Kaum war das erste Sicherheitsrisiko beim Einsatz von billigen Lesegeräten für den elektronischen Personalausweis verdaut, da wurden zwei weitere Sicherheitslücken bekannt. Wer sich im Internetkontakt mit Hilfe des Dokuments ausweisen will, muss auf seinem Computer eine entsprechende Software installieren – die AusweisApp. Doch mit dieser läuft er Gefahr, sich Computerviren oder andere Schadsoftware einzufangen. Stefan Koepsell, Computerwissenschaftler an der Technischen Universität Dresden, meint dazu:
"Ich denke, wir können daraus lernen, dass es nicht gerade einfach ist, eine wirklich sichere Anwendung zu entwickeln. Es hat sich gezeigt, dass eben auch die AusweisApp einige relativ triviale Fehler enthält, die man hätte besser vermeiden sollen. Diese Fehler haben gezeigt, dass die AusweisApp durchaus mit der heißen Nadel gestrickt ist und sich dann eben die Frage stellt: Werden weitere gravierende Fehler der AusweisApp die Sicherheit der AusweisApp gefährden?"
Das hat man inzwischen auch im Bundesinnenministerium erkannt. Noch vor knapp drei Wochen gab die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, die stereotype Formel aus: "Der Personalausweis ist sicher". Und die Staatssekretärin bewertete damals jede Diskussion über die Sicherheit des Ausweises als überflüssig und schädlich. Jetzt räumt das dem Ministerium nach geordnete Bundesamt für Sicherheit in der Informationstechnik ein, es könne…
" … nicht ausgeschlossen werden, dass bei einer erstmaligen Bereitstellung einer komplexen Software, die für eine Vielzahl von Nutzern bei unterschiedlichsten Gerätekonfigurationen einsetzbar sein muss, weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind. Auch das Bekanntwerden von Sicherheitsproblemen ist insbesondere während des Einführungszeitraums ein Phänomen, von dem nicht nur die AusweisApp betroffen ist."
Mündlich wollte dies jedoch gegenüber dem Deutschlandfunk niemand erklären. Weiter heißt es in der schriftlichen Stellungnahme, man wolle die Prozesse überprüfen, …
"… um künftig seitens der Nutzer und Diensteanbieter gemeldete Probleme mit der AusweisApp schnellstmöglich auszuwerten und erforderliche Updates schnell bereitstellen zu können. Zudem wird das BSI künftig zu regelmäßigen Terminen kumulierte Updates zum Download bereitstellen. Darüber können erkannte Schwachstellen geschlossen sowie Verbesserungen der Funktionalität, Benutzerfreundlichkeit und Performance eingespielt werden."
Doch was soll tun, wer den neuen Personalausweis bereits besitzt und die AusweisApp auf seinem PC installiert hat? Michael Spehr, für Computersichrheit zuständiger Redakteur der "Frankfurter Allgemeinen Zeitung", empfiehlt bei der gefährlichen AusweisApp kurzen Prozess zu machen:
"Ich würde dafür plädieren, die zu löschen. Im Moment gibt es nur sehr wenige Angebote im Web, also: runter von der Festplatte, um Gottes willen nicht das Update draufziehen. Das ist ja gerade die Sicherheitslücke. Und dann abwarten, bis von den zuständigen Stellen eine ganz neue Software ausgeliefert wird."
Stefan Koepsell von der Universität Dresden rät sogar, vorerst auf den neuen Personalausweis ganz zu verzichten, falls der alte noch gültig ist:
"Hier würde ich mindestens zwei, drei Monate warten, würde schauen, werden noch weitere Sicherheitslücken bekannt, und erst wenn man das Gefühl hat, o.k. jetzt war zwei, drei Monate Ruhe um die AusweisApp und um das ganze System elektronischer Personalausweis, erst dann kann man sich überlegen, sich wirklich so einen elektronischen Personalausweis zu holen. Und man sollte natürlich auch wissen, warum man ihn haben will, das heißt. welche Anwendung im Internet kann ich nur nutzen, wenn ich den neuen elektronischen Personalausweis habe. Solange man da keine sinnvollen Anwendungen findet, würde ich sagen: der alte Ausweis ist gut genug."
