Fragen und Antworten So schützt man den Online-Ausweis

Online ausweisen funktioniert eigentlich ganz einfach: Wenn die App dazu auffordert, hält man seinen Ausweis zum Scannen unters
Online ausweisen funktioniert eigentlich ganz einfach: Wenn die App dazu auffordert, hält man seinen Ausweis zum Scannen unters Smartphone und gibt sein Pin ein.

Praktisch ist der Personalausweis mit Online-Funktion ja. Aber ist er auch sicher? Zweifel daran hat ein Hacker geweckt. Das zuständige Bundesamt rät, nur Apps aus vertrauenswürdige Quellen zu installieren.

Worum geht es genau?
Mit der Online-Funktion des Ausweises können die Inhaber ihre Identität übers Internet nachweisen, um zum Beispiel ein Führungszeugnis zu beantragen oder den Punkte-Stand im Flensburger Verkehrssünderregister anzufordern. Es gibt derzeit rund 260 Anwendungen für die Funktion. So ist es sogar möglich, sich online als Organspender zu registrieren. Die Sicherheit des sogenannten eID-Systems (elektronische Identitäten) hängt aber davon ab, dass es Fremden nicht gelingen kann, in die Identität der Ausweisinhaber zu schlüpfen.

Eine wichtige Aufgabe kommt dabei einer Smartphone-App zu. Mithilfe der NFC-Schnittstelle des Mobilgeräts liest die App die Personendaten vom Ausweis aus. Dafür wird der Ausweis zunächst ans Smartphone gehalten. Zur Identifizierung müssen die Nutzer noch ihre sechsstellige Pin eintippen. NFC steht für Near-Field-Communication (Nah-Feld-Kommunikation) und dient üblicherweise dem Bezahlen mit Karte.

Weshalb gibt es Zweifel an der Sicherheit?
Der Bund stellt eine kostenfreie App namens „AusweisApp“ zur Verfügung, mit der die Online-Funktion genutzt werden kann. Da die Architektur des eID-Systems offen gestaltet ist, können auch andere (Privat-)Anbieter legale Ausweis-Apps entwickeln. Ein anonymer Hacker untersuchte das System jedoch mit einer bewusst manipulierten App, und zwar aus Forscherinteresse. Mit dieser Fake-App ist es ihm gelungen, unter fremdem Namen ein Konto bei einer großen Bank zu eröffnen.

Der Hacker (Pseudonym ,,CtrlAlt“) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Abläufe in Kenntnis gesetzt. Demnach könnte eine Fake-App die Übernahme einer fremden Identität auch dann ermöglichen, wenn das eingesetzte Smartphone – wie vom BSI empfohlen – über die neuesten Sicherheitsupdates verfügt. Ein Missbrauch der Online-Funktion wäre folglich möglich, wenn das Opfer der Masche dazu verleitet wird, die Fake-App aufs Smartphone zu laden.

Was sagt das BSI?
Das Bundesamt bestätigt, dass es von einem IT-Sicherheitsforscher auf eine „vermeintliche Schwachstelle“ im eID-System hingewiesen worden sei. Aus Behördensicht ist die Online-Funktion aber „weiterhin die sicherste Möglichkeit“, sich digital auszuweisen. Um einen Angriff abzuwehren, reichten grundlegende Sicherheitsmaßnahmen der Ausweisinhaber aus. „Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen“, so das BSI. Gleichwohl hat die Behörde verschiedene Anpassungsoptionen für das System erarbeitet und ist dabei, diese „zu konsolidieren und dann hinsichtlich eines weiteren Vorgehens zu bewerten“, wie ein Sprecher des Bundesamtes auf RHEINPFALZ-Anfrage mitteilte.

Seine generelle Einschätzung begründet das Bundesamt damit, dass es sich bei dem Szenario, das der Hacker beschreibt, nicht um einen Angriff auf das eID-System selbst handele. Für einen Missbrauch der Online-Funktion müsse der Ausweisinhaber „eine entsprechend manipulierte App“ aktiv installieren oder dessen Endgerät „vollständig kompromittiert“ werden. Hacker „CtrlAlt“ kritisiert die BSI-Position als „unverantwortlichen Ansatz“, da die Behörde einerseits zwar anerkenne, dass das System verletzlich sei, die Verantwortung für die Sicherheit aber den Nutzern zuweise.

Was kann ich zur Sicherheit selbst beitragen?
Das BSI empfiehlt, nur legitime eID-Apps aus vertrauenswürdigen Quellen zu verwenden. Nutzer, die unsicher sind, woher ihre aktuell installierte App auf dem Smartphone stammt, könnten diese deinstallieren und zum Beispiel durch die offizielle „AusweisApp“ des Bundes ersetzen (www.ausweisapp.bund.de/download). Wer eine andere BSI-zertifizierte App laden möchte, kann sich auf der Website der Behörde informieren (www.bsi.bund.de/dok/6617968).

Das BSI prüft eigenen Angaben zufolge außerdem, eine darüber hinausgehende Liste aller vertrauenswürdigen Ausweis-Apps zu veröffentlichen. Derzeit gebe es dafür aber weder eine Rechtsgrundlage noch ein Bewertungsverfahren.

Gibt es eine Alternative?
Statt ein Smartphone können die Ausweisinhaber auch ein spezielles Chip-Kartenlesegerät für den Nachweis ihrer Identität verwenden. Das Lesegerät wird an einen PC oder Laptop per USB angeschlossen und der Ausweis hineingesteckt. Vom BSI zertifizierte Geräte sind mit Pin-Tastenfeld und Display ausgestattet. Auf dem Display sehen die Nutzer, mit welchem Online-Dienst sie verbunden sind, und auf dem Tastenfeld geben sie ihre Pin ein. Eine Liste der zertifizierten Lesegeräte ist auf der Homepage des BSI abrufbar (www.bsi.bund.de, Suchwort PA-Chipkartenleser). Beispielsweise kosten Geräte des Herstellers Reiner zwischen rund 70 und 120 Euro.

x