Bundesamt für Sicherheit in der Informationstechnik

Update: Neue Version der AusweisApp wird überprüft

BSI stellt künftig regelmäßig kumulierte Updates zur Verfügung

Ort Bonn
Datum 18.11.2010

Update:

Nachdem in der Software AusweisApp, die zur Nutzung der eID-Funktion des neuen Personalausweises erforderlich ist, Schwachstellen bekannt wurden, haben die beteiligten Unternehmen (OpenLimit SignCubes AG und Siemens IT Solutions and Services GmbH) inzwischen eine überarbeitete Version der Software bereitgestellt. Diese wird derzeit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) umfangreichen Tests unterzogen. Nach Abschluss der Tests wird die neue Version der AusweisApp auf der Webseite https://www.ausweisapp.bund.de zum Download zur Verfügung gestellt.

Gleichzeitig hat das BSI die mit dem Updateverfahren verbundenen Prozesse einer eingehenden Prüfung unterzogen, um künftig seitens der Nutzer und Diensteanbieter gemeldete Probleme mit der AusweisApp schnellstmöglich auszuwerten und erforderliche Updates schnell bereitstellen zu können. Zudem wird das BSI künftig zu regelmäßigen Terminen kumulierte Updates zum Download bereitstellen. Darüber können erkannte Schwachstellen geschlossen sowie Verbesserungen der Funktionalität, Benutzerfreundlichkeit und Performance eingespielt werden. Bei besonderen Vorfällen können Aktualisierungen auch sofort über so genannte "Hotfixes" erfolgen.

Anregungen der Nutzer fließen in die Weiterentwicklung ein

Die AusweisApp wurde bereits im Vorfeld der Einführung des neuen Personalausweises von einer Vielzahl von Diensteanbietern und Nutzern getestet, im Rahmen von Begleitforschungsprojekten untersucht und dabei ständig weiterentwickelt. Trotzdem kann nicht ausgeschlossen werden, dass bei einer erstmaligen Bereitstellung einer komplexen Software, die für eine Vielzahl von Nutzern bei unterschiedlichsten Gerätekonfigurationen einsetzbar sein muss, weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind.

Auch das Bekanntwerden von Sicherheitsproblemen ist insbesondere während des Einführungszeitraums ein Phänomen, von dem nicht nur die AusweisApp betroffen ist. Daher ist eine frühzeitige Meldung des erkannten oder vermeintlichen Sicherheitsproblems sowie dessen Beseitigung über ein effizientes Updateverfahren unverzichtbar. Das BSI begrüßt daher Vorschläge, Anregungen und Kommentierungen seitens der Nutzer, die dazu beitragen, den Bedienungskomfort, die Leistungsfähigkeit und die Sicherheit der AusweisApp kontinuierlich zu verbessern. Vorschläge können per E-Mail unter ePA@bsi.bund.de oder im Internet unter https://www.ausweisapp.bund.de/ abgegeben werden.

[ENDE UPDATE]

Neue Version der AusweisApp wird in Kürze bereitgestellt

Bonn, 10. November 2010. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 8. November 2010 die Software AusweisApp zur Nutzung der eID-Funktion des neuen Personalausweises bereitgestellt. Inzwischen wurde über eine Schwachstelle berichtet, über die Angreifer im Rahmen der Update-Funktion Schadsoftware auf Nutzerrechner einschleusen können. Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen. Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht. Auch beeinflusst dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führt auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden können.

Die beteiligten Firmen OpenLimit SignCubes AG und Siemens IT Solutions and Services GmbH werden in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt.

Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitung implementiert, um auf derartige Probleme kurzfristig reagieren zu können.

Erläuterung der Schwachstelle und Hinweise für die Nutzer

Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die Verwendung der AusweisApp selbst, sondern auf die automatische Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens „download.ausweisapp.bund.de“ zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren.

Die neue Version der AusweisApp wird in Kürze zum Download auf der Webseite https://www.ausweisapp.bund.de zur Verfügung stehen. Das BSI empfiehlt Nutzern, die die AusweisApp bereits heruntergeladen haben, nicht die Update-Funktion der Software zu verwenden, sondern die AusweisApp neu zu installieren. Nach dem Einspielen der neuen Version können die Nutzer die Auto-Update-Funktion der AusweisApp wie vorgesehen nutzen.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de