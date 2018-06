Inhalt Seite 1 — Personalausweis-App muss nachgebessert werden Seite 2 Auf einer Seite lesen

Berlin (dpa) - Erst das Lesegerät, dann die Online-Software - der digitale Personalausweis kämpft mit Startproblemen. Wenige Stunden nach Bereitstellung der Software für die Identifizierung im Internet war diese AusweisApp schon gehackt.

Entdeckt hat die Sicherheitslücke ein Darmstädter Student, nicht die zuständige Behörde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfte die Sache und teilte dann am Mittwochabend mit, dass es in Kürze eine neue Version der Software geben soll. Beim Entwickler OpenLimit hieß es, die neue Version werde bereits getestet.

«Gestern Abend wurde die AusweisApp freigegeben, und damit stand fest: Das wird für mich eine lange Nacht», schrieb Piratenpartei- Mitglied Jan Schejbal in seinem Blog. «Ich habe mir eine schöne Liste möglicher Angriffe zurechtgelegt.» Solche Angriffsszenarien gehören zum Standard bei jeder Überprüfung von Software-Sicherheit.

Schejbal widmete sich besonders der Updatefunktion der Software. «Das ist generell eine gefährliche Sache, weil Code von außen eingeschleust werden kann», erklärte Schejbal am Donnerstag im Gespräch mit der Nachrichtenagentur dpa. «Da habe ich gesehen, dass es dort sogar zwei Sicherheitsebenen gibt, was mich überrascht hat.» Allerdings habe er auf jeder dieser Ebenen eine Lücke entdeckt.

So überprüft die Software nicht, ob der Internet-Server mit der Adresse download.ausweisapp.bund.de - dort werden die Updates der AusweisApp bereitgestellt - auch zur korrekten IP-Adresse dieses Rechners führt. IP-Adressen sind die Zahlenadressen, die die Computer im Netz zur Weiterleitung der Daten verwenden. «Das ist eine Prüfung, die man relativ leicht vergisst», sagte Schejbal, der in Darmstadt IT-Sicherheit studiert. «Das ist mir auch schon passiert.»

Nachdem die AusweisApp das Update heruntergeladen hat, wird die Zip-Datei entpackt. Hier greift die zweite Sicherheitsebene: Die AusweisApp fragt nach einer Signatur, um die Echtheit der Daten zu kontrollieren. Schejbal gelang es aber, dies mit dem Wechsel in ein übergeordnetes Verzeichnis auszuhebeln: «So hatte ich die Möglichkeit, beliebige Software in den Autostart-Ordner zu bringen.» Damit könne ein Angreifer den Rechner des AusweisApp-Nutzers unter Kontrolle bringen.

Die AusweisApp wird benötigt, wenn man den neuen Personalausweis dazu nutzen will, sich bei Behörden oder Unternehmen im Internet auszuweisen. «Diese Software ist die Schnittstelle zwischen Ihrem Computer, Ihrem Ausweis und dem Diensteanbieter», erklärt das BSI.