Spätestens im Zuge der Corona-Pandemie und den neuen Homeoffice-Regelungen ist klar geworden: Deutschland muss digitaler werden. Der Bund hat nun mit der ID Wallet-App einen kleinen Schritt in die Zukunft gewagt – und ist krachend gescheitert.
- ID Wallet-App nach knapp einer Woche aus den Appstores entfernt
- Hersteller haben Backends der Apps nicht hinreichend geprüft
- App liegt nicht Open Source vor
- Verbindungen in die Vereinigten Staaten möglich
- App wurde mit heißer Nadel gestrickt und zu früh veröffentlicht
Am Donnerstag (22.09.) verkündete der Bundesminister für Verkehr und digitale Infrastruktur, Andreas Scheuer, die Einführung des digitalen Führerscheins. Gespeichert wird das Ausweisdokument in der App “ID Wallet”, einer Art digitalen Brieftasche auf dem Smartphone. Weniger als eine Woche nach der Einführung der App wurde diese jedoch aus den Appstores entfernt. Grund dafür sind Sicherheitslücken in der Infrastruktur der App.
Über die App
Der von der Bundesregierung beauftragte Dienstleister Digital Enabling GmbH (Teil der esatus-Gruppe) ist Programmierer der ID Wallet-App. Die Anwendung soll es Nutzer:innen ermöglichen, ihren Führerschein digital vorzuzeigen. Dies kann laut Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) zum Beispiel bei der Nutzung von Carsharing-Angeboten oder der Anmietung von Mietwägen zum Einsatz kommen. Dadurch könnte der digitale Führerschein schnell übermittelt und aufwändige Identifizierungsprozesse eingespart werden. Dieselbe Technologie soll langfristig auch andere Dokumente, wie den Personalausweis, teilen können. Der digitale, mobile Führerschein soll das analoge Papier zukünftig ersetzen können.
Ergebnisse der App-Prüfung
Die App war bis zum 29.09. für iOS und Android in den gängigen Appstores verfügbar. Nun wurde sie jedoch samt der Backend-Anbindung aus dem Netz entfernt. Zum jetzigen Zeitpunkt kann APPVISORY die Applikation daher nur offline mithilfe der statischen Analyse-Technologie „Appscan“ prüfen. Hierbei konnten die Sicherheitsexperten zunächst keine grundlegenden Fehler feststellen. Wichtige Informationen wie die Datenverarbeitung, die Übertragung ins Backend und die dortige Sicherheit sind durch diese Prüfung jedoch nicht abschließend beurteilbar. Die Datenschützer konnten für die ID Wallet-App keinen PrePentest (dynamische Analysetechnologie von APPVISORY) durchführen. Dieser beurteilt die Menge der erfassten Daten und das Datensendungs-Verhalten. Für diese Art der Testung ist eine funktionierende App-Infrastruktur notwendig, die im Falle der ID Wallet-App jedoch zu keiner Zeit ausreichend stabil gewährleistet werden konnte.
Den Security Experten ist jedoch negativ aufgefallen, dass die Backends der App offensichtlich nicht hinreichend getestet wurden. Dies wird durch die Probleme beim Starten der Anwendung deutlich. Zudem haben die Hersteller Grundzüge der sicheren Softwareentwicklung nicht eingehalten: Die App liegt nicht Open Source vor, das heißt ihr Quelltext ist nicht öffentlich und kann somit nicht nachvollzogen werden. Gefährlich ist hierbei, dass eine Verknüpfung der ID Wallet-App mit behördlichen Datenbanken geplant sein soll und das System deshalb auf eine Vielzahl an kritischen Daten zugreifen kann. Es ist deshalb essenziell, dass die Applikation quelloffen vorliegt, wie dies bei der Corona-Warn-App der Fall ist. Nur so ist die Sicherheit hinreichend und kontinuierlich überprüfbar. Suspekt ist zudem, dass die Homepage des App-Entwicklers esatus AG mittlerweile offline ist.
Technische Auffälligkeiten der App
Die Prüfung hat weiterhin ergeben, dass die Hersteller die App mit dem Mono Framework entwickelt haben. Es handelt sich dabei um eine quelloffene Implementierung des Microsoft .NET Frameworks, die die Programmierung plattformunabhängiger Apps ermöglicht. Die statische Analyse hat daher Microsoft URLs identifiziert. Das bedeutet, dass Verbindungen der App in die nicht DSGVO-konformen Vereinigten Staaten möglich sind. Die tatsächliche Nutzung dieser Verbindungen kann jedoch erst im PrePentest nachgewiesen werden, der mit der Verfügbarkeit des Backends wieder durchgeführt werden kann. Zudem liefert der Quellcode der App Hinweise darauf, dass die Anwendung zum Auslesen des Ausweises Nahfeld-Kommunikation (NFC) benötigt – ein Übertragungsstandard zum kontaktlosen Austausch von Daten. Auffällig ist, dass die App hierbei den Adapter der AusweisApp2 benutzt. Grund dafür ist wahrscheinlich, dass die Hersteller keinen eigenständigen Adapter für die ID Wallet-App entwickelt haben und stattdessen den alten Code wiederverwendet haben.
Gute Idee, schlechte Umsetzung
Die Sicherheitsxperten von mediaTest digital raten ohne eine unabhängige Überprüfung eindeutig vom Einsatz der Applikation ab, sollte sie in nächster Zeit wieder in den Appstores verfügbar sein. Auch die bisherigen Tests der Sicherheitsforscherin Lilith Wittmann legen nahe, dass die grundlegende Technologie nicht für den Einsatz als sichere Verifikation geeignet ist. Denn Nutzer:innen können nicht überprüfen, gegenüber wem sie sich identifizieren. Dieser Umstand ermöglicht Identitäts- und Datendiebstahl.
Auch Recherchen im öffentlichen Diskurs rund um die App machen deutlich, dass das Projekt mit heißer Nadel gestrickt und viel zu früh veröffentlicht wurde: „Bei alledem kann man fast übersehen, dass der digitale Führerschein selbst dann bislang keinerlei Nutzen bringen würde, wenn die App denn funktionierte. Ihm fehlt nämlich die gesetzliche Grundlage. Die vor einer Woche veröffentlichte App ist also zum jetzigen Zeitpunkt nicht nur unsicher und kaputt, sondern auch noch nutzlos.” Manuel Atug, CCC. mediaTest digital stimmt den kritischen Medienberichten und den Aussagen des Chaos Computer Clubs (CCC) zu und plädiert für eine sichere, auditierbare Umsetzung der ID Wallet-App durch entsprechend erfahrene und sicherheitsaffine Entwickler:innen.
Folgende Punkte sind für die Einführung einer vertrauenswürdigen Ausweis-Wallet-App unumgänglich:
- Daten- und Server-Verbindungen ausschließlich in DSGVO-konforme Staaten, idealerweise in Deutschland belassen
- Umfangreiche Testung der Backends
- Entwicklung aller App-Bestandteile Open Source
appvisory.com