Sicherheitslücke in Ausweis-App

Wie das Bundesamt für Sicherheit und Informationstechnik (BSI) jetzt in einer offiziellen Pressemitteilung bestätigt hat, wurde die Auslieferung der Applikation zur Nutzung der eID-Funktion des neuen Personalausweises aufgrund einer Sicherheitslücke in der Auto-Aktualisierungsfunktion gestoppt. Diese könne von Cyberkriminellen genutzt werden, um die Ausweis-App dahin gehend zu manipulieren, dass über den Aktualisierungsprozess der Anwendung Schadsoftware auf den Computer des App-Kunden übertragen wird.

(12.11.2010) In einer gemeinsamen Analyse des BSI und des Entwicklers der Ausweis-App, der OpenLimit SignCubes AG, sei die theoretische Möglichkeit einer Vireninfektion nicht auszuschließen. Daher rät das Bundesamt für Sicherheit und Informationstechnik allen Besitzern der Applikation dringend von der Nutzung der automatischen Update-Funktion ab, bis die kooperierenden Unternehmen OpenLimit SignCubes AG und Siemens IT Solutions and Services GmbH die Entwicklung und Bereitstellung einer neuen Software-Version, die diese Schwachstelle beseitigt, abgeschlossen hat.

Hintergrund für die Überprüfung möglicher Sicherheitslücken war die bereits nicht einmal 24 Stunden nach Veröffentlichung der Applikation folgende Nachricht auf dem Blog des Hackers Jan Schejbal, in der er seine Vorgehensweise zur Manipulation der Update-Funktion beschreibt, mit der Folge, dass diese auf einen anderen als den eigentlich bestimmten Server zugreift und die Software anweist, anstelle des Updates Schadsoftware auf dem Computer des Anwenders zu installieren. Zwar ist es nach Ansichten der Experten unwahrscheinlich, dass dadurch auch ein direkter Zugriff auf die Daten des Personalausweises möglich ist, eine Gefahr vor Viren oder anderen Schadcodes wurde nun jedoch mit dem vorübergehenden Auslieferungsstopp der Ausweis-App bestätigt.