Sicherheitslücke: Piratenpartei hackt Personalausweis-Software (Update 2)

Der Hacker Jan Schebjal, ein Mitglied der Piratenpartei, hat Sicherheitslücken in der AusweisApp, der Software für den neuen elektronischen Personalausweis (ePerso), entdeckt. Durch Fehler in der Update-Funktion sei es möglich, Schadsoftware auf dem Rechner des Nutzers zu installieren und die Kontrolle über das Gerät zu erlangen.

Inhaltsverzeichnis

1. 1Hacker vermutet weitere Schwachstellen
2. 2Update 11.10.2010: BSI kündigt neue Version der AusweisApp an
3. 3Update 2 vom 04.01.2011: Neue Version steht zum Download bereit

Das Programm aktualisiert sich nach Angaben der Piratenpartei bei jedem Start und versucht dabei eine sichere Verbindung zum Updateserver aufzubauen. Diese Verbindung sei aber nur vermeintlich sicher und könne mit wenigen Tricks umgeleitet werden. Der Angreifer sei dann in der Lage, dem Nutzer ein gefälschtes Updatepaket unterzuschieben und Schadsoftware auf dem Rechner zu installieren. Ist der Rechner einmal mit Schadsoftware infiziert, können Cyberkriminelle laut dem Chaos Computer Club die PIN auf dem Ausweis manipulieren und damit die Online-Funktionen sperren oder gar die Identität des Nutzers stehlen und online auf seine Kosten Verträge abschließen oder einkaufen. Die AusweisApp selbst unterwandere damit die Sicherheit des Computers, die das Bundesinnenministerium als Voraussetzung für eine sichere Nutzung des ePerso angibt, erklärte die Piratenpartei via Pressemitteilung.

Hacker vermutet weitere Schwachstellen

Schebjal geht davon aus, dass der Ausweis noch weitere Schwachstellen bietet. "Leider konnte ich nur die AusweisApp testen, weil ich weder den ePerso noch ein entsprechendes Lesegerät habe. Es bestehen aber garantiert noch größere Sicherheitslücken. Der eigentliche Kern des ePerso-Systems - der Chip und die Protokolle - ist zwar sicher konstruiert, aber im Umfeld gibt es Schwachstellen", schrieb er in seinem Blog, in dem er auch den Angriff auf die AusweisApp ausführlich dokumentiert.

Der neue ePerso ist seit dem 1. November in Deutschland erhältlich. Er besitzt gegenüber dem alten Ausweis die Möglichkeit sich mit ihm auch im Internet aus zuweisen. Vor der Einführung hatte es eine breite Diskussion um die Sicherheit des neuen Personalausweises gegeben. Die Software für den Personalausweis steht seit kurzem zum Download bereit. Aktuell ist sie in der Version 1.0.1 erhältlich. Eine Stellungnahme des Bundesinnenministeriums oder des Bundesamtes für Sicherheit in der Informationstechnik zu der entdeckten Sicherheitslücke liegt derzeit noch nicht vor, ist aber im Laufe des Tages zu erwarten. BSI-Präsident Michael Hange hatte den Ausweis zuletzt in einem Interview mit netzwelt verteidigt.

Update 11.10.2010: BSI kündigt neue Version der AusweisApp an

Das BSI hat in einer Pressemitteilung die vom Hacker Jan Schebjal beschriebene Lücke in der AusweisApp bestätigt und das Programm vorübergehend vom Netz genommen. Es soll bald in einer neuen Version erscheinen, in der die Lücke geschlossen ist. Nutzer, die die AusweisApp bereits heruntergeladen haben, sollten bis zur Aktualisierung der Software nicht die Autoupdate Funktion nutzen. Auch warnt das BSI davor, die neue Version per Autoupdate einzuspielen. Aus Sicherheitsgründen sollte das alte Programm deinstalliert und die neue Version manuell aufgespielt werden.

Das Bundesamt stellte darüber hinaus klar, dass über die Schwachstelle lediglich der Rechner mit Schadsoftware infiziert werden könne. Die AusweisApp selbst würde nicht verfälscht. Das Szenario führe auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden können.

Update 2 vom 04.01.2011: Neue Version steht zum Download bereit

Die Version 1.0.2 der AusweisApp steht ab sofort zum Download bereit, wie das BSI in einer Pressemitteilung bekannt gab. Die neue Version kann bereits bei netzwelt geladen werden. Derzeit gibt es sie nur für Windows, allerdings sollen laut dem BSI Versionen für Mac OS und Linux folgen. Anwender, die bereits die alte AusweisApp genutzt haben, sollen laut Empfehlung des BSI diese nicht updaten, sondern deinstallieren und die aktuelle Version herunterladen und installieren. Danach könne aber die Auto-Update-Funktion wie vorgesehen genutzt werden. In Zukunft sollen nämlich in regelmäßigen Abständen Updates der AusweisApp folgen.

Links zum Thema

• AusweisApp im Internet
• Blogbeitrag Jan Schejbal (Quelle)
• Pressemitteilung BSI (Quelle)
• Pressemitteilung BSI zum Update (Quelle)
• Pressemitteilung Piratenpartei (Quelle)