Lücke in der Software für neuen Personalausweis

Kurz nachdem die Software für den elektronischen Personalausweis veröffentlicht wurde, war es Jan Schejbal laut einem Blogbeitrag bereits möglich, eine kritische Schwachstelle darin ausfindig zu machen. In seinen Augen handelt es sich dabei um einen sehr simplen Fehler, der Experten im Prinzip bekannt ist. Allerdings wurde trotzdem nichts gegen diesen Umstand unternommen. Schejbal war es seinen eigenen Angaben zufolge möglich, die Update-Funktion des Programms von außen zu manipulieren.

Auf diese Weise griff die Software auf einen anderen als den vorgesehenen Server zu. Ein Angreifer könnte diese Methode beispielsweise nutzen, um Schadcode auf die Systeme der Opfer einzuschleusen. Während ein solches Szenario durchaus im Bereich des Möglichen liegen soll, gilt es als unwahrscheinlich, dass der Personalausweis selbst über die Lücke ausspioniert werden kann.

Darüber hinaus sagte Schejbal, dass den Entwicklern die Lücke eigentlich bekannt sein müsste. Ganz trivial gestaltete sich sein Vorhaben allerdings nicht, da die verwendeten Sicherheitsmaßnahmen ausgeklügelt sind. Wegen zwei Fehlern war es dem Hacker aber trotzdem möglich, die Software zu knacken.

Zur Verfügung gestellt wurde die Software in erster Linie um den Bürgern eine Möglichkeit zu geben, mit dem elektronischen Personalausweis und einem dazugehörigen Lesegerät online Geschäfte abzuschließen zu können. Ferner kann man sich damit gegenüber Behörden identifizieren.

Auch das Computer-Magazins "c't" hat sich mit diesem Sachverhalt näher beschäftigt und die Lücke bestätigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist gegenwärtig mit der genauen Analyse beschäftigt.