"Nutzer mit Sicherheitsfragen befasst"
Digitaler Führerschein angreifbar: ID Wallet-App verschwindet aus dem App Store
Die Bereitstellung des digitalen Führerscheins am 23. September scheint sich vom noch tolerierbar-verstolperten Rollout gerade in ein mittelmäßiges Digitalisierungs-Desaster zu verwandeln.
Dies deuten Meldungen auf dem Kurznachrichten-Portal Twitter an, denen zufolge die Sicherheitsforscherin und Digital-Aktivisten Lilith Wittmann des Chaos Computer Clubs und der Entwickler Fabian Lüpke die Annahme geäußert haben, dass die der ID Wallet-App zugrundeliegende Blockchain-Technologie „konzeptionell fehlerhaft und angreifbar“ sein könnte.
.@LilithWittmann und ich haben Grund zur Annahme, dass nicht nur Infrastruktur sondern auch die der #IDwallet (eID, #digitaleIdentitaet) zugrunde liegende #Blockchain Technologie (#SSI #DID) conceptually flawed und angreifbar sein könnte.
— Flüpke (@fluepke) September 28, 2021
Zuletzt die Apps der CDU im Blick
An den Namen Lilith Wittmann werden sich regelmäßige ifun.de-Leser erinnern. Die Digital-Aktivisten hatte erst im vergangenen Monat wieder für Schlagzeilen und eine öffentliche Entschuldigung der CDU gesorgt. Die Partei war rechtlich gegen Wittmann vorgegangen nachdem diese Schwachstellen in der offiziellen Connect-App der CDU- und der CSU-App aufgedeckt und öffentlich gemacht hatte.
Nachdem Wittmann die Anzeige offengelegt und damit unter anderem dafür gesorgt hatte, dass der Chaos Computer Club öffentlich verkündete keine Sicherheitslücken mehr an die CDU melden zu wollen, vollzog die Partei eine Kehrtwende, entschuldigte sich und zog die Anzeige zurück.
„Nutzer mit Sicherheitsfragen befasst“
Nun scheint Wittmann die Macher der ID Wallet-App, die sogenannte Digital Enabling GmbH aus Langen in Bedrängnis zu bringen. Diese haben ihre App jetzt vollständig aus dem App Store entfernt und einen Relaunch angekündigt. Neben den unerwarteten Lastspitzen, mit denen man zum Auftakt des digitalen Führerscheins zu kämpfen gehabt habe, habe die ID Wallet-App auch viel Aufmerksamkeit von Nutzerinnen und Nutzern erhalten, die sich „intensiv mit Sicherheits- und Vertrauensfragen“ befasst haben.
Mit Blick auf die nächste Veröffentlichung werde man den eingegangenen Hinweisen diesbezüglich nachgehen. Zudem habe man die App nun aus dem App Store entfernt, um „das System auf höhere Nutzlasten auszulegen“:
Der Relaunch der App wird verbunden mit bereits geplanten umfangreichen Verbesserungen an der Nutzerinnen- und Nutzerführung sowie am Design. Die ID Wallet werden wir nach den Tests und Weiterentwicklungen in einigen Wochen wieder neu in den App Stores verfügbar machen. Bis dahin bitten wir um ein wenig Geduld, weitere Informationen werden auf dieser Webseite veröffentlicht.
Ging ja schnell
So ist es. Vor allem ist es auch Schwachsinn, warum braucht es in Zukunft noch einen separaten Führerschein? Es kann doch alles zentral gespeichert werden und auf dem Ausweis abrufbar sein. Dann wäre es schon mal nur eine Karte. Und wenn sie das dann an eine Nummer koppeln (SV?) die ich mir merken kann, um mich auszuweisen, muss ich garnix mehr dabei haben. Das wäre doch mal was ….
Guter Vorschlag.
Vor allem das mit der Nr. die sich jeder merken kann ;)
Verdient der Staat doch ordentlich dran. So musst du Führerschein und Personalausweis kaufen :)
Du solltest vielleicht das Amt wechseln wenn die für deinen perso Geld haben wollen…
Vielleicht solltest du mal einen echten machen lassen, dann wüsstest du auch dass der immer Geld kostet.
