ID WalletEin emotionaler IT-Sicherheitsbericht fürs Kanzleramt

Als Sicherheitsforscher:innen Schwachstellen beim digitalen Führerschein fanden, waren die beteiligten Unternehmen ungehalten: Sie redeten gegenüber dem Kanzlerinnenamt von einer „Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität“. Jetzt bedauern sie ihre Wortwahl.

Alter und neuer Führerschein übereinandergelegt
Bleibt erstmal analog: der Führerschein. – Alle Rechte vorbehalten IMAGO / Eibner

Am 23. September kurz vor der Wahl kündigte der ehemalige Verkehrsminister Andi Scheuer zusammen mit seiner Parteikollegin Dorothee Bär die App „ID Wallet“ an. Sie sollte ermöglichen, den Führerschein und später auch andere Identitätsdokumente auf dem Handy vorzuzeigen. 

Das Projekt scheitert krachend: Die Infrastruktur hielt der Last nicht stand und Sicherheitsforscher:innen entdeckten direkt nach dem Launch mehrere Sicherheitsprobleme. ID Wallet sei „konzeptionell kaputt“, sagt beispielsweise Lilith Wittmann in einem Interview mit netzpolitik.org.

Spätabends am 24. September entschied sich das Projektteam aus esatus AG, dem Schwesterunternehmen Digital Enabling GmbH und der Bundesdruckerei, die App wieder aus den Appstores zu nehmen. Eigentlich nur für ein paar Wochen, kündigte die App-Herausgeberin Digital Enabling zunächst an. Doch auch fast drei Monate später ist die Anwendung nicht wieder verfügbar.

Eine politisch motivierte Zusammenrottung

Digital Enabling schrieb am 25. September einen Sicherheitsbericht,der auch ans Bundeskanzleramt ging. Dieser ist nun durch eine weitere Informationsfreiheitsanfrage bekannt geworden.

Darin wunderte man sich zunächst über das öffentliche Interesse an der App, das man so offenbar nicht vermutet hätte. Es habe Diskussionen in sozialen Medien gegeben, „auch mit stark negativer Konnotation“. Sogar einen „Hacking-Aufruf“ habe es gegeben – einen Tweet mit dem Hinweis auf Probleme bei DNS-Servern und dem Zusatz „Happy hacking everyone“. Kurzum: Digital Enabling und esatus fühlten sich offenbar bedroht und vermuten eine „sich schnell aufbauende Angriffswelle von fachlich höchstversierten Angreifern mit extrem negativen, zudem politisch motivierten Interessen“.

Die Projektpartner monieren „Polemik und Hasstiraden“ und vermuten „eine Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität“. Das unterstellte Ziel der Sicherheitsforscher:innen: negative Meinungsmache und Shitstorms. Die Unternehmen stellen sich gegenüber dem Bundeskanzleramt als Opfer dar und nennen sich in einer Reihe mit der Luca-App oder der HPI Schul-Cloud. Auch bei diesen hatte es Hinweise auf Sicherheitslücken gegeben.

Die Sicherheitsforscherin Lilith Wittmann nennt andere Gründe als Motivation, sich ID Wallet näher anzuschauen. „Am Anfang stand das Interesse, wie das funktioniert. Ein paar Minuten später setzte dann blankes Entsetzen ein, mit welcher Inkompetenz da versucht wurde, den Ausweis zu digitalisieren“, schreibt sie gegenüber netzpolitik.org. „Und natürlich wurde dann insbesondere aufgrund der krassen Selbstsicherheit des Bundeskanzlerinnenamts auch ein bisschen ‚Schau mal, der Kaiser hat keine Kleider an‘ draus.“

„Aus der emotionalen Situation entstanden“

Linus Neumann vom Chaos Computer Club kann die Vorwürfe aus dem Sicherheitsbericht nicht nachvollziehen. Er findet das Verhalten der Forscher:innen einwandfrei. Gegenüber netzpolitik.org sagt er: „Lücken wurden gesucht, gefunden und gemeldet – und zwar innerhalb kürzester Zeit und ehrenamtlich. ID Wallet sollte eine Ausweis-Infrastruktur für die Bundesrepublik werden – nicht auszudenken, wenn es tatsächlich bösartig angegriffen worden wäre“, so Neumann weiter. „Die hilflosen Beleidigungen gegenüber den ehrenamtlichen Forscher:innen zeigt nur, dass die Hersteller heillos überfordert waren.“

Mittlerweile rudert Digital Enabling zurück. Auf Anfrage von netzpolitik.org antwortet das Support-Team auf die Frage, worin das Unternehmen eine politische Gegnerschaft sehe und welche Anhaltspunkte es für eine koordinierte Aktion gebe:

Die erwähnte Formulierung in dem Sicherheitsbericht ist aus der damaligen emotionalen Situation entstanden. Diese Formulierung bedauern wir und würden sie so nicht wieder verwenden.

