iphone-ticker.de — Alles zum iPhone. Seit 2007. 37 262 Artikel

Digital-Perso und Führerschein

Digital-Perso und Führerschein: Identitäts- und Datendiebstahl bei „ID Wallet“ möglich

Artikel auf Mastodon teilen.
68 Kommentare 68

Schon unser erster Kontakt mit den Anbietern der ID Wallet-App im Mai dieses Jahres fiel merkwürdig aus. Damals warteten wir noch auf die von der Bundesregierung versprochene Einführung des digitalen Personalausweises und stolperten eher zufällig über den App Store-Download, der in seiner frühen Phase ausschließlich von einer Gruppe ausgewählter Tester genutzt werden konnte.

Grafik Digitaler Fuehrerschein 1400

Nachdem wir die App der in Arnstorf ansässigen Digital Enabling GmbH dann gesichtet hatten, vermuteten wir die erste grobe Umsetzung des von langer Hand versprochenen „Ökosystems digitale Identität“ der Bundesregierung in den Händen zu halten. Auf Nachfrage wollte das Unternehmen die Zusammenarbeit mit dem Bund jedoch weder bestätigen, noch dementieren oder anderweitig kommentieren. Zumindest nicht telefonisch. Die Bestätigung traf dann schriftlich mit ordentlicher Verzögerung ein: Ja, hieß es in der knappen E-Mail, man sei in Abstimmung mit dem Bund der Herausgeber der App, in der zukünftig die digitalen Personaldokumente landen sollten.

Blamabler App-Store-Auftakt

Offiziell startete die ID Wallet-App dann am 23. September mit einer Pressemitteilung des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI). Anwender die über einen Perso mit Online-Funktion verfügen würden, könnten diesen und ihren Führerschein ab sofort digitalisieren. Was dann folgte ist bekannt:

Die ID Wallet-App wurde erst überrannt, funktionierte dann eine Weile lang nicht und verabschiedete sich schließlich am gestrigen Mittwoch wieder aus dem App Store – in Hackerkreisen wurde da schon gemunkelt, dass die Anwendung angreifbar sei.

Fuehrerschein Iphone 1400

Identitäts- und Datendiebstahl möglich

Jene Vermutungen, vorgetragen von der für ihre Untersuchungen der CDU-Apps bekannten Netz-Aktivistin Lilith Wittmann, wurden jetzt konkretisiert. Die ID Wallet-App prüft nicht, wer als Empfänger der in ihr gesicherten Daten auftritt, und verschickt diese grundsätzlich an jeden nachfragenden Server. Eine konzeptuelle Schwachstelle, die sich über modifizierte QR-Codes für Identitäts- und Datendiebstahl nutzen lässt. Einen Machbarkeitsbeweis, ein sogenanntes Proof of Concept, demonstriert Fabian Lüpke im Video:

Laut Wittmann habe die Digital Enabling GmbH auf diese Erkenntnis allerdings lediglich mit diversen Einschüchterungsversuchen reagiert.

Die ID Wallet-App ist vorerst nicht mehr im App Store verfügbar.

30. Sep 2021 um 17:08 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    68 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Wow… scary!

    Wie sicher ist dann die eingepflegte Kreditkarte für ApplePay?

  • Lilith Wittmann ist soviel größeres Kaliber als Dorothee Bär. Weiter so Lilith.

  • Warum prüft man so etwas nicht vor der Veröffentlichung? Weil das BSI das nicht kann oder will, oder weil Andy CCC nicht als Prüfer haben will. Ach ja da gäbe ja noch den TÜV, aber der prüft höchstens auf Schreibfehler im Namen der APP.

    • Bund und Ländersache… Da muss man unterscheiden. Die BSI prüft doch bei manchen Sachen garnicht erst, weil es keine Zuständigkeit hat.
      Sollte die ID Wallet App Ländersache sein, prüft die BSI nicht, weil es eine Bundesbehörde ist.
      War bei der Luca App ja auch so.

      • Melderecht ist Bundesrecht.

      • Und wie kommst du auf Melderecht?
        Was hat das Melden meines Wohnsitzes mit der Verwaltung von Ausweisen und Führerscheinen in einer Digitalen App zu tun…

      • Genau…man muss unterscheiden: mal ist das Land inkompetent und schiebt dem Bund die Schuld zu und mal ist der Bund inkompetent und schiebt die Schuld auf die Länder. Und wenn gar nichts mehr hilft sind die Kommunen schuld. Oder die EU. Oder der Bürger. Zum Schluss ist es dannimmer der Datenschutz, der alles verhindert. Am Ende sind wir dann digital auf dem Niveau von Mauretanien 1952 und niemand ist Schuld. Aber man muss ja unterscheiden. *kopf-auf-tischplatte*

      • Ja man muss unterscheiden, sagt das BSI selbst.
        Es wird nicht geprüft, wenn das BSI sich nicht dafür verantwortlich fühlt.
        Das ist ja das schlimme.

