Der neue Personalausweis ist sicher – wenn man ihn nicht benutzt!

Am Montagabend wurde sie stolz freigegeben – die AusweisApp für den neuen Personalausweis. Doch bereits am Dienstagmorgen veröffentlichte Jan Schejbal von der Piratenpartei Deutschland einen Exploit, der zwei Designfehler ausnützt: Ein Computer, auf dem die App installiert wird, wird angreifbar – pikanterweise, weil die Software zur Identitätsprüfung die Identität einer Signatur nicht prüft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte die App geprüft – und hüllt sich seitdem in peinliches Schweigen. Vermutlich sucht man dort noch in der Powerpoint-Präsentation nach der fehlerhaften Programmzeile…

Details: Neuer Personalausweis: AusweisApp mit Lücken (Heise).

Solch ein peinlicher Pfusch ist ziemlich gefährlich und er beschädigt das Image des Technologie-Standorts Deutschland. Außerdem führt der Vorgang zu seltsamen Rückschlüssen: Noch am 29. Oktober verkündete Bundesinnenminister Thomas de Maizière „Der neue Personalausweis ist sicher.“ Unter Bezugnahme auf die durch den Chaos Computer Club zuvor veröffentlichten Sicherheitslücken schränkte er jedoch ein, dass ein Computer, auf dem der neue Ausweis zur Anwendung käme, sicher sein müsse – und für die Sicherheit des eigenen Computers sei jeder selbst verantwortlich.*

Jetzt macht aber ausgerechnet die AusweisApp einen Computer unsicher. Das ist ziemlich blöd gelaufen und würde sehr deutlich zeigen wie unrealistisch die Einschätzungen des BMI sind – wäre da nicht der berühmte Catch-22: Denn glücklicherweise ist Hacken ja verboten; und somit bleibt der Ausweis per definitionem völlig sicher, ganz gleichgültig wie viele Sicherheitslücken gefunden werden.

Und wer hat’s erfunden? Der Hersteller der fragwürdigen Software ist das Schweizer Unternehmen OpenLimit SignCubes AG („Der Spezialist für die elektronische Signatur“), der Generalunternehmer ist Siemens, Auftraggeber ist das Innenministerium, als Erfüllungsgehilfe fungiert das sich mehr und mehr selbst diskreditierende BSI.


*

Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz – PAuswG)

§ 27 Pflichten des Ausweisinhabers

(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter Allgemein, E-Business, Projektmanagement abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.