Man habe mit anderen Dienstleistern im Projekt die Lage analysiert und beschlossen, „die exponierten Systeme abzuschalten bzw. nicht erreichbar zu stellen“. Das habe sowohl Systeme bei Digital Enabling betroffen, die von der esatus AG gehostet wurden, als auch solche bei anderen Dienstleistern. Auf die Frage, ob es zu Hacking-Angriffen kam, bei denen Sicherheitslücken nicht verantwortungsvoll gemeldet wurden, geht Digital Enabling nicht direkt ein.

Neuaufstellung und Relaunch

Das Unternehmen verweist nur darauf, dass es Hinweise von „unabhängigen Sicherheitsforscherinnen und -forschern zu einzelnen Projekt-Komponenten und anderen Infrastrukturkomponenten“ gab. Diese habe man aufgenommen, geprüft, weitergegeben und in den nötigen Fällen abgestellt. Mittlerweile beziehe man „auch engagierte Sicherheitsforscherinnen und -forscher und interessierte Community“ in die Prüfung des Projekts mit ein.

Von dem Konzept verabschiedet hat man sich offenbar noch nicht. „Dass Projekt stellt sich derzeit neu auf“, schreibt Digital Enabling. Einen Relaunch erwarte man im zweiten Quartal des nächsten Jahres.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. „Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität“
    Sicherlich ein Formulierungseinzelfall. Kann jedem mal passieren, obwohl einem da ja eigentlich nichts passieren sollte, oder wenigstens nicht so viel, wenn unter dem Kopfkissen platziert, das Hufeisen.

    „Polemik und Hasstiraden“
    Werbesprech wird beherrscht. Analyse und „Hasstiraden“ stammen in der Realität nicht selten aus verschiedenen Quellen. Aber wer guckt schon so genau hin, wenn es sich einstweilen so schön lässt, mit dem Verschmierklammern.

  2. Man kann durchaus nachvollziehen, dass Unternehmen „not amused“ sind, wenn ihre technische und kommunikative Inkompetenz so ins Licht der Öffentlichkeit gerückt wird. Das eigentliche Problem liegt aber in den Auftraggebern, die in diesen Dingen intellektuell völlig unbewaffnet sind, und die Kompetenz der Unternehmen nicht im geringsten einschätzen können. Dazu kommen oft genug noch sachfremde Erwägungen (ich benutze hier bewusst nicht die Ausdrücke Seilschaften, Spezl oder Korruption, denn dafür habe ich keine Hinweise) für eine Vergabe. Die Projektidee mag durchaus sinnvoll sein, aber alles danach ist eine einzige Katastrophe und zeigt wie Deutschland die Digitalisiereung missversteht.

    1. Zumal so eine Haltung auf Auftraggeberseite öfters mal mindestens unterstützt wird (und sei es durch Unterlassung wie u.a. bei der Luca App). Das fühlt sich ein bischen an, wie mit jenem Einzelfallproblem, das manche Behörden aufzuzeigen bereit waren, und/oder sind.

      Hätte man eine unabhängige Behörde für die Einschätzung dieser Sachen, wäre der Teil vielleicht einfacher…

  3. Hmm. Welchen Management- und Organisationstil darf ich eigentlich bei einer Firma vermuten, die ohne dreimal tief durchzuatmen ihre Emotionen in Sicherheitsberichten ausdrückt? Berichte, die nach diesem Artikel offenbar auch an die Leitung der Regierung der Bundesrepublik verteilt wurden?
    Vielleicht sollte die Geschäftsführung einmal die Schränke in der hippen Tischkicker&Barecke druchsuchen und das das K…affeepulver gegen Kamillentee tauschen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.