„Derzeit berichten Medien, dass ein IT-Sicherheitsforscher eine Sicherheitslücke bei der Online-Nutzung des Personalausweises ausnutzen konnte. Zur Demonstration des Angriffs entwickelte der Forscher eine Anwendung, die sowohl vom Aussehen als auch von der Funktionsweise her der offiziellen AusweisApp des Bundes ähnelte, jedoch an bestimmten Stellen verändert war“, erläutert Digitaldezernent Norbert Wett den Hinweis der Stadt Kassel. Anstelle der echten AusweisApp sei auf dem Gerät des Betroffenen diese abgeänderte Version installiert und für einen Online-Identifizierungsvorgang genutzt worden.
Auf diese Weise konnte das Opfer darüber getäuscht werden, welche Organisation die Daten ausliest, als der Ausweis zum Authentisieren an das Smartphone angelegt und die Ausweis-PIN eingegeben wurde. „Die offizielle AusweisApp ist von dieser Sicherheitslücke nicht betroffen und wurde nicht kompromittiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diesen Vorfall untersucht und kommt zu dem Schluss, dass sich die Risikoeinschätzung für die Nutzung der Online-Ausweisfunktion nicht verändert hat“, so Wett weiter. Das BSI unterstreicht, dass die digitale Ausweisfunktion nach wie vor das sicherste Verfahren für die Bürgerinnen und Bürger darstellt, um sich online auszuweisen. Wett: „Bei der Verwendung der authentischen AusweisApp ist immer klar erkennbar, welcher Stelle man Zugriff auf welche Daten gibt.“
Falls Zweifel bestehen, von welcher Quelle die AusweisApp bezogen wurde, rät das BSI dazu, die App zu entfernen und sie erneut aus den offiziellen Quellen unter www.ausweisapp.bund.de/download (Öffnet in einem neuen Tab) herunterzuladen. Dies gewährleistet, dass die auf dem Mobiltelefon oder Computer installierte App tatsächlich die AusweisApp des Bundes ist. Generell ist es ratsam, die Betriebssysteme und Software der Geräte durch regelmäßige Sicherheitsupdates aktuell zu halten und Programme (Apps) nur aus vertrauenswürdigen Quellen zu beziehen.