5132529

"AusweisApp" gehackt: Die Perso-Software hat ein Leck

Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist sie nicht ganz dicht.

Schön bunt, aber auch sicher? So wirbt das Bundesministerium für E-Perso und AusweisApp. Bild: screenshot bsi

Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine Sicherheitslücke.

Wie der Internet-Aktivist Jan Schejbal in seinem Blog berichtet, ist der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel werden.

Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der "AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung (DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem.

Anschließend verschickt man dann eine manipulierte Version der "AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe einer elektronischen Signatur überprüft. Doch hier steckt eine weitere Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an anderer Stelle Schädlingscode ablegen.

Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die Idee kommen, die Lücke auszunutzen.

Wer auf Nummer sicher gehen will, sollte nicht die automatische Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern sich diese direkt aus dem Web besorgen. Moderne Webbrowser überprüfen, ob der Server auch zur Signatur passt.

Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine möglicherweise schwerwiegende Sicherheitslücke bei der Verwendung des neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger Kartenleser auch noch teilweise mitschuldig war.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • dauser

    Gast

    Cui bono? Wem zum Vorteil?

    Dem Bundestrojaner!

  • Stefan

    Gast

    Ihrem Satz, der mit "Wer auf Nummer Sicher gehen will..." beginnt, muss ich leider widersprechen.

    Er müsste heißen:

    Wer auf Nummer Sicher gehen will sollte auf die Nutzung dieser Eigenschaft des Personalausweises gänzlich verzichten.

  • Branko

    Gast

    Was hat man erwartet? Der 'Spass' war doch von Anfang vorprogrammiert - ohne dass es dazu auch nur eine Zeile C-Code benötigt hätte.

    In einer Zeit, wo man bangen muss, ob die nahezu täglichen Updates eine Software noch wie gewohnt laufen lassen oder gar das ganze Betriebssystem übern Haufen schiesst, Eingabemasken mit Pull-Down-Staatenlisten von 'Afghanistan' bis 'Zimbabwe' aufwarten, aber die Annahme einer vierstelligen Postleitzahl verweigern, weil es nicht vorgesehen war, dass ein Deutscher im Ausland weilt, wo wir alle wissen, dass bei jedem Produkt bei Markteinführung lediglich Bananenversionen ausgeliefert werden, wird der Mensch in Form seines Personalausweises in dieses Computernetz hineinversponnen.

    Ich persönlich warte ja auf zewi Dinge:

    1.) Der erste Flugpassagier, der mit MP im Anschlag in Handschellen abgeführt wird und seinen Flug verpasst, weil die Bilderkennungssoftware nicht damit klargekommen ist, dass er sich den Bart abgenommen hat. Und der sich von nun auch auf keinen Flughafen mehr trauen kann, weil er trotz zig Schreiben seines Rechtsanwalts nicht aus der Terroristenkartei gelöscht wird.

    2.) Der grosse Verkauf der Daten einer Bundesregierung an einen Werbedienstleister, um kurz vor einer Bundestagswahl noch mal ein paar Steuergeschenke zu verteilen.

    Glauben Sie nicht?

    Na, dann warten wir's doch einfach mal ab :-]