Warum die Sicherheitslücke in der AusweisApp so peinlich ist

Dass sich die Client-Software für den neuen e-Perso sich mit DNS-Spoofing und falschen Zertifikaten austricksen lässt, hat sich herumgesprochen wie ein Lauffeuer. Doch die Probleme sitzen viel tiefer. Auch die offiziellen Updates kommen von Servern, über die die Bundesregierung keine Kontrolle hat.

Wenn ich die von Jan Schejbal entdeckte Lücke in der sogenannten AusweisApp des neuen Personalausweises näher analysiere, kann ich durchaus auch Positives entdecken: Nämlich, dass der neue Personalausweis bisher nicht gehackt ist, obwohl er immerhin schon 10 Tage alt ist. Das ist ja schon mal ein Erfolg.

Ansonsten ergibt sich eine Peinlichkeit nach der anderen. Für die Ausnutzung der Lücke ist zwar DNS-Spoofing nötig, das ist jedoch im Prinzip kein Problem. Jeder Betreiber eines Internetcafés kann seinen Benutzern auf einfachste Weise per DHCP „frisierte“ DNS-Server unterjubeln. Dass ein Angreifer die Datei %SystemRoot%System32Driversetchosts ändert, ist eher unwahrscheinlich. Wenn er sowieso das System32-Verzeichnis eines Opfers manipulieren kann, hat er ja bereits erreicht, was er will, und ist auf weitere freundliche Unterstützung des Bundesinnenministeriums (BMI) nicht angewiesen.

Sobald der Benutzer, auf welche Weise auch immer, Opfer von DNS-Spoofing geworden ist, ergibt sich eine ganze Reihe von Sicherheitslücken. Wenn die AusweisApp nach Updates sucht, passiert zunächst Folgendes: Die Updatefunktion sucht die IP-Adresse von download.ausweisapp.bund.de. Statt 95.101.177.206 bekommt sie natürlich eine falsche geliefert. Doch das hätte sie bereits erkennen müssen, denn die Zone bund.de inklusive des Hosts download.ausweisapp.bund.de ist mit DNSSEC signiert.

Eigentlich ist es natürlich Aufgabe des korrekt konfigurierten Resolvers im Betriebssystem, die Signatur der DNS-Antwort zu prüfen, aber da Windows das gar nicht beherrscht, es sich aber um eine App mit höchsten Sicherheitsanforderungen handelt, wäre es angebracht, dass die AusweisApp eine DNSSEC-Signatur von sich aus überprüft, was technisch kein Problem ist.

Die nächste Peinlichkeit kann man mittlerweile in jeder Tageszeitung nachlesen: Der untergejubelte Server begrüßt den Client und stellt sich mit dem Namen a248.e.akamai.net vor. Auch hier müsste ein Abbruch mit Warnhinweis an den Benutzer erfolgen, denn es gilt die simple Erkenntnis a248.e.akamai.net ist ungleich download.ausweisapp.bund.de. Die Minipeinlichkeit, dass die AusweisApp Zertifikate akzeptiert, die schon viele Jahre vor Einführung des neuen Personalausweises abgelaufen sind, soll entschuldigt sein. Dieses Problem kann ein Hacker ja leicht umgehen, indem er ein gültiges Zertifikat für seine Homepage kauft.

Das Zertifikat, das Jan Schejbal verwendet hat, ist also für Akamai ausgestellt. Da stellt sich die Frage, von welcher Zertifikatsstelle sich Akamai seine Zertifikate ausstellen lässt. Bestimmt nicht vom BSI oder BMI, denn solche Zertifikate akzeptiert kein Browser.

Das heißt, die AusweisApp akzeptiert Zertifikate, die von einem ausländischen Unternehmen wie Verisign oder GoDaddy digital unterschrieben wurden. Das darf natürlich nicht sein, schließlich könnte ja eine ausländische Regierung auf ein solches Unternehmen Einfluss nehmen und sich ein Zertifikat auf download.ausweisapp.bund.de austellen lassen, um deutschen Anwendern Trojaner unterzuschieben.

Das würden die USA nie machen? Nein, auf keinen Fall! Die USA konfisziert ja auch bei der Einreise keine Laptops von Mitarbeitern der Automobilbranche, um Firmengeheimnisse auszuspionieren, sondern aus Gründen der Terrorismusbekämpfung.

