Sicherheitsprobleme: Digitaler Führerschein zurückgezogen
Eine Woche nach dem Startschuss für den digitalen Führerschein in Deutschland ist die dazugehörige Smartphone-App ID Wallet wieder zurückgezogen worden. Die Anwendung war am Donnerstag weder im Apple App Store noch im Google Play Store verfügbar. Zuvor hatten Expertinnen und Experten des Chaos Computer Clubs auf Sicherheitsprobleme hingewiesen. Die Anwendung könne Man-in-the-Middle-Attacken nicht verhindern und ermögliche das Abgreifen von Personendaten.
Der von der Bundesregierung beauftragte Dienstleister Digital Enabling GmbH erklärte, der Start der App am 23. September habe viel Aufmerksamkeit von Nutzerinnen und Nutzern erhalten, die sich intensiv mit Sicherheits- und Vertrauensfragen befassen. Das Unternehmen wolle in den kommenden Wochen den Sicherheitshinweisen nachgehen und Tests durchführen. “In dieser Zeit werden wir die App aus den Stores nehmen”, kündigte der Anbieter an.
“Unerwartete Lastspitzen”
Das Projekt war vor einer Woche von Bundesverkehrsminister Andreas Scheuer (CSU) vorgestellt worden. Der Digitale Führerschein, der in der App ID Wallet aufbewahrt wird, soll nach den Plänen der noch amtierenden Bundesregierung beispielsweise die Anmietung von Mietwagen oder die Nutzung von Carsharing-Angeboten erleichtern. Die digitale Version ist eher für kommerzielle Anwendungen ausgelegt; bei einer Polizeikontrolle ersetzt er sein analoges Ebenbild nicht. “Zunächst kam ein elektronischer Personalausweis, für den es aber faktisch keine Einsatzmöglichkeiten gab. Dann kam die elektronische Gesundheitskarte, die außer Stammdaten nichts zu bieten hatte. Jetzt kommt eine Führerschein-App, die bei Polizeikontrollen nicht akzeptiert wird”, bemängelte Bitkom-Hauptgeschäftsführer Bernhard Rohleder zur Einführung.
Direkt nach der Vorstellung des Projektes “Digitaler Führerschein” waren bereits technische Schwierigkeiten aufgetreten. Nutzer konnten keinen neuen digitalen Führerschein anlegen, weil die Server überlastet waren. Der App-Betreiber sprach von “unerwarteten Lastspitzen”. Anschließend wurde die Funktion deaktiviert und keine neuen Führerscheine mehr ausgestellt. Die App verblieb aber vorerst in den Appstores. Dort hagelte es schlechte Bewertungen.
Fehlende Transparenz für Nutzer
Nach der Warnung der Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC) vor möglichen Identitätsdiebstählen wurde die Anwendung nun vorerst zurückgezogen. Zu den Kritikerinnen gehören auch Lilith Wittmann und Fabian Lüpke. Man habe “Grund zur Annahme”, dass die Infrastruktur hinter der App und die zugrundeliegende Blockchain-Technik angreifbar sein könnten, twitterte Lüpke. Wittmann wies in ihrem Blog darauf hin, dass mithilfe der App Angreifer unbefugt Personendaten mittels einer sogenannten Man-in-the-Middle-Attacke abgreifen könnten.
Denn die Anwendung sieht bislang keine Verifikation des Empfängers der Personendaten vor. Die App-Nutzer hätten bei diesem Verfahren keine Möglichkeit festzustellen, wem ihre Personendaten tatsächlich übergeben werden. (dpa / hcz)