Ausweis-App: Flicken für’s Sicherheitsleck in Arbeit
Seit Montag gibt es den neuen Personalausweis – und schon am Dienstag zeigte er seine Schwachstellen. Über eine Sicherheitslücke der Software können schädliche Programme auf dem PC eingeschleust werden. Jetzt hat das Bundesamt für Sicherheit in der Informationstechnik reagiert.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 8. November 2010 die Software Ausweis-App zur Nutzung der eID-Funktion des neuen Personalausweises bereitgestellt.Jan Schejbal von der Piratenpartei hat bereits am Dienstag die Schwachstelle des umstrittenen Persos 2010 entdeckt: Wie schon im Vorfeld befürchtet, mangelt es im Umgang mit dem neuen Personalausweis, mit Hilfe dessen im Internet elektronische Unterschriften geleistet werden können, an der nötigen Sicherheit seiner Inhaber.
Über die Aktualisierungsfunktion der Software können Hacker schädliche Programme auf dem Computer installieren, auf dem die Ausweis-App läuft. Der Personalausweis selbst bleibt vom Angriff verschont. Schejbal zufolge liegt das Problem in der Update-Routine der Software. Die Ausweis-App baue demzufolge zwar eine verschlüsselte Verbindung zum Update-Server der Bundesregierung auf, prüfe jedoch nicht, von welchem Server das Verschlüsselungszertifikat tatsächlich kommt. Mittels Manipulation der Netzwerk-Verbindung (DNS-Server) ließen sich aber Update-Anfragen der Software an den Bundesserver auf jedem anderen Rechner mit gültigem Verschlüsselungszertifikat umleiten. Von dort aus könnten dann Schadprogramme auf den Computer gelangen. Zwar wird der Schadcode von der Update-Routine nicht ausgeführt, jedoch können alle möglichen Dateien auf die Festplatte geschrieben werden.
- Ausweis-App: Flicken für’s Sicherheitsleck in Arbeit
- Das BSI reagiert
