Der Computer-Experte und Hacker Jan Schejbal wies in einem Experiment nach, dass über die Aktualisierungsfunktion der Software schädliche Programme - sogenannte Malware - auf einen Personal Computer eingeschleust werden können.

Das Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) hat gestern die Sicherheitslücke bestätigt. Die Sicherheit und Einsatzfähigkeit des Personalausweises außerhalb des Internets sei jedoch nicht in Frage gestellt, sagte Professor Christoph Meinel, Leiter des HPI.

Bei dem neuen Personalausweis und der dazugehörigen Software handele es sich um ein neuartiges und komplexes System, sagte Meinel. "Wichtig ist, dass jetzt sofort reagiert wird."

Nach dem Hacker-Angriff sei der Update-Server beim Bund abgestellt worden. Offenbar sei das vom Bund beauftragte Software-Unternehmen schon dabei, die Sicherheitslücke zu schließen.

Die Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der Software. Die Ausweis-Software (App) baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft dann allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server stammt.

Über eine Manipulation der Netzwerk-Verbindung könnten aber Aktualisierungs-Anfragen der Software an den Bundes-Server auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden.

Von dort könnten dann schädliche Programme auf den PC mit der Ausweis-App gelangen - auch solche Programme, die später ein Kapern und eine anschließende Fernsteuerung des Computers ermöglichen.

Mit der Ausweis-App können Besitzer des neuen Personalausweises Daten des Dokumentes in die digitale Welt übertragen, um beispielsweise Online-Einkäufe vorzunehmen oder Versicherungen abzuschließen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte unterdessen gestern Abend mit, nach der Aufdeckung einer Schwachstelle werde in Kürze eine neue Version der sogenannten Ausweis-App bereitgestellt.

Die von Schejbal nachgewiesene Sicherheitslücke beim neuen Personalausweis ist aber offenbar längst nicht die einzige. "Ich habe mir eine schöne Liste möglicher Angriffe zurechtgelegt. Wenn die einzelnen Angriffe klappen, werden sie einige hässliche Dinge ermöglichen", schreibt Schejbal in seinem Internet-Blog.

"Ich bin mir recht sicher, dass einer der Angriffe in der Lage sein wird, die Pin und eventuell die aufgedruckte Kartenzugangsnummer zu klauen, ohne dass der Rechner des Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es eventuell, dem Nutzer vorzutäuschen, dass er sich für etwas harmloses ausweist, während der Angreifer mit dessen Identität einkaufen geht. Eventuell kann man so auch ein Signaturzertifikat für die elektronischen Signaturen mit dem Namen des Opfers bekommen."