Ich forsche weiter und erlaube mir den Fauxpas, als kleiner Untertan direkt den hoheitlichen DNS-Server xenon.bund.de zu „verhören“. Der Befehl dig @xenon.bund.de in any download.ausweisapp.bund.de zeigt, dass xenon.bund.de schon beim geringsten Druck einknickt und die nächste Peinlichkeit preisgibt.

; <<>> DiG 9.6.0-P1 <<>> @xenon.bund.de in any download.ausweisapp.bund.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11677
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4
;; WARNING: recursion requested but not available
 
;; QUESTION SECTION:
;download.ausweisapp.bund.de.   IN      ANY
 
;; ANSWER SECTION:
download.ausweisapp.bund.de. 60 IN      RRSIG   CNAME 7 4 60 20101114101801 20101104101801 31322 bund.de. RStbiS0VmRELeCx7511LMeMTdB12bAeDmXqokYWNwQs83lXXop3jSBNz wNAZbYWB1a6OejJ01l1YyaezCY6tM85Ye3M/yqDjXX29+OBGdWg2iUyt K9OppY+ZLqtlBFH2MWrJE9vEji9Bqubyj42tlvBJgeIXbzO0YMEKzU/x Cbc=
download.ausweisapp.bund.de. 0  IN      CNAME   download.ausweisapp.bund.de.edgekey.net.
 
;; AUTHORITY SECTION:
bund.de.                21600   IN      NS      argon.bund.de.
bund.de.                21600   IN      NS      bamberg.bund.de.
bund.de.                21600   IN      NS      nuernberg.bund.de.
bund.de.                21600   IN      NS      xenon.bund.de.
 
;; ADDITIONAL SECTION:
argon.bund.de.          21600   IN      A       77.87.224.18
xenon.bund.de.          21600   IN      A       77.87.224.71
bamberg.bund.de.        21600   IN      A       77.87.228.36
nuernberg.bund.de.      21600   IN      A       77.87.228.37
 
;; Query time: 112 msec
;; SERVER: 77.87.224.71#53(77.87.224.71)
;; WHEN: Wed Nov 10 17:29:59 2010
;; MSG SIZE  rcvd: 415

Der Output offenbart, dass die offiziellen Updates von einem Server stammen, über den die Bundesregierung keine Kontrolle hat. Stattdessen kommen sie von download.ausweisapp.bund.de.edgekey.net. Hinter EdgeKey verbirgt sich Akamai, wie eine whois-Abfrage ergibt. Dass es sich um dieselbe Firma handelt, auf die auch das von Jan Schejbal verwendete Zertifikat ausgestellt ist, ist reiner Zufall. Die AusweisApp hätte sich auch von jedem anderen Zertifikat täuschen lassen.

Akamai ist sicherlich kein unseriöses Unternehmen, dennoch besteht die Möglichkeit der Einflussnahme durch die US-Regierung oder der Bestechung von Mitarbeitern durch Kriminelle, was dazu führen kann, dass Nutzer gefälschte Updates bekommen. Für eine Anwendung mit dem Sicherheitsanspruch der AusweisApp ist es unabdingbar, dass die Server unter der Kontrolle der Bundesregierung stehen.

Alles zusammengenommen, ergibt sich eine ganze Reihe von Lücken, die handfeste Ansatzpunkte für Angriffe bieten. Der besorgte Bürger kann sich jedoch beruhigt zurücklehnen. Grundsätzlich ist es für einen Hacker erfolgversprechender, wenn er sich mit einem anderen Update-Dienst beschäftigt, etwa von Adobe oder Google. Die lassen sich vermutlich ganz ohne SSL und Zertifikate austricksen.

Beim neuen Personalausweis geht es nur um die "Hackerehre". Wer ihn knackt, gelangt zu Ruhm und kann sich die IT-Security-Firma aussuchen, für die er in Zukunft arbeiten möchte.

