Geknackt: Angriff auf den elektronischen Ausweis

Berlin - Anfang des Monats wurde der elektronische Personalausweis eingeführt. Seit Montag steht die für die Online-Nutzung des Dokuments nötige Software zum Download bereit. Und seit Dienstag ist die Ausweis-App, wie die Software heißt, offenbar geknackt. Kein guter Start für das neue Hoheitspapier.

Kaum war das Programm am Montag freigegeben, hat sich der Computerexperte Jan Schjebal in einer Nachtsitzung darangemacht, in der Software nach Schwachpunkten zu suchen. Und er hat welche gefunden, wie er in seinem Blog schreibt. Die Experten von „Heise Online“ bestätigen die Sicherheitslücken. Das zuständige Bundesamt für die Sicherheit in der Informationstechnik (BSI) sperrte die Downloadmöglichkeit und teilte am Abend mit, man habe „gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und ... die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen“ können. Es werde eine neue Version der App bereitstellen. Benutzern empfahl das BSI, nicht die Update-Funktion der Software zu verwenden, sondern die angekündigte neue Version neu zu installieren. Die Sicherheit des Ausweises sei jedoch nicht gefährdet.

Über die Update-Funktion war es Schjebal, Mitglied der Piratenpartei, gelungen, Schadsoftware auf den Rechner mit der Ausweis-App zu spielen. Voraussetzung dafür ist der Zugriff auf ein ungeschütztes WLAN oder die Manipulation eines Internet-Namensverzeichnisses, um etwa die Adresse www.ausweisapp.bund.de zu einem Hackerserver umzuleiten.

Eigentlich sei das Programm sehr gut gesichert, bestätigt Schjebal. Es wird über eine gesicherte Verbindung aktualisiert und es wird vom Server ein Zertifikat angefordert, mit dem die Echtheit des Updates nachgewiesen wird. Allerdings wird dabei nicht kontrolliert, ob das Zertifikat auch vom richtigen Server stammt – was dann die Infiltration der Schadsoftware möglich macht. „Mit dem Personalausweis ist es so wie mit dem berühmten Bild von der stabilen Schranke auf freiem Feld“, sagt Schjebal. „Ich hatte mir schon gedacht, dass es Lücken geben würde, aber dass es so leicht sein würde, hat mich dann doch überrascht.“ Schjebal geht davon aus, dass es auch beim elektronischen Personalausweis selbst Lücken geben wird. Die Piratenpartei lehnt den neuen Ausweis ab.

Die Fachzeitschrift „c’t“ hat die Fehleranalyse der Piratenpartei in der Redaktion nachvollzogen und ist zu den gleichen Ergebnissen gekommen. „Diese banalen Fehler hätten bei einer Standardsicherheitsüberprüfung gefunden werden müssen, hier wurde nicht gründlich auf Sicherheitslücken kontrolliert“, sagt „c’t“-Experte Axel Kossel. Dass ausgerechnet die automatische Update-Funktion den Fehler enthält, macht seine Behebung komplizierter: Auch Kossel rät zu einer manuellen Neuinstallation.

Der Bundesverband der Verbraucherzentralen sieht sich durch die Schwachstelle in der E-Perso-Applikation in seiner Haltung zum elektronischen Personalausweis bestätigt. „Wir haben bereits zuvor vor den ungeklärten Sicherheitsproblemen gewarnt. Verbraucher sollten den E-Perso nur einsetzen, wenn sie zuvor für bestmöglichen Schutz auf ihrem Computer gesorgt haben“, sagte Sprecher Steffen Küßner. Von der Bundesregierung fordern die Verbraucherschützer eine breite Informationskampagne über den elektronischen Personalausweis – und über Haftungsrisiken für die Verbraucher.

Der HDE Handelsverband Deutschland als Interessensvertretung des Einzelhandels bleibt bei seiner grundsätzlich abwartenden Haltung zum E-Perso. Noch fehle dem neuen System die kritische Masse an Nutzern, sagte der für Zahlungssysteme zuständige HDE-Experte Ulrich Binnebößel. „Aber auch dann gilt für Sicherheitsfragen, dass wir uns auf die Dienstleister und Behörden verlassen können müssen.“