Obwohl noch kaum jemand den neuen, elektronischen Personalausweis haben kann und auch die kostenlosen Lesegeräte noch nicht unters Volk gebracht worden sind, gibt es schon Ärger mit der zum Lesegerät gehörenden kostenlosen Ausweis-App, mit der man die E-ID-Funktion des Ausweises nutzen kann.
Jan Schejbal, Mitglied der Piratenpartei, hat die Sicherheitslücke aufgedeckt. Durch eine Schwachstelle in der automatischen Update-Funktion könnten Angreifer, so hat er herausgefunden, Schadsoftware auf den Rechner des Nutzers aufspielen und damit die Kontrolle über das Gerät erlangen.
Die Ausweis-App aktualisiert sich automatisch bei jedem Start. Wie Schejbal erklärt, versucht sie dabei, eine sichere Verbindung zum Updateserver aufzubauen. Mit einer Reihe von Tricks kann ein Angreifer, der die Internetverbindung zum Beispiel über ein ungesichertes W-LAN Netzwerk oder einen manipulierten DNS-Server kontrolliert, die vermeintlich sichere Verbindung umleiten und ein gefälschtes Updatepaket einschleusen. Durch einen weiteren Fehler kann auch die zweite Sicherheitsebene umgangen werden, wodurch der Angreifer beispielsweise eigene (Schad-)Software installieren kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte mit, dass man „die theoretische Möglichkeit einer Infektion mit Schadsoftware" nachvollziehen könne. Dass sich die Möglichkeit des Angriffs nicht auf die Verwendung der Ausweis-App selbst bezog, sondern auf die automatische Update-Funktion der Software, und dass bei dem Angriff die Ausweis-App selbst weder angegriffen noch verfälscht werde, betonte die Behörde ausdrücklich. Auch beeinflusse dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führe auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden könnten.
Ansonsten bestätigte das BSI aber: „Ein Angreifer kann dabei mithilfe eines sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens ‚download.ausweisapp.bund.de‘ zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, könnte er die Anfrage der Ausweis-App nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren."
Neue Version ist gegen DNS-Spoofing-Angriffe geschützt
Das BSI hat inzwischen reagiert: Die beteiligten Firmen Open-Limit Signcubes AG und die Siemens IT Solutions and Services GmbH wollen demzufolge in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt. Sie solle jetzt über ein Fehlerbeseitigungsverfahren behoben werden. Die neue Version der App will das BSI in Kürze zum Download auf der Webseite http://www.ausweisapp.bund.de zur Verfügung stellen.
Das BSI empfiehlt den Nutzern, die die App bereits heruntergeladen haben, nicht die Update-Funktion der Software zu verwenden, sondern die Ausweis-App neu zu installieren. Nach dem Einspielen der neuen Version sollen die Nutzer die Auto-Update-Funktion der Ausweis-App wie vorgesehen nutzen können. Merkwürdig: Nach Informationen von Heise online ist die fehlerhafte Ausweis-App vom BSI noch gar nicht zertifiziert worden.
Viel lieber vermeldet das Bundesinnenministerium Positives: „Die Einführung des neuen Personalausweises läuft gut an“, heißt es etwa in einer aktuellen Presseerklärung. Bundesinnenminister Thomas de Maizière sei „erfreut über die positive Resonanz“, die der neue Ausweis bisher erreicht habe. Auch der Bundesinnenminister hat demnach inzwischen einen neuen Personalausweis beantragt. Am Dienstag, 9. November begann dem Innenministerium zufolge zudem die Ausgabe der neuen Ausweisdokumente: Die ersten Antragsteller hätten ihren neuen Ausweis in Empfang nehmen können.
Für alle am Ausweis Interessierten gibt es auf der Homepage des Bundesinnenministeriums ein neues Frageportal zum elektronischen Personalausweis: Bis zum 16. November können dort Fragen zum Thema gestellt werden. Anschließend sollen sie von allen Nutzern bewertet werden, die drei am häufigsten genannten Fragen will De Maizière dann in Form eines Videopodcasts beantworten.
Foto: Bund der Steuerzahler
Die ursprünglich geplante, große Einführungskampagne für den neuen Ausweis fällt hingegen weitgehend aus. Wie der „Bund der Steuerzahler" auf seiner Seite erfreut vermeldet, ist das auch sein Verdienst. Dort heißt es: „Mit großem Brimborium plante das Bundesinnenministerium die Einführung des neuen elektronischen Personalausweises im Herbst dieses Jahres. Um den Bürgern die technischen Raffinessen und Vorzüge des scheckkartengroßen Ausweises schmackhaft zu machen, war eine aufwändige Roadshow quer durch Deutschland in Form eines ‚begehbaren Personalausweises‘ geplant", schreiben die Steuerzahler.
Geld für die Marketingkampagne für den neuen Ausweis stark gekürzt
Und weiter: „An verschiedenen Orten und Marktplätzen sollten die Bürger über die neuen Funktionen des Ausweises aufgeklärt werden. Auffällig begleitet werden sollte die Einführung zudem durch eine umfassende Medienkampagne mit Anzeigen in diversen Medien. Sieben Millionen Euro, so der Plan der Ministerialen, sollte die Einführungskampagne kosten, die über die Medienkampagnen hinaus zahlreiche Dialogveranstaltungen, die Teilnahme an Messen sowie die Produktion von Informationsbroschüren vorsah."
Die mediale Kritik des Bundes der Steuerzahler fand anscheinend Gehör bei den Haushältern. Sie kürzten die im Regierungsentwurf für den Haushalt 2010 vorgesehenen Mittel um vier Millionen Euro. Die Einführungskampagne muss jetzt mit einem Drei-Millionen-Euro-Budget realisiert werden. Vor allem die Roadshow sowie die Anzeigenkampagne haben laut Bund der Steuerzahler kräftig abspecken müssen.
Der Hightech-Verband Bitkom bedauert das sicherlich: Er fordert nämlich, die Bevölkerung noch intensiver über diese neue Technologie zu informieren. Die Akzeptanz des neuen Personalausweises in der deutschen Bevölkerung sei zwar im Jahresverlauf leicht um einen Prozentpunkt gestiegen. 47 Prozent Befürwortern stehen aber immer noch 44 Prozent Skeptiker des elektronischen Ausweisdokuments entgegen. Die restlichen neun Prozent sind unentschieden. „Es gilt nun, die Breite der Bevölkerung umfassend über die zusätzliche Sicherheit und die neuen Möglichkeiten des elektronischen Personalausweises zu informieren", findet Bitkom-Präsidiumsmitglied Dieter Kempf.