Nachzulesen beim Bundesministerium des Innern, da steht auch gleich welche Gebühr fällig wird.
Eine Nummer merken mit der du dich ausweisen kannst? Ich hoffe das ist sarkastisch gemeint, ansonsten zeugt das von Null Verständnis für elektronische Identitäten.
Sozialamt oder wie? xD
Es ist mehr Arbeit, denn nicht immer wird der Führerschein auch in der Zentrale abgefragt, sondern die Polizei schaut oft nur ob du Ihn hast und dafür langt dann schon das vorzeigen. Ist alles auf den Perso gespeichert, müsste diePolizei immer zum Streifenwaagen und Prüfen lassen ob da noch eine Fahrerlaubnis vorliegt.
Die Polizei könnte ja auch einfach Handheld-Lesegeräte bekommen. Dann geht die Überprüfung schnell und auch zuverlässig.
Geht bspw,. in Berlin mit der FahrCard für den ÖPNV auch: Da halten die Kontrolleure kurz das Lesegerät hin und schon ist die Kontrolle erledigt.
Cool, ja. Ich nehm die Nummer 5.
Tja nun. Aber Hauptsache, die €xU durfte wieder mit Steuergeldern werfen. :D
EU hat nichts damit zu tun!
Hör auf „Fakenews“ zu verbreiten.
Er meint cdu… das $ vermutlich als Anspielung auf Korruption, Lügen etc…
Versuche doch bitte erstmal den Text zu verstehen, bevor du jemandem nachsagst, er verbreitet FakeNews.
Offensichtlich ist hier die CDU/CSU gemeint. Das sollte eigentlich jeder erkennen. x als Platzhalter für D/S und € vermutlich als Anspielung auf diverse „Skandale“, die der Partei anhaften.
da ist doch nix „offensichtlich“.
Oh, dann hab ich’s falsch gelesen.
So passt es natürlich:-)
„Entschuldigung“ fehlt in Deinem Wortschatz …
Offensichtlich geht echt anders…
Abschiedsgeschenk von Andi
Abschied?! Sein Direktmandat in den Bundestag hat er, aus mir unerklärlichen Gründen, geholt D:
Naja, aber hoffentlich nicht mehr Minister, dh. weitere Geschenke an seine Spezies werden schwieriger
Keine Angst – der Andi sitzt sicher in den relevanten Ausschüssen- neben Klöckner :)
Kann man den auf eine Insel schicken?
England wäre ein echt gute Idee!
Er hat viel Geld nach Bayern gebracht… Söder hat dies offiziell anerkannt! Von daher soll erfüllt tad BUNDESminister
Wenn aber die SPD, Grünen und FDP sich zam tun, hat der CSUler trotzdem kein Ministerium mehr unter sich.
Daran hab ich auch sofort gedacht, ein Abschiedsscheuer ;-)))
Noch schnell für die Wahl eine early beta ins Volk gestreut um Kompetenz vorzuspielen?
+1 Genau das
Und wieder ein Scheuer-Desaster.
Es ist einfach unglaublich, wie weit man es allein mit völliger Selbstüberschätzung kommt, ohne ein Quäntchen Kompetenz oder wenigstens etwas Sorgfalt bei der Arbeit…
Und viel wichtiger, ohne Konsequenzen…
Da kann man sogar Kanzlerkandidat werden und auch nach verlorener Wahl dran festhalten
Hat Herr Scheuer die App programmiert? Und kann er persönlich die Sicherheit der App überprüfen? Vermutlich nicht. Das machen Firmen, die im Auftrag arbeiten. Käme also – nur als Beispiel – jemand auf die Idee mir die Schuld zu geben, wenn der Fliesenleger, den ich beauftragt habe, unsauber arbeitet und in der Folge Wasser durch undichte Stellen läuft und einen Wasserschaden bei meinem Nachbarn verursacht?
