das BSI gibt bekannt – die erste Lücke im neuen Personalausweis ePa

Vor nur zwei Tagen (genauer am 09. November, sowieso schon dem Schicksalstag der Deutschen….) wurde die AusweisApp für den neuen ePa herausgegeben. Und am gleichen Tag wurde der erste Fehler gefunden. Eine Sicherheitslücke bei der Überprüfung zwischen Zertifikat und Host bei der Update-Funktion kann (bzw. nach Aktualisierung der Software nicht mehr) ausgenutzt werden, um durch DNS Spoofing den Hostnamen zu ersetzen und seinen eigenen Host einzusetzen. Damit hätte der Angreifer die Softwareaktualisierung stören oder auch bösartigeren Code unterschieben können.

Dieses wurde nun auch durch das BSI in einer Pressemitteilung https://www.bsi.bund.de/cln_174/ContentBSI/Presse/Pressemitteilungen/AusweisApp_101110.html bestätigt.

Beruhigend ist hier ja die Erklärung Beschönigung der Problematik:

… Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitung implementiert, um auf derartige Probleme kurzfristig reagieren zu können…

Die Updatefunktion birgt derzeit das bekannte Risiko. Und trotzdem wird hier von einer Qualitätssicherung gesprochen?
Der Download ist nun ersteinmal gestoppt. In wenigen Tagen soll eine neue Version zum Download angeboten werden.


Auch einige Politiker (aus der Opposition kommend) springen nun auf den Zug auf und proglamieren, dass man doch den ePa nicht weiter durchprügeln solle, die Einführung stoppt. Warum eigentlich erst jetzt die Stimme erheben? Warum jetzt auf den populistischen Zug aufspringen und dagegen sein? Hätte man nicht vorher mal aktiv werden können? Oder geht es nur wieder auf Stimmenfang à la „ich habe das ja gesagt..“? Würde mich auch nicht sonderlich wundern, wenn die gleichen Politiker noch vor wenigen Wochen dafür waren….


Grundsätzlich war also meine Vorhersage, dass der ePa in Kombination mit einfach(st)en Lesegeräten und mit heißer Nadel zusammengestrickter Software keine gute Idee ist, vollkommen richtig gewesen.
Dass es jedoch so schnell mit dem Auffinden der ersten Lücke geht, hätte ich nicht erwartet. Ich hätte der Software schon ein paar Tage mehr gegeben….


Weitere Links
http://www.golem.de/1011/79338.html
https://www.bsi.bund.de/cln_174/ContentBSI/Themen/Elekausweise/Personalausweis/Pressemappe/Pressemappe.html
http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,728199,00.html

Dieser Beitrag wurde unter Allgemeines, Dokus und Tipps, Technikspielkram abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert