# taz.de -- "AusweisApp" gehackt: Die Perso-Software hat ein Leck
> Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte
> "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist
> sie nicht ganz dicht.
(IMG) Bild: Schön bunt, aber auch sicher? So wirbt das Bundesministerium für E-Perso und AusweisApp.
Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen
Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder
sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine
Sicherheitslücke.
Wie der Internet-Aktivist Jan Schejbal in seinem [1][Blog] berichtet, ist
der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu
verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom
Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient"
hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel
werden.
Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der
"AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung
mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber
nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des
absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem
offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den
offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung
(DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem.
Anschließend verschickt man dann eine manipulierte Version der
"AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe
einer elektronischen Signatur überprüft. Doch hier steckt eine weitere
Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode
auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an
anderer Stelle Schädlingscode ablegen.
Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt,
leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen,
das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in
fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer
das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die
Idee kommen, die Lücke auszunutzen.
Wer auf Nummer sicher gehen will, sollte nicht die automatische
Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern
sich diese [2][direkt aus dem Web] besorgen. Moderne Webbrowser überprüfen,
ob der Server auch zur Signatur passt.
Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die
jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine
möglicherweise [3][schwerwiegende Sicherheitslücke] bei der Verwendung des
neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger
Kartenleser auch noch [4][teilweise mitschuldig] war.
10 Nov 2010
## LINKS
(DIR) [1] http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
(DIR) [2] http://www.ausweisapp.bund.de/pweb/cms/index.jsp
(DIR) [3] /1/politik/deutschland/artikel/1/zweifel-am-neuen-personalausweis/
(DIR) [4] /1/politik/deutschland/artikel/1/mieser-geschenkter-gaul/
## AUTOREN
(DIR) Ben Schwan
## TAGS
(DIR) Schwerpunkt Überwachung
(DIR) Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA
(DIR) Analyse des E-Perso und der AusweisApp: Sicherheitsprobleme mit zwei Ohren
Nachdem sie gehackt wurde, ist die AusweisApp für den neuen Personalausweis
nun wieder online - wenn auch nicht für jeden. Eine Analyse der Stärken und
Schwächen.
(DIR) Pannen beim neuen Personalausweis: Ausweise mit leeren Chips
Auf den neuen elektronischen Personalausweis muss man Wochen warten und
kann die neuen Funktionen nicht nutzen. Die technischen Probleme sorgen für
Protest.
(DIR) Sicherheitsmängel beim E-Perso: AusweisApp ist wieder offline
Die Software für den elektronischen Personalausweis muss nach der
Entdeckung einer Sicherheitslücke erneuert werden. Eine neue Version soll
bald bereitstehen.