Ja, auf die Idee käme man, auch bei dem Beispiel, weil du offenbar den Fliesenleger bedrängt und zu schnellerer Arbeit genötigt hast, damit der Kram noch vor der nächsten Grillparty für die Nachbarn schön aussieht.
Dadurch musste er unsauber arbeiten und dann passierten grobe Fehler mit großer Auswirkung. Eventuell hat dir der Fliesenleger sogar genau das gesagt, aber du als gönnerischer Kunde meintest dann das passt schon und das merkt eh keiner und wenn, wird man sich schon schnell was einfallen lassen.
Klar, wenn du meine Milliarden versenkst bist du erstmal dran.
Wenn du den Auftrag gibst musst du dich um eine fachmännische Firma kümmern.
Ähm, ja, klar… Den Schaden bezahlt deine Versicherung, wenn du keine hast bezahlst Du das. Wer den sonst? Ich schlage mich doch nicht mit deinem Fliesenleger rum. Mir völlig egal wer da was gemacht hat… :)
Na selbstverständlich. Du bist ja dann der Beauftragende der die Arbeiten initiiert hat. Du musst nur (hoffentlich vernünftig) die Haftung delegiert haben an die ausführende Firma. In erster Instanz haftest jedoch Du, weil Du Verursacher (und in der Kette die von Dir beauftragten Firmen) bist.
Er ist der Chef, damit hat er die Verantwortung für seinen Laden!
Als er die App kurz vor der Wahl großspurig vorgestellt hat, hat er seine Verantwortung für die App ausdrücklich betont.
Hätte er sich mal halb so gut um die interne Qualitätssicherung gekümmert wie um seine PR, wäre sowas einfach nicht passiert.
Als Auftraggeber hat er auch die Verantwortung zu überprüfen, ob der Auftrag wie erwartet erledigt wurde. Oder schaust Du Dir nicht das Arbeitsergebnisse des Fliesenlegers an, eh Du ihn bezahlst? Falls Nein: Du kannst mich gern für alle Deine Aufträge einstellen.
Völlig richtig!
Sollten Sie aber Vermieter sein, um bei Ihrem Beispiel zu bleiben, und eine Firma beauftragen die Ihnen nahe steht, oder von Ihren Vereinskollegen dringend empfohlen wird;
Und der Mieter hat, trotz Pfusch, diese Firma bezahlt.
Dann kann schon die Frage nach der Motivation des Vermieters aufkommen.
Politik ist eben kompliziert.
Es gibt da ein schönes YouTube Video der CT über Blockchain und Politiker. Ist sehenswert, Blockchain ist die Lösung für alles – oder auch nicht …
hast du einen Link, das wäre super
Wie peinlich ist das denn :D nicht nur das die App vom UI ein Albtraum ist, jetzt ist sie auch noch unsicher :D
Der deutsche Staat sollte es einfach sein lassen mit den Apps. Einfach warten bis Apple die ID Funktion nach Europa bringt und dann das nutzen…
Genau. Apple zeichnet sich ja was Sicherheitsfragen angeht, gerade in letzter Zeit durch besondere Kompetenz aus. Nicht.
https://www.iphone-ticker.de/sicherheitsluecken-sicherheitsforscher-nimmt-apples-entschuldigung-nicht-an-180283/
Und jetzt? Löschen? Nix machen weil eh offline oder was ist jetzt dir Empfehlung un etwaigem digitaleN Identitätsdiebstahl vorzubeugen?
Die App ist nicht offline, sie stellt bei der Prüfung des Perso eine Verbindung zur Bundesdruckerei und beim Führerschein eine Verbindung zur KFZ Behörde her.
Es tut so unfassbar weh, diese Unfähigkeit auf politischer Ebene zu beobachten. Noch dazu die steuergelder, die dafür verschwendet wurden…
Es tut mehr weh, dass diese Inkompetenz weiter gewählt wird
1 +
Vor allem wurde da wieder mal Blockchain verwendet nur damit sie verwendet wird. Für eine reine Identitätsprüfung gibt es seit Jahrzehnten eine bewährte Technologie iFv Zertifikaten und chain of trust.
