Monatelang haben sich Behörden und Wissenschaftler auf die Einführung des neuen Personalausweises vorbereitet. In einer einzigen Nacht hat ein Student entdeckt, dass die Software für die Ausweisfunktion im Internet unsicher ist. Jetzt muss schnell nachgebessert werden.

Von Peter Zschunke

Erst das Lesegerät, dann die Online-Software – der digitale Personalausweis kämpft mit Startproblemen. Wenige Stunden nach Bereitstellung der Software für die Identifizierung im Internet war diese AusweisApp schon gehackt.

Entdeckt hat die Sicherheitslücke ein Darmstädter Student, nicht die zuständige Behörde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfte die Sache und teilte mit, dass es in Kürze eine neue Version der Software geben soll. Beim Entwickler OpenLimit hieß es, die neue Version werde bereits getestet.

"Gestern Abend wurde die AusweisApp freigegeben, und damit stand fest: Das wird für mich eine lange Nacht", schrieb Piratenpartei-Mitglied Jan Schejbal in der vergangenen Woche in seinem Blog. "Ich habe mir eine schöne Liste möglicher Angriffe zurechtgelegt." Solche Angriffsszenarien gehören zum Standard bei jeder Überprüfung von Software-Sicherheit.

Schejbal widmete sich besonders der Updatefunktion der Software. "Das ist generell eine gefährliche Sache, weil Code von außen eingeschleust werden kann", erklärte Schejbal am Donnerstag im Gespräch mit der Nachrichtenagentur dpa. "Da habe ich gesehen, dass es dort sogar zwei Sicherheitsebenen gibt, was mich überrascht hat." Allerdings habe er auf jeder dieser Ebenen eine Lücke entdeckt.

So überprüft die Software nicht, ob der Internet-Server mit der Adresse download.ausweisapp.bund.de – dort werden die Updates der AusweisApp bereitgestellt – auch zur korrekten IP-Adresse dieses Rechners führt. IP-Adressen sind die Zahlenadressen, die die Computer im Netz zur Weiterleitung der Daten verwenden. "Das ist eine Prüfung, die man relativ leicht vergisst", sagte Schejbal, der in Darmstadt IT-Sicherheit studiert. "Das ist mir auch schon passiert."

Nachdem die AusweisApp das Update heruntergeladen hat, wird die Zip-Datei entpackt. Hier greift die zweite Sicherheitsebene: Die AusweisApp fragt nach einer Signatur, um die Echtheit der Daten zu kontrollieren. Schejbal gelang es aber, dies mit dem Wechsel in ein übergeordnetes Verzeichnis auszuhebeln: "So hatte ich die Möglichkeit, beliebige Software in den Autostart-Ordner zu bringen." Damit könne ein Angreifer den Rechner des AusweisApp-Nutzers unter Kontrolle bringen.

Die AusweisApp wird benötigt, wenn man den neuen Personalausweis dazu nutzen will, sich bei Behörden oder Unternehmen im Internet auszuweisen. "Diese Software ist die Schnittstelle zwischen Ihrem Computer, Ihrem Ausweis und dem Diensteanbieter", erklärt das BSI.

Der Rechner sollte vor Schadsoftware geschützt sein, fordert die Verwaltung – sonst ist es möglich, die für die AusweisApp verlangte PIN mit einem sogenannten Keylogger auszuspähen. Das ist dann möglich, wenn ein einfaches Kartenlesegerät verwendet wird, bei dem die PIN über die PC-Tastatur eingegeben werden muss. "Den sicheren Rechner hat man gerade wegen der AusweisApp nicht", kritisiert Schejbal.

Vor der Einführung des neuen Personalausweises am 1. November war die Kritik teilweise überzogen. Jetzt aber fühlen sich die Kritiker bestätigt.(dpa)