Themenseiten: Analysen & Kommentare, Big Data, Datendiebstahl, Datenschutz, Hacker, Politik, Privacy

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu Warum die Sicherheitslücke in der AusweisApp so peinlich ist

Kommentar hinzufügen
  • Am 10. November 2010 um 21:16 von peter

    Piraten
    Jan ist Mitglied der Piratenpartei. Warum findet dies keine Erwähnung? Diese Partei hat schon oft Kritik an der Einführung des ePerso geübt, und nun beweist sie auch das sie Recht hatte. Ich finde das sollte gelobt werden.

  • Am 11. November 2010 um 12:03 von M. Kleiser

    Mit heißer Nadel gestrickt
    Der ePerso wurde mit heißer Nadel gestrickt weil man ihn schenll einführen wollte, weil bei einer Menge Bürger aus den neune Bundesländern der alte Perso abläuft un die gleich dan neuen mi Chip bekommen sollten. Wie so oft bei IT-Projekten mit Zetdruck geht da oft einiges schief. Ich befürchte der ePerso hat noch andere Bugs von denen wir nur noch nichts wissen. Und wenn zum Fixen der Bugs der Perso ausgetauscht werden müsste, wird man das aus Kostengründen unterlassen.
    Ich weiß schon, warum ich mir noch den alten Perso geholt habe.

    • Am 12. November 2010 um 22:39 von R. Bschorr

      AW: Mit heißer Nadel gestrickt
      Und wer zwingt einen eigentlich die fehlerhafte AppWare zu benutzen? Gratuliere zur Entscheidung einen „klassischen“ Personalausweis zu nehmen (!) Wer sich die nächsten 10 Jahre mit einem Pappendeckel sicherer wähnt, der möge dies natürlich gerne tun. Ich persönlich erachte das einfach nur als uninformiert und rückständig.

      • Am 13. November 2010 um 17:31 von R. Steyer

        AW: AW: Mit heißer Nadel gestrickt
        Fühle mich geehrt als "uninformiert" und "rückständig" bezeichnet zu werden, denn ich habe dringend darauf bestanden, dass ich noch vor Einführung des neuen Ausweises eine alte Version erhalten habe. Und damit ist zumindest für mich Ruhe an der Ausweishackerfront bzw. den Überwachungsversuchen durch gewisse Stellen. Und meine Rückständigkeit werde ich in meinen Informatikschulungen und -vorlesungen mit meinen Teilnehmern mal diskutieren.

      • Am 13. November 2010 um 21:07 von wb

        AW: AW: Mit heißer Nadel gestrickt
        Der "alte Pappdeckel" hat nach m. E. den großen Vorteil, dass er bei Verlust von dem Finder oder auch Dieb verwendet werden kann. Das Bild sollte beim Vorlegen des Ausweises auffallen und Mißbrauch verhindern.
        Wird die Identität des ePerso "geklaut", merkt der Eigentümer des ePerso dies nicht. Erst bei Verwendung der Identität zu kriminellen Geschäften kann dies dazu führen, dass der Identitätsklau auffällt.
        Das Abwegen der Vorteile des "alten" Perso kann dann jeder selbst vornehmen. Aber eine Abqualifizierung wie Ihre kann auch die Ursache in Unwissenheit der technischen Möglichkeiten für den Identitätsdiebstahl und mangelnder Fantasie für den Schaden des Inhabers haben.
        Neue Techniken wie der ePerson haben in der Vergangenheit schon immer "Kinderkrankheiten" gehabt.

      • Am 14. November 2010 um 23:24 von Theoretiker

        AW: AW: Mit heißer Nadel gestrickt
        Nun denn, bitte informieren Sie uns.

        Es ist eine Sache jemand anderen als "uninformiert" und "rückständig" zu bezeichnen, dies sollte man aber auch begründen (können).

  • Am 15. November 2010 um 10:55 von Rolf H.

    Bald wird man wohl den EPerso brauchen um im Internet noch seine Meinung äußern zu dürfen
    http://www.heise.de/newsticker/meldung/CDU-Politiker-fuer-Vermummungsverbot-im-Internet-1136033.html

  • Am 6. Februar 2011 um 21:04 von astrologe wolfgang heisig hannover

    das Böse ist überall +++
    politiker sind leute…….. die einem Fischverkäufer noch Fisch verkaufen………

    der blöde Bürger zahlt alles…….. wenn das >> Demokratie ist… bin ich ein +++ U F O ++
    astrowolf hannover… wir reden +++ K L A R T E X T +++

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *