BSI testet überarbeitete Version der AusweisApp


Die neue Version der AusweisApp soll „in Kürze“ auf der Website des BSI zum Herunterladen bereitstehen (Screenshot: ZDNet.de).

Die für die Entwicklung der Anwendungssoftware für den neuen Personalausweis (ePerso) zuständigen Firmen OpenLimit SignCubes und Siemens IT Solutions and Services haben beim Bundesamt für Sichericht in der Informationstechnik (BSI) eine neue Version der AusweisApp zur Prüfung eingereicht. Keine 24 Stunden nach Freigabe der ersten Fassung war im Internet ein Exploit aufgetaucht, der zwei Sicherheitslücken in der Update-Funktion ausnutzte. Das BSI zog die Software daraufhin zurück.

Die von Jan Schejbal aufgedeckten Schwachstellen, die sich mittels DNS-Manipulation und Directory Traversal zum Einschleusen von Schadcode missbrauchen lassen, wurden in der überarbeiteten Version entfernt, wie das BSI mitteilt. Man unterziehe das Update derzeit umfangreichen Tests. Sind diese abgeschlossen, wird die AusweisApp wieder zum Download angeboten.

Das BSI hat laut eigener Aussage auch die mit dem Updateverfahren verbundenen Prozesse eingehend überprüft, um künftig von Nutzern und Diensteanbietern gemeldete Probleme mit der Software schnellstmöglich auswerten und erforderliche Aktualisierungen bereitstellen zu können. Zudem sind zu regelmäßigen Terminen kumulierte Updates geplant. Sie sollen weitere etwaige Schwachstellen schließen und die Funktionalität, Benutzerfreundlichkeit sowie Performance der AusweisApp verbessern. Bei besonderen Vorfällen könnten Aktualisierungen auch über außerplanmäßige Hotfixes erfolgen.

Das BSI räumt ein, „dass weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind“. Das sei bei einer erstmaligen Bereitstellung einer komplexen Software, die auf einer Vielzahl unterschiedlicher Gerätekonfigurationen einsetzbar sein muss, nicht auszuschließen. Die Behörde ruft Nutzer dazu auf, per E-Mail an ePA@bsi.bund.de oder über die Website ausweisapp.bund.de Rückmeldungen zu geben.

Bürger sollen die Applikation in Kombination mit dem ePerso künftig nutzen können, um sich online zu identifizieren und Geschäfte abzuschließen. Auch wenn die entdeckten Sicherheitslücken nicht in direktem Zusammenhang mit dem neuen Personalausweis stehen, ist es schon überraschend, dass sie dem BSI im ersten Prüfungsprozess entgangen waren.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago