Rechnungshof kritisiert BSI für fehlende Zertifizierung der AusweisApp

27. April 2013 Kategorie: Backup & Security, Internet, Software & Co, geschrieben von: Patrick Meyhöfer

Sicherlich haben einige von euch schon den neuen Personalausweis. Groß beworbene Funktion war die sichere Authentisierung, bei der die Daten verschlüsselt in elektronischer Form zum Beispiel zu Behörden übermittelt werden können. Kritik von unabhängiger Stelle kam schnell auf, befürchtete Sicherheitslücken ließen nicht lange auf sich warten.

Inzwischen bekommt das BSI (Bundesamt für Sicherheit in der Informationstechnik) aber auch von offizieller Stelle Kritik, der Rechnungshof mahnt eine immer noch fehlende Zertifizierung der AusweisApp an, die nach gut 2,5 Jahren immer noch nicht erfolgt ist.

AusweisApp
Ich kann mir ganz gut vorstellen, warum das BSI die Sicherheit ihrer in Auftrag gegebenen Software nicht freiwillig zertifizieren möchte. Die AusweisApp ist in Java geschrieben, nicht umsonst warnt das BSI ja inzwischen in regelmäßigen Abständen vor Java, da mal wieder eine kritische Sicherheitslücke aufgetreten ist.


Der Rechnungshof kritisiert, dass Bürger nicht auf die fehlende Zertifizierung aufmerksam gemacht würden und ohne eine explizite Sicherheitsbewertung potentielle Haftungsrisiken für die Bürger entstehen können. Das BSI ist von dem Vorwurf tatsächlich eher weniger begeistert und sah sich wohl genötigt direkt auf ihrer Startseite noch einmal zu betonen, dass die AusweisApp umfangreich getestet und auf mögliche Sicherheitsprobleme analysiert wurde.
BSI Sicherheit AusweisApp
Interessant ist auch die Begründung des BSI, warum man denn nicht, wie sonst üblich, eine Zertifizierung vornehmen will:

“Eine Zertifizierung sei nicht mehr nötig, da das Bundesamt bereits bei der Entwicklung alle Kriterien für eine Zertifizierung berücksichtigt, überprüft und überwacht habe. Es ergebe keinen Sinn, wenn der Hersteller, in diesem Fall das Bundesamt, sein selbst erstelltes Produkt anschließend zertifiziere.”

Problematisch ist die Aussage alleine schon deshalb, weil die Software nur von einem Dienstleister OpenLimit entwickelt wird und es damit nicht unbedingt ein selbst erstelltes Produkt darstellt. Ich würde an dieser Stelle mal vermuten, dass es zwar eh nicht viele unter uns geben wird, die dieses Stück Software bisher tatsächlich genutzt haben. Aber von einem steuerfinanzierten Produkt sollte man zumindest erwarten, dass die verantwortlichen Behörden die Sicherheit der angebotenen Software zertifizieren können, schließlich hat man hierfür 4,2 Millionen Euro ausgegeben. So klingt das ganze eher nach einer ziemlich billigen Ausrede. [via]


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch diese Advertorials an, die wir auf separaten Seiten geschaltet haben: HP Cashback Aktion. Danke, jeder Aufruf hilft uns.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Patrick Meyhöfer

#Linux, #Ubuntu, #OpenSource #Android sind meine Themen. Du findest mich auch auf Twitter und Google+. Zudem schreibe ich Beiträge für freiesMagazin und auf meinem Blog Softwareperlen .

Patrick hat bereits 404 Artikel geschrieben.


9 Kommentare

Domenik 27. April 2013 um 21:07 Uhr

Das zeigt mal wieder folgendes auf: Staat + Software / IT / Internet = Ganz große Grütze…

Peinlich Peinlich

Wenigstens passt das zur Telekom die uns einfach in die Steinzeit zurück katapultiert :D

Matt 27. April 2013 um 22:03 Uhr

Ich habe beruflich mit diesem Thema zu tun. Und diese “tollen Zertifizierungen” sind nichts anderes als pure Steuergelder-Verbrennungen, die nicht ansatzweise irgendeinen sicherheitstechnischen Nutzen haben.
Das sind nur “Ersatzhandlungen”, da das mal wieder nur Leute machen, die überhaupt keinen Schimmer haben. Ein “Pwn2Own”-Wettbewerb würde da um weiten mehr bringen. Aber das sind ja nur “irgendwelche Hacker” und keine sogenannten “Profis”, die ihre “Kompetenz” von irgendeiner ach-so-wichtigen “Zertifizierungsstelle” bekommen haben.

Lars 27. April 2013 um 23:31 Uhr

Sorry, aber die fehlende Zertifizierung hat mit Sicherheit nichts damit zu tun, dass die Anwedung auf Basis von Java geschrieben wurde. Die bekannten Sicherheitslücken betreffen nur die Java-Runtime selbst bzw. die Browser-Plugins. Analog müsste sonst jedwedes Windows-Programm per se durchfallen, weil auch Windows Fehler Schwachstellen besitzt.
Gefährliches Halbwissen mal wieder… :(

Blubberbart 28. April 2013 um 06:40 Uhr

@Lars: war auch mein Gedanke aber wurde Java in der Presse auf eben diesem Niveau zerrissen und die Bundesregierung hat dem ganzen noch Nahrung gegebenen, in dem sie mit Elster aus eben diesem Grund von Java abrücken wollte, obwohl die Elster-Anwendung überhaupt nicht gefährdet gewesen ist.

Paul Peter 28. April 2013 um 07:49 Uhr

Einen Führerschein zu haben heißt noch lange nicht, dass man (gut) Auto fahren kann…. Man kann ja auch Auto fahren ohne einen Führerschein gemacht zu haben.

Wer aber ein Auto fährt und keinen Führerschein hat, könnte auch die größte Flachpfeife sein.

Deshalb macht es schon Sinn einen Führerschein zu verlangen. Die Mindestkriterien sind somit erfüllt bzw. einmalig nachgewiesen.

Ebenso verhält es sich mit Zertifizierungen.

Daniel 28. April 2013 um 10:34 Uhr

Was soll das denn für eine Zertifizierung sein? Das weiß der Rechnungshof wohl selbt nicht. Rausgeschmissenes Geld für gefühlte Sicherheit. Und mit Java hat das Ganze garnichts zu tun.

Anon 28. April 2013 um 13:33 Uhr

Java ist per Design und Herkunft (Oracle) unsicher, also hat es sehr wohl was damit zu tun. Ist für eine sicherheitsrelevante, endkundenorientierte Anwendung vollkommen ungeeignet.

Lars 28. April 2013 um 21:50 Uhr

@Anon: selten so einen Unsinn gelesen. Ich verweise mal an Herrn Nuhr…

Lothar 31. Mai 2013 um 21:15 Uhr

KANN MAN MIT DER AUSWEISAPP BIS HEUTE ÜBERHAUPT IRGENDETWAS PRAKTISCHES ANFANGEN?


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.