Offline BSI sperrt Download der Personalausweis-App

Das Bundesamt für Sicherheit in der Informationstechnik BSI hat den Download für die Software für den elektronischen Personalausweis deaktiviert. Der Schritt steht wahrscheinlich im Zusammenhang mit der Sicherheitslücke, über die SPIEGEL ONLINE am Dienstag berichtete.

Der sogenannte elektronische Personalausweis: Nicht so sicher wie versprochen?
dapd

Der sogenannte elektronische Personalausweis: Nicht so sicher wie versprochen?


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat wohl auf die neu entdeckte Sicherheitslücke in der AusweisApp reagiert und stellt das Programm vorerst nicht mehr zum Download bereit. Nach der Aufdeckung einer Schwachstelle wird in Kürze eine neue Version bereitgestellt.

Kurz davor hatte das BSI auf Anfrage von SPIEGEL ONLINE zu den gestrigen Berichten, wonach es einem IT-Spezialisten gelungen ist, bereits am Tag nach Veröffentlichung der Software eine Sicherheitslücke darin zu finden, Stellung genommen. Wörtlich heißt es darin: "Die Medien berichten derzeit von einer vermeintlichen Sicherheitslücke in der Software AusweisApp, die zur Nutzung der eID-Funktion des neuen Personalausweises bereit gestellt wird. Das BSI prüft derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar ist und welche Gegenmaßnahmen gegebenenfalls notwendig sind. Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren."

Die Beendigung der Download-Möglichkeit deutet darauf hin, dass diese Prüfung nicht ohne Ergebnis blieb. Ein BSI-Sprecher kündigte am Mittwochabend an, dass es in der Tat in Kürze ein Update geben soll. Dieses sei derzeit noch in der Qualitätssicherung. Nutzer der AusweisApp sollen nicht die Update-Funktion der Software verwenden, sondern das Programm nach Bereitstellung der angekündigten Version neu installieren. Danach soll die automatische Update-Funktion wie vorgesehen verwendet werden.

Mit der AusweisApp sollen Bürger künftig den neuen elektronischen Personalausweis nutzen können, um sich online zu identifizieren oder Geschäfte abzuschließen. Gestern allerdings hatte ein Hacker gezeigt, dass über die automatische Update-Funktion von außen Schadsoftware auf einen Computer aufgespielt werden könnte. Demnach ließe sich die Update-Funktion des Programms von außen so manipulieren, dass sie auf einen anderen als den vorgesehenen Server zugreift. Mit dieser Methode könne ein Angreifer die Software anweisen, statt einer Aktualisierung Schadsoftware auf den Rechner des Nutzers aufzuspielen.

Zwar wäre es nach bisherigen Erkenntnissen unwahrscheinlich, dass der Personalausweis selbst über die Lücke ausspioniert werden kann. Aber es könnten Viren oder andere Schädlinge in den Computer des Users eindringen.

Sebastian Weßling/pat



© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.