Der neue Personalausweis

AusweisApp2 und Personalausweis sind sicher

Datum 27.11.2018

Die jüngsten Berichte über eine Schwachstelle im Governikus Autent Software Development Kit (SDK) sind eine Fehleinschätzung. Die Online-Ausweisfunktion, die AusweisApp2 und laufende Produktivsysteme waren zu keinem Zeitpunkt betroffen.

Die Vorstellung eines Demobeispiels auf Basis des Governikus Autent SDK bei einem Anwenderforum zur AusweisApp2 hat diese fehlerhafte Interpretation hervorgerufen. Das Demobeispiel ist ein Entwicklungswerkzeug für Anbieter von Online-Diensten, mit dem nur verdeutlicht werden sollte, wie einfach eine Implementierung vorgenommen werden kann.

Im Rahmen des Anwenderforums wurde eine Demo-Abfrage für die Diensteanbieter der Online-Ausweisfunktion vorgestellt, um den anwesenden Anbietern die einfache Einbindung in eigene Geschäftsprozesse zu demonstrieren. Diese Beispielanwendung enthielt weder Inhalte einer Webanwendung, noch war sie in einen Kontext integriert oder enthielt Sicherheitsmaßnahmen. Das Demo-Szenario als Einzelbaustein ist nicht mit einer vollständigen Implementierung im realen Betrieb vergleichbar.

Für die Verwendung im Realbetrieb und Einbindung einer Identitätsprüfung sind weitere Maßnahmen, Anpassungen auf den Anwendungsfall und die Einbindung in die Anwendung des jeweiligen Dienstes erforderlich. Dies war nicht Bestandteil des Demoszenarios.

Die von SEC Consult beschriebene Schwachstelle wurde bereits im Juli an CERT-Bund gemeldet. Es erfolgte eine eingehende Prüfung und ein Software-Update im August 2018.

Governikus erklärte in einer Stellungnahme : „Der sowohl von SEC Consult als auch von einigen Berichterstattern aufgegriffene Rückschluss, sämtliche mit Autent realisierten Integrationen der eID-Funktion des Personalausweises wären unsicher, ist damit schlicht und ergreifend falsch“.