Die neue Version der AusweisApp soll „in Kürze“ auf der Website des BSI zum Herunterladen bereitstehen (Screenshot: ZDNet.de).
Die für die Entwicklung der Anwendungssoftware für den neuen Personalausweis (ePerso) zuständigen Firmen OpenLimit SignCubes und Siemens IT Solutions and Services haben beim Bundesamt für Sichericht in der Informationstechnik (BSI) eine neue Version der AusweisApp zur Prüfung eingereicht. Keine 24 Stunden nach Freigabe der ersten Fassung war im Internet ein Exploit aufgetaucht, der zwei Sicherheitslücken in der Update-Funktion ausnutzte. Das BSI zog die Software daraufhin zurück.
Die von Jan Schejbal aufgedeckten Schwachstellen, die sich mittels DNS-Manipulation und Directory Traversal zum Einschleusen von Schadcode missbrauchen lassen, wurden in der überarbeiteten Version entfernt, wie das BSI mitteilt. Man unterziehe das Update derzeit umfangreichen Tests. Sind diese abgeschlossen, wird die AusweisApp wieder zum Download angeboten.
Das BSI hat laut eigener Aussage auch die mit dem Updateverfahren verbundenen Prozesse eingehend überprüft, um künftig von Nutzern und Diensteanbietern gemeldete Probleme mit der Software schnellstmöglich auswerten und erforderliche Aktualisierungen bereitstellen zu können. Zudem sind zu regelmäßigen Terminen kumulierte Updates geplant. Sie sollen weitere etwaige Schwachstellen schließen und die Funktionalität, Benutzerfreundlichkeit sowie Performance der AusweisApp verbessern. Bei besonderen Vorfällen könnten Aktualisierungen auch über außerplanmäßige Hotfixes erfolgen.
Das BSI räumt ein, „dass weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind“. Das sei bei einer erstmaligen Bereitstellung einer komplexen Software, die auf einer Vielzahl unterschiedlicher Gerätekonfigurationen einsetzbar sein muss, nicht auszuschließen. Die Behörde ruft Nutzer dazu auf, per E-Mail an ePA@bsi.bund.de oder über die Website ausweisapp.bund.de Rückmeldungen zu geben.
Bürger sollen die Applikation in Kombination mit dem ePerso künftig nutzen können, um sich online zu identifizieren und Geschäfte abzuschließen. Auch wenn die entdeckten Sicherheitslücken nicht in direktem Zusammenhang mit dem neuen Personalausweis stehen, ist es schon überraschend, dass sie dem BSI im ersten Prüfungsprozess entgangen waren.
Neueste Kommentare
1 Kommentar zu BSI testet überarbeitete Version der AusweisApp
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Sooo lange warten…
… müssen damit die Lücke endlich geschlossen wird? Ist schon fast ein Armutszeugnis.