  • Aber das ist doch durch sieben Blockchains gesichert, hieß es!
    Dann ist doch UNDENKBAR, dass das unsichere Stümpersoftware ist!!1!1
    ;-P

  • wenn man mal bei „digital enabling GmbH“ guckt, stellt man doch ganz schnell (mindestens) 2 Dinge fest:

    • das ID Wallet ist NICHT vom BSI zertifiziert ! JA GEHTS NOCH ?!
    • man hat das Gefühlt, dass diese GmbH gar nicht selbst entwickelt
  • Da bin ich ja mal wieder froh, dass ich den Ausweis damals gar nicht digital aktiviert habe. Was genau kann man bis jetzt nochmal damit machen? Ach genau, gar nichts…

  • Ich nachher auch Postident und das ist super geil und so sollte es sein!
    Aber bei meiner Gewerbeabmeldung im NRW Portal wo ich mich mit Personalausweis „ausgewiesen“ habe, musste ich eine Kopie des Personalausweises hochladen!? Gehts noch?
    Und warum gibt es ein NRW Portal und dann noch viele weitere?
    Man fragt sich ob es Leute gibt, die sich schlechtes Projektmanagement einfallen lassen

  • Hat jemand etwas anderes erwartet? Ich würde eher Lösungen von Huawei vertrauen, als diesem deutschen Behördenmist. Die haben doch schon mit De-Mail ihr Können bewiesen. Amateure.

  • Ich hatte es damals ja schon geschrieben, und wurde abgebügelt: solche Identitäten an irgendwelche unbekannten GmbHs geben geht gar nicht. Leute, lasst doch bitte nicht jeden Blödsinn mit euch machen, den Politik und Behörden in Deutschland verzapfen. Der Bund braucht im AppStore eine geprüfte Identität, worüber solche essentiellen Apps in einem überwachten Prozess veröffentlicht werden. Damit ist zwar immer noch nicht die Qualität sichergestellt, logisch – aber das ist das Mindeste.

    • Problem ist das der Bund solche Fachkenntnisse nie haben wird. Daher muss er auch immer wieder externe Firmen nehmen.

      Glaub mir, aus eigenen Erfahrungen, du willst nichts nutzen was der Bund entwickelt.
      Da gebe ich lieber Facebook meine Daten, da sind die sicherer

      • Man muss sich mal die Arbeitsplätze/ Stellenbeschreibungen von Behörden ansehen.
        Da werden sonstwas für Anforderungen gestellt. Also gehe ich davon aus, dass da Profis arbeiten.
        Irgendwie vermittelt mir der öffentl. Dienst genau das Gegenteil.

  • Ist es nicht nahezu fahrlässig, personenbezogene Daten in einer Blockchain zu speichern, wo sie nie wieder gelöscht werden können? Das wäre ha geradezu kriminell von dieser Klitsche, falls die so etwas programmiert haben.

  • Anders als bei physischen Karten gibt der Nutzer die Zügel aus der Hand:

    Obwohl die genutzte Technologie der selbstverwaltete Identitäten (SSI) es gerade ermöglichen würde, eine unwiderrufliche Identitätsinformationen (irrevocable identity) an den Nutzer auszustellen, wird es in der Praxis so implementiert, dass die Basis-ID von der Bundesdruckerei nachträglich widerrufen werden kann.

    Anders als beim analogen Ausweis ist der digitale Ausweis somit nicht unter der eigenen Kontrolle und kann ohne physischen Zugriff auf das Smartphone vom Staat gesperrt werden.

    Siehe hierzu z.B. auf https://digital-enabling.eu/ unter dem Punkt „Wie kann ich meine Basis-ID löschen bzw. sperren?“: „Auch bei einer Neu-Ausstellung der Basis-ID werden zuvor ausgestellte Versionen der Basis-ID automatisch gesperrt.“, mit anderen Worten ohne physischen Zugriff.

    Wünschenswert wäre es stattdessen, dass allein der Nutzer die Löschung vornehmen kann und diese Löschung nachweisen muss, bevor eine Neu-Ausstellung erfolgen kann, so wie auch beim analogen Ausweis der alte aktiv abgegeben werden muss, bevor ein neuer erhalten werden kann.