"Ich denke, wir können daraus lernen, dass es nicht gerade einfach ist, eine wirklich sichere Anwendung zu entwickeln. Es hat sich gezeigt, dass eben auch die AusweisApp einige relativ triviale Fehler enthält, die man hätte besser vermeiden sollen. Diese Fehler haben gezeigt, dass die AusweisApp durchaus mit der heißen Nadel gestrickt ist und sich dann eben die Frage stellt: Werden weitere gravierende Fehler der AusweisApp die Sicherheit der AusweisApp gefährden?"
Das hat man inzwischen auch im Bundesinnenministerium erkannt. Noch vor knapp drei Wochen gab die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, die stereotype Formel aus: "Der Personalausweis ist sicher". Und die Staatssekretärin bewertete damals jede Diskussion über die Sicherheit des Ausweises als überflüssig und schädlich. Jetzt räumt das dem Ministerium nach geordnete Bundesamt für Sicherheit in der Informationstechnik ein, es könne…
" … nicht ausgeschlossen werden, dass bei einer erstmaligen Bereitstellung einer komplexen Software, die für eine Vielzahl von Nutzern bei unterschiedlichsten Gerätekonfigurationen einsetzbar sein muss, weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind. Auch das Bekanntwerden von Sicherheitsproblemen ist insbesondere während des Einführungszeitraums ein Phänomen, von dem nicht nur die AusweisApp betroffen ist."
Mündlich wollte dies jedoch gegenüber dem Deutschlandfunk niemand erklären. Weiter heißt es in der schriftlichen Stellungnahme, man wolle die Prozesse überprüfen, …
"… um künftig seitens der Nutzer und Diensteanbieter gemeldete Probleme mit der AusweisApp schnellstmöglich auszuwerten und erforderliche Updates schnell bereitstellen zu können. Zudem wird das BSI künftig zu regelmäßigen Terminen kumulierte Updates zum Download bereitstellen. Darüber können erkannte Schwachstellen geschlossen sowie Verbesserungen der Funktionalität, Benutzerfreundlichkeit und Performance eingespielt werden."
Doch was soll tun, wer den neuen Personalausweis bereits besitzt und die AusweisApp auf seinem PC installiert hat? Michael Spehr, für Computersichrheit zuständiger Redakteur der "Frankfurter Allgemeinen Zeitung", empfiehlt bei der gefährlichen AusweisApp kurzen Prozess zu machen:
"Ich würde dafür plädieren, die zu löschen. Im Moment gibt es nur sehr wenige Angebote im Web, also: runter von der Festplatte, um Gottes willen nicht das Update draufziehen. Das ist ja gerade die Sicherheitslücke. Und dann abwarten, bis von den zuständigen Stellen eine ganz neue Software ausgeliefert wird."
Stefan Koepsell von der Universität Dresden rät sogar, vorerst auf den neuen Personalausweis ganz zu verzichten, falls der alte noch gültig ist:
"Hier würde ich mindestens zwei, drei Monate warten, würde schauen, werden noch weitere Sicherheitslücken bekannt, und erst wenn man das Gefühl hat, o.k. jetzt war zwei, drei Monate Ruhe um die AusweisApp und um das ganze System elektronischer Personalausweis, erst dann kann man sich überlegen, sich wirklich so einen elektronischen Personalausweis zu holen. Und man sollte natürlich auch wissen, warum man ihn haben will, das heißt. welche Anwendung im Internet kann ich nur nutzen, wenn ich den neuen elektronischen Personalausweis habe. Solange man da keine sinnvollen Anwendungen findet, würde ich sagen: der alte Ausweis ist gut genug."