Bremen, 20.02.2024
- SPIEGEL berichtete über einen IT-Sicherheitsforscher, der eine vermeintliche Schwachstelle der AusweisApp ausnutzte, um den Online-Ausweis eines Fremden zu verwenden.
- Die AusweisApp des Bundes ist selbst nicht betroffen; der IT-Sicherheitsforscher erstellte eine Fälschung der App und verwendete diese für die Demonstration eines Angriffs.
- Um sicherzugehen, dass Nutzende die offizielle AusweisApp auf ihrem Endgerät haben, kann diese aus den offiziellen Quellen erneut installiert werden.
Aus einem Bericht des SPIEGEL am 16. Februar 2024 geht hervor, dass ein IT-Sicherheitsforscher eine Sicherheitslücke bei der Online-Nutzung des Personalausweises erkannte. Für die Demonstration des Angriffs erstellte der Forscher eine App, die im Aussehen und der Funktionalität der offiziellen AusweisApp des Bundes glich, in entscheidenden Punkten aber manipuliert wurde. Statt der AusweisApp wurde auf dem Smartphone des Opfers dann diese manipulierte App platziert und für einen Online-Ausweisvorgang verwendet. Auf diese Weise konnte das Opfer darüber getäuscht werden, welche Organisation die Daten ausliest, als der Ausweis an die NFC-Schnittstelle gelegt und die PIN eingegeben wurde.
Die offizielle AusweisApp des Bundes selbst weist hierbei keine Schwachstelle auf und ist als Client nicht betroffen oder gar angegriffen worden. In einer Stellungnahme des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 16.02.2024 heißt es, dass das BSI „keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion [vorsieht]. Aus Sicht des BSI ist die Online-Ausweisfunktion weiterhin die sicherste Möglichkeit für Bürgerinnen und Bürger sich digital auszuweisen.“ Bei der Nutzung der echten AusweisApp ist stets transparent, welche Organisation welche Daten ausliest.
Wenn Sie sich unsicher sind, aus welcher Quelle Sie die AusweisApp bezogen haben, empfiehlt das BSI, die App zu deinstallieren und erneut aus den offiziellen Quellen unter folgendem Link herunterzuladen: https://www.ausweisapp.bund.de/download. Damit stellen Sie sicher, dass es sich bei der App auf Ihrem Smartphone oder Computer um die AusweisApp des Bundes handelt. Die Verwendung eines zertifizierten USB-Kartenlesers mit PIN-Pad und Display bietet zusätzliche Sicherheit.
Das BSI prüft derzeit, wie die Nutzung der Online-Ausweisfunktion darüber hinaus noch sicherer gestaltet werden kann und wie Nutzende zusätzlich dabei unterstützt werden können, manipulierte Apps von der AusweisApp des Bundes zu unterscheiden.