Digital-Perso und Führerschein: Identitäts- und Datendiebstahl bei „ID Wallet“ möglich

Schon unser erster Kontakt mit den Anbietern der ID Wallet-App im Mai dieses Jahres fiel merkwürdig aus. Damals warteten wir noch auf die von der Bundesregierung versprochene Einführung des digitalen Personalausweises und stolperten eher zufällig über den App Store-Download, der in seiner frühen Phase ausschließlich von einer Gruppe ausgewählter Tester genutzt werden konnte.

Nachdem wir die App der in Arnstorf ansässigen Digital Enabling GmbH dann gesichtet hatten, vermuteten wir die erste grobe Umsetzung des von langer Hand versprochenen „Ökosystems digitale Identität“ der Bundesregierung in den Händen zu halten. Auf Nachfrage wollte das Unternehmen die Zusammenarbeit mit dem Bund jedoch weder bestätigen, noch dementieren oder anderweitig kommentieren. Zumindest nicht telefonisch. Die Bestätigung traf dann schriftlich mit ordentlicher Verzögerung ein: Ja, hieß es in der knappen E-Mail, man sei in Abstimmung mit dem Bund der Herausgeber der App, in der zukünftig die digitalen Personaldokumente landen sollten.

Blamabler App-Store-Auftakt

Offiziell startete die ID Wallet-App dann am 23. September mit einer Pressemitteilung des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI). Anwender die über einen Perso mit Online-Funktion verfügen würden, könnten diesen und ihren Führerschein ab sofort digitalisieren. Was dann folgte ist bekannt:

• Führerschein auf iPhone speichern:„Digitale Pappe“ ab sofort verfügbar
• Digitaler Führerschein: Große Nachfrage, massive Startschwierigkeiten
• Angreifbar: ID Wallet-App verschwindet aus dem App Store

Die ID Wallet-App wurde erst überrannt, funktionierte dann eine Weile lang nicht und verabschiedete sich schließlich am gestrigen Mittwoch wieder aus dem App Store – in Hackerkreisen wurde da schon gemunkelt, dass die Anwendung angreifbar sei.

Identitäts- und Datendiebstahl möglich

Jene Vermutungen, vorgetragen von der für ihre Untersuchungen der CDU-Apps bekannten Netz-Aktivistin Lilith Wittmann, wurden jetzt konkretisiert. Die ID Wallet-App prüft nicht, wer als Empfänger der in ihr gesicherten Daten auftritt, und verschickt diese grundsätzlich an jeden nachfragenden Server. Eine konzeptuelle Schwachstelle, die sich über modifizierte QR-Codes für Identitäts- und Datendiebstahl nutzen lässt. Einen Machbarkeitsbeweis, ein sogenanntes Proof of Concept, demonstriert Fabian Lüpke im Video:

Laut Wittmann habe die Digital Enabling GmbH auf diese Erkenntnis allerdings lediglich mit diversen Einschüchterungsversuchen reagiert.

Die ID Wallet-App ist vorerst nicht mehr im App Store verfügbar.