Liebe Bürgerinnen und Bürger, die Software AusweisApp wird derzeit überarbeitet. Ihr BSI
Liebe Bürgerinnen und Bürger,
die Software AusweisApp wird derzeit überarbeitet. In Kürze wird an dieser Stelle eine neue Version der AusweisApp zum Download zur Verfügung stehen. Weitere Informationen finden Sie in der „Pressemeldung des BSI“.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Download der neuen AusweisApp gestoppt. (1)
Das BSI erklärte, dass die AusweisApp nur eingeschränkt getestet wurde und dass es vor der offiziellen Einführung des neuen Personalausweises naturgemäß mangels Ausweisdokumenten und Anwendungen nur sehr eingeschränkte Möglichkeiten gab, um das Programm ausreichend und realitätsnah zu testen. (2)
Warum mit der Einführung des elektronischen Personalausweises auf einmal diese Bedenken für die Datensicherheit aufkommen, wurde nicht näher erläutert.
Ob der Pirat Jan Schejbal mit seiner Veröffentlichung auf seinem Blog unter dem Titel AusweisApp gehackt (Malware über Autoupdate) und/oder der Chaos Computer Club mit seinen Untersuchungen vom 21.September „Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis“ den Ausschlag gaben, wurde vom BSI nicht zugegeben, da es nicht über diesen Schatten springen kann. (3), (4)
Die Pressemeldung des BSI im Orginal
Neue Version der AusweisApp wird in Kürze bereitgestellt
Bonn, 10.11.2010.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 8. November 2010 die Software AusweisApp zur Nutzung der eID-Funktion des neuen Personalausweises bereitgestellt. Inzwischen wurde über eine Schwachstelle berichtet, über die Angreifer im Rahmen der Update-Funktion Schadsoftware auf Nutzerrechner einschleusen können. Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen. Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht. Auch beeinflusst dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führt auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden können.
Die beteiligten Firmen OpenLimit SignCubes AG und Siemens IT Solutions and Services GmbH werden in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt.
Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitung implementiert, um auf derartige Probleme kurzfristig reagieren zu können.
Erläuterung der Schwachstelle und Hinweise für die Nutzer
Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die Verwendung der AusweisApp selbst, sondern auf die automatische Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens „download.ausweisapp.bund.de“ zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren.
Die neue Version der AusweisApp wird in Kürze zum Download auf der Webseite https://www.ausweisapp.bund.de zur Verfügung stehen. Das BSI empfiehlt Nutzern, die die AusweisApp bereits heruntergeladen haben, nicht die Update-Funktion der Software zu verwenden, sondern die AusweisApp neu zu installieren. Nach dem Einspielen der neuen Version können die Nutzer die Auto-Update-Funktion der AusweisApp wie vorgesehen nutzen.
Quellen:
(1) https://www.ausweisapp.bund.de/pweb/filedownload/download_pre.do
(2) http://winfuture.de/news,59439.html
(3) http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
(4) http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa