Rechnungshof kritisiert BSI für fehlende Zertifizierung der AusweisApp
Sicherlich haben einige von euch schon den neuen Personalausweis. Groß beworbene Funktion war die sichere Authentisierung, bei der die Daten verschlüsselt in elektronischer Form zum Beispiel zu Behörden übermittelt werden können. Kritik von unabhängiger Stelle kam schnell auf, befürchtete Sicherheitslücken ließen nicht lange auf sich warten.
Inzwischen bekommt das BSI (Bundesamt für Sicherheit in der Informationstechnik) aber auch von offizieller Stelle Kritik, der Rechnungshof mahnt eine immer noch fehlende Zertifizierung der AusweisApp an, die nach gut 2,5 Jahren immer noch nicht erfolgt ist.
Ich kann mir ganz gut vorstellen, warum das BSI die Sicherheit ihrer in Auftrag gegebenen Software nicht freiwillig zertifizieren möchte. Die AusweisApp ist in Java geschrieben, nicht umsonst warnt das BSI ja inzwischen in regelmäßigen Abständen vor Java, da mal wieder eine kritische Sicherheitslücke aufgetreten ist.
[werbung] Der Rechnungshof kritisiert, dass Bürger nicht auf die fehlende Zertifizierung aufmerksam gemacht würden und ohne eine explizite Sicherheitsbewertung potentielle Haftungsrisiken für die Bürger entstehen können. Das BSI ist von dem Vorwurf tatsächlich eher weniger begeistert und sah sich wohl genötigt direkt auf ihrer Startseite noch einmal zu betonen, dass die AusweisApp umfangreich getestet und auf mögliche Sicherheitsprobleme analysiert wurde.
Interessant ist auch die Begründung des BSI, warum man denn nicht, wie sonst üblich, eine Zertifizierung vornehmen will:
„Eine Zertifizierung sei nicht mehr nötig, da das Bundesamt bereits bei der Entwicklung alle Kriterien für eine Zertifizierung berücksichtigt, überprüft und überwacht habe. Es ergebe keinen Sinn, wenn der Hersteller, in diesem Fall das Bundesamt, sein selbst erstelltes Produkt anschließend zertifiziere.“
Problematisch ist die Aussage alleine schon deshalb, weil die Software nur von einem Dienstleister OpenLimit entwickelt wird und es damit nicht unbedingt ein selbst erstelltes Produkt darstellt. Ich würde an dieser Stelle mal vermuten, dass es zwar eh nicht viele unter uns geben wird, die dieses Stück Software bisher tatsächlich genutzt haben. Aber von einem steuerfinanzierten Produkt sollte man zumindest erwarten, dass die verantwortlichen Behörden die Sicherheit der angebotenen Software zertifizieren können, schließlich hat man hierfür 4,2 Millionen Euro ausgegeben. So klingt das ganze eher nach einer ziemlich billigen Ausrede. [via]
Das zeigt mal wieder folgendes auf: Staat + Software / IT / Internet = Ganz große Grütze…
Peinlich Peinlich
Wenigstens passt das zur Telekom die uns einfach in die Steinzeit zurück katapultiert 😀
Ich habe beruflich mit diesem Thema zu tun. Und diese „tollen Zertifizierungen“ sind nichts anderes als pure Steuergelder-Verbrennungen, die nicht ansatzweise irgendeinen sicherheitstechnischen Nutzen haben.
Das sind nur „Ersatzhandlungen“, da das mal wieder nur Leute machen, die überhaupt keinen Schimmer haben. Ein „Pwn2Own“-Wettbewerb würde da um weiten mehr bringen. Aber das sind ja nur „irgendwelche Hacker“ und keine sogenannten „Profis“, die ihre „Kompetenz“ von irgendeiner ach-so-wichtigen „Zertifizierungsstelle“ bekommen haben.
Sorry, aber die fehlende Zertifizierung hat mit Sicherheit nichts damit zu tun, dass die Anwedung auf Basis von Java geschrieben wurde. Die bekannten Sicherheitslücken betreffen nur die Java-Runtime selbst bzw. die Browser-Plugins. Analog müsste sonst jedwedes Windows-Programm per se durchfallen, weil auch Windows Fehler Schwachstellen besitzt.
Gefährliches Halbwissen mal wieder… 🙁
@Lars: war auch mein Gedanke aber wurde Java in der Presse auf eben diesem Niveau zerrissen und die Bundesregierung hat dem ganzen noch Nahrung gegebenen, in dem sie mit Elster aus eben diesem Grund von Java abrücken wollte, obwohl die Elster-Anwendung überhaupt nicht gefährdet gewesen ist.
Einen Führerschein zu haben heißt noch lange nicht, dass man (gut) Auto fahren kann…. Man kann ja auch Auto fahren ohne einen Führerschein gemacht zu haben.
Wer aber ein Auto fährt und keinen Führerschein hat, könnte auch die größte Flachpfeife sein.
Deshalb macht es schon Sinn einen Führerschein zu verlangen. Die Mindestkriterien sind somit erfüllt bzw. einmalig nachgewiesen.
Ebenso verhält es sich mit Zertifizierungen.
Was soll das denn für eine Zertifizierung sein? Das weiß der Rechnungshof wohl selbt nicht. Rausgeschmissenes Geld für gefühlte Sicherheit. Und mit Java hat das Ganze garnichts zu tun.
Java ist per Design und Herkunft (Oracle) unsicher, also hat es sehr wohl was damit zu tun. Ist für eine sicherheitsrelevante, endkundenorientierte Anwendung vollkommen ungeeignet.
@Anon: selten so einen Unsinn gelesen. Ich verweise mal an Herrn Nuhr…
KANN MAN MIT DER AUSWEISAPP BIS HEUTE ÜBERHAUPT IRGENDETWAS PRAKTISCHES ANFANGEN?