    Somit leider mal wieder: mehr Kontrolle, weniger Selbstbestimmung.

    • Wer gibt den seinen alten Ausweis ab? Ja der wird beim Amt gelocht, aber das war’s. Den Finger richtig gehalten und du kannst den Ausweis weiterhin nutzen. So kann ihn zumindest auch das Amt ungültig erklären direkt digital.

      • Genau, der Staat hat die technische Möglichkeit, den digitalen Ausweis nachträglich für ungültig zu erklären, ohne aktives Zutun des Bürgers, das ist genau der Kritikpunkt.

        Es wäre mit der SSI-Technologie aber gerade möglich gewesen, den digitalen Ausweis so zu implementieren, dass der Staat diese technische Möglichkeit nicht hat, sondern dass ein einmal ausgestellter digitaler Ausweis nur noch in den Händen des Bürgers liegt, so wie es beim analogen Ausweis auch der Fall ist.

        Der Bürger hätte dann nämlich eine technisch unwiderrufliche Identität auf seinem Endgerät, für die alleine er selbst verantwortlich wäre und auf die er sich insoweit hundertprozentig verlassen könnte. Der digitale Ausweis würde nämlich nur mit dem Ablauf des Datums ungültig werden oder wenn der Staat im Rahmen eines Gerichtsprozesses physischen Zugriff erzwingt, genau wie beim analogen Ausweis eben auch.

        Nun aber trägt der Bürger stets die Risiken, dass bspw. ein technischer Fehler auftritt, oder, dass der Ausweis aus rechtswidrigen Gründen widerrufen wird und er dann seinerseits dagegen vorgehen muss. In der Zwischenzeit steht er dann aber ohne gültige Identität da.

      • @Emanuel
        Vielen Dank für diese Aufklärung!
        Ich bin leider völliger Laie auf diesem Gebiet und habe keinen Plan, wie man an solche Infos kommt.
        Hättest Du da Vorschläge / Links für mich?

      • @John.W

        Inzwischen muss man seinen alten Personalausweis abgeben.
        Der Chip müsste gelocht werden, dieser befindet sich aber nicht immer zu 100% an gleicher Stelle. Daher muss man diesen inzwischen abgeben, ungültig mitnehmen ist nicht mehr.

  • Diese App ist unbrauchbar. Mehrere Versuche ein Dokument abzulegen scheitern.
    Ab in die Tonne…. gelöscht

  • Man regt sich immer auf, dass D so konservativ ist. Aber es ist schon „gesünder“ für die eigene Datensicherheit, nicht jede neue Umsetzung – erst recht nicht, wenn sie vom Bund kommt – einer an sich guten Idee mit den persönlichen Daten zu füttern. Zumindest begegne ich diesen vom Bund protegierten Apps sehr skeptisch und bin Leuten wie Wittmann sehr dankbar gür ihr Engagement. Die Realität zeigt ja, wie undanbar das sein kann.

  • Super Sache.
    Wieder wahrscheinlich 100 mio € Steuergelder rein gebuttert und ein nixiges etwas App kommt dabei raus…

  • Wo Scheuer drauf steht ist auch Andy drin. Was für ein Idiot!

  • Vor allem Einschüchterungsversuche.
    Danke, dass sie den Mist aufgedeckt haben.

  • Laut Wittmann habe die Digital Enabling GmbH auf diese Erkenntnis allerdings lediglich mit diversen Einschüchterungsversuchen reagiert.“ Zeigt deutlich was von dieser Firma zu halten ist oder? Also da bleibe ich lieber Analog als diesen Verein oder deren App meine Daten zugeben.

  • Lasst einfach eure persönlichen Daten nicht ins Internet! Für jeden halbwegs versierten Hacker ist diese blödsinnige Entwicklung doch ein feuchter Traum!

    • Wie soll das gehen? Dann müsste man das Internet vollständig meiden.

      • Blödsinn – aber ein bisschen nachdenken, was man wo veröffentlicht, hinterlegt oder mitteilet würde schon helfen!

        Kreditkarte auf’s Handy, Führerschein auf’s Handy, Türschlüssel auf’s Handy, Autoschlüssel auf’s Handy, Personalausweis auf’s Handy und immer wieder von 90% der Leser hier Hurra geschrien – da muss man doch irgendwann mal den Kopp einschalten!

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37262 Artikel in den vergangenen 6053 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven