Rechnungshof kritisiert BSI für fehlende Zertifizierung der AusweisApp

27. April 2013 Kategorie: Backup & Security, Internet, Software & Co, geschrieben von: Patrick Meyhöfer

Sicherlich haben einige von euch schon den neuen Personalausweis. Groß beworbene Funktion war die sichere Authentisierung, bei der die Daten verschlüsselt in elektronischer Form zum Beispiel zu Behörden übermittelt werden können. Kritik von unabhängiger Stelle kam schnell auf, befürchtete Sicherheitslücken ließen nicht lange auf sich warten.

Inzwischen bekommt das BSI (Bundesamt für Sicherheit in der Informationstechnik) aber auch von offizieller Stelle Kritik, der Rechnungshof mahnt eine immer noch fehlende Zertifizierung der AusweisApp an, die nach gut 2,5 Jahren immer noch nicht erfolgt ist.

AusweisApp
Ich kann mir ganz gut vorstellen, warum das BSI die Sicherheit ihrer in Auftrag gegebenen Software nicht freiwillig zertifizieren möchte. Die AusweisApp ist in Java geschrieben, nicht umsonst warnt das BSI ja inzwischen in regelmäßigen Abständen vor Java, da mal wieder eine kritische Sicherheitslücke aufgetreten ist.


Der Rechnungshof kritisiert, dass Bürger nicht auf die fehlende Zertifizierung aufmerksam gemacht würden und ohne eine explizite Sicherheitsbewertung potentielle Haftungsrisiken für die Bürger entstehen können. Das BSI ist von dem Vorwurf tatsächlich eher weniger begeistert und sah sich wohl genötigt direkt auf ihrer Startseite noch einmal zu betonen, dass die AusweisApp umfangreich getestet und auf mögliche Sicherheitsprobleme analysiert wurde.
BSI Sicherheit AusweisApp
Interessant ist auch die Begründung des BSI, warum man denn nicht, wie sonst üblich, eine Zertifizierung vornehmen will:

“Eine Zertifizierung sei nicht mehr nötig, da das Bundesamt bereits bei der Entwicklung alle Kriterien für eine Zertifizierung berücksichtigt, überprüft und überwacht habe. Es ergebe keinen Sinn, wenn der Hersteller, in diesem Fall das Bundesamt, sein selbst erstelltes Produkt anschließend zertifiziere.”

Problematisch ist die Aussage alleine schon deshalb, weil die Software nur von einem Dienstleister OpenLimit entwickelt wird und es damit nicht unbedingt ein selbst erstelltes Produkt darstellt. Ich würde an dieser Stelle mal vermuten, dass es zwar eh nicht viele unter uns geben wird, die dieses Stück Software bisher tatsächlich genutzt haben. Aber von einem steuerfinanzierten Produkt sollte man zumindest erwarten, dass die verantwortlichen Behörden die Sicherheit der angebotenen Software zertifizieren können, schließlich hat man hierfür 4,2 Millionen Euro ausgegeben. So klingt das ganze eher nach einer ziemlich billigen Ausrede. [via]


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch den HP Konfigurator an, welcher auf einer separaten Unterseite geschaltet wurde: HP Konfigurator. Außerdem haben wir noch Informationen über das HP ElitePad 1000 G2 und dieses verlosen wir auch!

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Patrick Meyhöfer

#Linux, #Ubuntu, #OpenSource #Android sind meine Themen. Du findest mich auch auf Twitter und Google+. Zudem schreibe ich Beiträge für freiesMagazin und auf meinem Blog Softwareperlen .

Patrick hat bereits 404 Artikel geschrieben.