die neuen Funktionen nicht nutzen. Die technischen Probleme sorgen für Protest.
Von Paul Wrusch

Sicherheitsmängel beim E-Perso

AusweisApp ist wieder offline

Die Software für den elektronischen Personalausweis muss nach der Entdeckung einer Sicherheitslücke erneuert werden. Eine neue Version soll bald bereitstehen.

10 Wochen im Probeabo

taz digital + wochentaz print testen

Wahre Liebe und heiße Flirts: Wir schauen auf die politische Reality Deutschlands – jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

3 Kommentare

 / 
  • D
    dauser

    Cui bono? Wem zum Vorteil?

     

    Dem Bundestrojaner!

  • S
    Stefan

    Ihrem Satz, der mit "Wer auf Nummer Sicher gehen will..." beginnt, muss ich leider widersprechen.

    Er müsste heißen:

    Wer auf Nummer Sicher gehen will sollte auf die Nutzung dieser Eigenschaft des Personalausweises gänzlich verzichten.

  • B
    Branko

    Was hat man erwartet? Der 'Spass' war doch von Anfang vorprogrammiert - ohne dass es dazu auch nur eine Zeile C-Code benötigt hätte.

    In einer Zeit, wo man bangen muss, ob die nahezu täglichen Updates eine Software noch wie gewohnt laufen lassen oder gar das ganze Betriebssystem übern Haufen schiesst, Eingabemasken mit Pull-Down-Staatenlisten von 'Afghanistan' bis 'Zimbabwe' aufwarten, aber die Annahme einer vierstelligen Postleitzahl verweigern, weil es nicht vorgesehen war, dass ein Deutscher im Ausland weilt, wo wir alle wissen, dass bei jedem Produkt bei Markteinführung lediglich Bananenversionen ausgeliefert werden, wird der Mensch in Form seines Personalausweises in dieses Computernetz hineinversponnen.

     

    Ich persönlich warte ja auf zewi Dinge:

    1.) Der erste Flugpassagier, der mit MP im Anschlag in Handschellen abgeführt wird und seinen Flug verpasst, weil die Bilderkennungssoftware nicht damit klargekommen ist, dass er sich den Bart abgenommen hat. Und der sich von nun auch auf keinen Flughafen mehr trauen kann, weil er trotz zig Schreiben seines Rechtsanwalts nicht aus der Terroristenkartei gelöscht wird.

     

    2.) Der grosse Verkauf der Daten einer Bundesregierung an einen Werbedienstleister, um kurz vor einer Bundestagswahl noch mal ein paar Steuergeschenke zu verteilen.

     

    Glauben Sie nicht?

    Na, dann warten wir's doch einfach mal ab :-]

meistkommentiert

1

Comeback der Linkspartei

„Bist du Jan van Aken?“

2

Streit um tote Geiseln in Israel

Alle haben versagt

3

Nach Taten in München und Aschaffenburg

Sicherheit, aber menschlich

4

Soziologische Wahlforschung

Wie schwarz werden die grünen Milieus?

5

Klimaneutral bis 2045?

Grünes Wachstum ist wie Abnehmenwollen durch mehr Essen

6

Nach Absage für Albanese

Die Falsche im Visier

taz zahl ich illustration

tazzahl ich

Gerade nicht

Bei uns haben Sie jeden Tag die Wahl

Denn auf taz.de sind alle Inhalte der taz ohne Paywall und frei zugänglich. Sie können wählen, ob und wie viel Sie dafür bezahlen möchten. Falls Sie gerne und regelmäßig zu Besuch sind, würden wir uns sehr über Ihre Unterstützung freuen. Ihr Beitrag sichert die Unabhängigkeit der taz.

  • Ja, ich will
  • Unterstützen Sie die taz jetzt freiwillig mit Ihrem Beitrag
  • Vielen Dank, dass Sie die taz unterstützen
  • Schon dabei!