Jan Schejbal heißt der Mann, der in weniger als 24 Stunden die erst gestern vom BSI freigegebene Software zum neuen Personalausweis (Ausweis-App) gehackt und das in seinem Blog beschrieben hat. Die Computerzeitschrift c’t hat den Angriff nachvollzogen und die Sicherheitslücken bestätigen können, das BSI ist noch mit der Überprüfung beschäftigt.
Die Sicherheitslücken finden sich in der Update-Routine und sind eigentlich schon seit Wochen in der Szene Gegenstand von Spekulationen gewesen. Laut Chaos Computer Club hätten die Entwickler der Software das Problem kennen müssen. Trotzdem hat das BSI weder getestet noch beseitigt. Und die von Jan Schejbal aufgedeckten Lücken müssen nicht die einzigen sein, es sind nur die ersten, die vermutet und gefunden wurden.
Diese Software wurde ja dafür gemacht, mit einem Lesegerät und dem neuen elektronischen Personalausweis online Geschäfte durchzuführen. Und schon im Vorfeld hatte der CCC gezeigt, dass man bei einfachen Lesegeräten recht leicht die PIN des Ausweises auslesen kann. Da hätte man sauberere Arbeit erwarten können.