Irgendwelche Hacker mögen immer etwas hacken können

An diesem Ausspruch unseres Innenministers Thomas De Maizière ist etwas Wahres dran.
Seit ungefähr einer Woche ist die Ausweis-App, das Programm, das es möglich machen soll den neuen Personalausweis am Computer für alle möglichen unnützen Anwendungen zu verwernden, frei zum Download bereitgestellt. Beziehungsweise sie war es.

Der Ausspruch geht nämlich noch weiter: „Aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.“
Dummerweise haben Hacker etwas gehackt und damit steht die Zuverlässigkeit und Sicherheit aber ganz massiv in Frage. Der automatische Updatemechanismus der Ausweis-App lässt sich auf Grund mangelnder Zertifikatskontrollen dazu nutzen Schadcode runter zu laden auszuführen. Nähereres findet sich hier.
Daraufhin hat das Bundesamt für [Un]Sicherheit in der Informationstechnik den Vorfall untersucht und mittlerweile den Download der Ausweis-App unterbunden.
Es zeigt sich mal wieder wie wenig Ahnung unsere Politiker und selbst ihre Redenschreiber und Berater von IT und IT-Sicherheit haben. Ich finde es erschreckend, wie man sich vor die Presse stellen kann um zu sagen: Das System ist unsicher, weil es hackbar ist, aber das lässt mich und meine Partei nicht daran zweifeln, dass das System zuverlässig ist. Es ist gerade in einer Zeit zunehmender Vernetzung unerlässlich, dass bei so sensiblen Anwendungen Sicherheit an erster Stelle zu stehen hat. Man stelle sich vor, dass diese Lücke sei nicht aufgedeckt sondern verkauft worden. Dann hätte jetzt jeder Interessierte Botnetzbetreiber Zugriff auf Rechner mit Ausweis-App von Geheimdiensten einfach mal zu schweigen.
Es handelt sich hierbei um einen schweren Programmierfehler, der diese Lücke möglich gemacht hat. Dies wäre bei Open Source mit an Sicherheit nicht passiert. Das Bundesamt bewegt sich mit seinen Entscheidungen massiv in eine Richtung, die sich auf Sicherheit durch Geheimhaltung beschränkt, wie selten schwachsinnig das ist sieht man hier mal wieder. Von der Entscheidung nicht auf AES oder eine andere Verschlüsselung für Geheimsachen zusetzen mal abgesehn.
In meinen Augen ist dies einfach nur ein Beispiel wie die Politik mit der digitalen Welt spielt und sich mal wieder die Finger verbrennt. Meinen nächsten Personalausweis werde ich auf jeden Fall kurzfristig in der Microwelle vergessen.
In diesem Sinne: Hacker mögen immer etwas Hacken können Lasst es uns tun. Ach und noch was: Herr De Maizière, tretten Sie zurück, es ist besser für Deutschland.

Ein Gedanke zu „Irgendwelche Hacker mögen immer etwas hacken können“

Schreibe einen Kommentar