Warum die Sicherheitslücke in der AusweisApp so peinlich ist

Wenn ich die von Jan Schejbal entdeckte Lücke in der sogenannten AusweisApp des neuen Personalausweises näher analysiere, kann ich durchaus auch Positives entdecken: Nämlich, dass der neue Personalausweis bisher nicht gehackt ist, obwohl er immerhin schon 10 Tage alt ist. Das ist ja schon mal ein Erfolg.

Ansonsten ergibt sich eine Peinlichkeit nach der anderen. Für die Ausnutzung der Lücke ist zwar DNS-Spoofing nötig, das ist jedoch im Prinzip kein Problem. Jeder Betreiber eines Internetcafés kann seinen Benutzern auf einfachste Weise per DHCP „frisierte“ DNS-Server unterjubeln. Dass ein Angreifer die Datei %SystemRoot%System32Driversetchosts ändert, ist eher unwahrscheinlich. Wenn er sowieso das System32-Verzeichnis eines Opfers manipulieren kann, hat er ja bereits erreicht, was er will, und ist auf weitere freundliche Unterstützung des Bundesinnenministeriums (BMI) nicht angewiesen.

Sobald der Benutzer, auf welche Weise auch immer, Opfer von DNS-Spoofing geworden ist, ergibt sich eine ganze Reihe von Sicherheitslücken. Wenn die AusweisApp nach Updates sucht, passiert zunächst Folgendes: Die Updatefunktion sucht die IP-Adresse von download.ausweisapp.bund.de. Statt 95.101.177.206 bekommt sie natürlich eine falsche geliefert. Doch das hätte sie bereits erkennen müssen, denn die Zone bund.de inklusive des Hosts download.ausweisapp.bund.de ist mit DNSSEC signiert.

Eigentlich ist es natürlich Aufgabe des korrekt konfigurierten Resolvers im Betriebssystem, die Signatur der DNS-Antwort zu prüfen, aber da Windows das gar nicht beherrscht, es sich aber um eine App mit höchsten Sicherheitsanforderungen handelt, wäre es angebracht, dass die AusweisApp eine DNSSEC-Signatur von sich aus überprüft, was technisch kein Problem ist.

Die nächste Peinlichkeit kann man mittlerweile in jeder Tageszeitung nachlesen: Der untergejubelte Server begrüßt den Client und stellt sich mit dem Namen a248.e.akamai.net vor. Auch hier müsste ein Abbruch mit Warnhinweis an den Benutzer erfolgen, denn es gilt die simple Erkenntnis a248.e.akamai.net ist ungleich download.ausweisapp.bund.de. Die Minipeinlichkeit, dass die AusweisApp Zertifikate akzeptiert, die schon viele Jahre vor Einführung des neuen Personalausweises abgelaufen sind, soll entschuldigt sein. Dieses Problem kann ein Hacker ja leicht umgehen, indem er ein gültiges Zertifikat für seine Homepage kauft.

Das Zertifikat, das Jan Schejbal verwendet hat, ist also für Akamai ausgestellt. Da stellt sich die Frage, von welcher Zertifikatsstelle sich Akamai seine Zertifikate ausstellen lässt. Bestimmt nicht vom BSI oder BMI, denn solche Zertifikate akzeptiert kein Browser.

Das heißt, die AusweisApp akzeptiert Zertifikate, die von einem ausländischen Unternehmen wie Verisign oder GoDaddy digital unterschrieben wurden. Das darf natürlich nicht sein, schließlich könnte ja eine ausländische Regierung auf ein solches Unternehmen Einfluss nehmen und sich ein Zertifikat auf download.ausweisapp.bund.de austellen lassen, um deutschen Anwendern Trojaner unterzuschieben.

Das würden die USA nie machen? Nein, auf keinen Fall! Die USA konfisziert ja auch bei der Einreise keine Laptops von Mitarbeitern der Automobilbranche, um Firmengeheimnisse auszuspionieren, sondern aus Gründen der Terrorismusbekämpfung.

Ich forsche weiter und erlaube mir den Fauxpas, als kleiner Untertan direkt den hoheitlichen DNS-Server xenon.bund.de zu „verhören“. Der Befehl dig @xenon.bund.de in any download.ausweisapp.bund.de zeigt, dass xenon.bund.de schon beim geringsten Druck einknickt und die nächste Peinlichkeit preisgibt.

; > DiG 9.6.0-P1 > @xenon.bund.de in any download.ausweisapp.bund.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER

Der Output offenbart, dass die offiziellen Updates von einem Server stammen, über den die Bundesregierung keine Kontrolle hat. Stattdessen kommen sie von download.ausweisapp.bund.de.edgekey.net. Hinter EdgeKey verbirgt sich Akamai, wie eine whois-Abfrage ergibt. Dass es sich um dieselbe Firma handelt, auf die auch das von Jan Schejbal verwendete Zertifikat ausgestellt ist, ist reiner Zufall. Die AusweisApp hätte sich auch von jedem anderen Zertifikat täuschen lassen.

Akamai ist sicherlich kein unseriöses Unternehmen, dennoch besteht die Möglichkeit der Einflussnahme durch die US-Regierung oder der Bestechung von Mitarbeitern durch Kriminelle, was dazu führen kann, dass Nutzer gefälschte Updates bekommen. Für eine Anwendung mit dem Sicherheitsanspruch der AusweisApp ist es unabdingbar, dass die Server unter der Kontrolle der Bundesregierung stehen.

Alles zusammengenommen, ergibt sich eine ganze Reihe von Lücken, die handfeste Ansatzpunkte für Angriffe bieten. Der besorgte Bürger kann sich jedoch beruhigt zurücklehnen. Grundsätzlich ist es für einen Hacker erfolgversprechender, wenn er sich mit einem anderen Update-Dienst beschäftigt, etwa von Adobe oder Google. Die lassen sich vermutlich ganz ohne SSL und Zertifikate austricksen.

Beim neuen Personalausweis geht es nur um die "Hackerehre". Wer ihn knackt, gelangt zu Ruhm und kann sich die IT-Security-Firma aussuchen, für die er in Zukunft arbeiten möchte.