Da ist eine BC das Letzte was nötig und sinnvoll ist.
Aber mit BC triggert man aktuell die Politiker- das ist gerade eine hippe Technik
Sollte man sie jetzt löschen? Oder erst den so schwierig importierten Führerschein löschen, damit dieser aus der kaputten Blockchain gelöscht wird und die App dan löschen?
Also wenn die App zurückgezogen wird, würd ich mir keine Sorgen machen, ist eh alles zu spät.
Schadensminimierung würde ich betreiben indem ich erst die Daten und dann die App lösche.
Wenn die Blockchain richtig implementiert ist, wird es schwierig ein einmal gespeichertes Artefakt dauerhaft zu löschen.
Ist sie ja nicht ;-)
Die Unfähigkeit für digitale Lösungen im öffentlichen Bereich wird immer deutlicher. Schlimm ist auch, dass man auf jeden Unsinn wie etwa blockchain reinfällt.
Braucht man eigentlich für den digitalen Personalausweis und den digitalen Führerschein zwei getrennte Apps?
Ich bin mir relativ sicher, dass das fast nur so kommen kann: schau es dir doch bei den sämtlichen Corona Apps an und bitte nicht wieder rein rufen, dass es unterschiedliche Use Cases sind: hätte man alles zusammen vereinen können, wenn man auch nur gewillt ist an einem Strang zu ziehen
Und weshalb sollte man dies nicht reinrufen, obwohl dies stimmt?
Und nein, dies hätte man eben nicht verbinden können bzw hat dies aus gutem Grund nicht verbinden wollen. Wer der Kontaktverfolgung der CWA misstraut, hätte dies nicht genutzt, auch mit ausgeschaltetem Tracking. Auch wenn nichts gegen die Kontaktverfolgung spricht, aber manche hätten eben dann auf den digitalen Impfnachweis verzichtet.
Es gibt übrigens in mehreren europäischen Ländern genau aus diesem Grund eine Imfpass und eine Kontaktverfolgungs-App, auch wenn zweitere ebenfalls die Zertifikate einlesen und anzeigen kann.
Eigentlich sogar 3, denn ohne Impfung kein reisen…
Das kommt wenn man einer Partei die Umsetzung solcher Projekte überlässt, deren Digitalkompetenz irgendwo zwischen nachplappern von Flugtaxi und Blockchain Buzzwords liegt.
Man könnte das so schön machen. Digital Signiert, Offline prüfbar, gegen Manipulation geschützt, Kryptographisch Sicher. Alles mit Standard verfahren die seit Jahrzehnten existieren und Mathematisch geprüft sind. Das hat man doch selbst beim Impfzertifikat geschafft.
Einfach nur erbärmlich…
was für ein hässliches App-Icon *brech*
Armutszeugnis für Deutschland.
Einfach unglaublich, einfach unfassbar.
Das ist alles ungeHEURLICH! ..sch…
Kann mir jemand erklären was die App eigentlich bringen soll, wenn der digitale Führerschein vom Ministerium aus nicht als offizielles Dokument gilt?
War ja vorher klar dass das nur eine Wahlkampagne war.
Gruselig wie Stiefmütterlich manche Politiker mit der Gesellschaft umgehen. Hauptsache Macht…
Wie heißt es so schön: das Internet ist für uns alle Neuland.
Und wieder mal komme ich vor Lachen nicht in den Schlaf… Andi, oh Andi…
Na Gott sei Dank.
warum werden so sachen eigentlich nicht von der bundesdruckerei umgesetzt?? warum steht da jetzt irgendwo ne firma die das macht? not getting it
:/
Die Bundesdruckerei ist auch nur irgendeine Firma, abgesehen davon ist die sogar beteiligt.
Was sind denn bitte Digital Aktivisten? Ist das die Verhamlosung von Klima, Links, etc. Aktivisten?!
Oder sind es einfach Hacker?!
Wer auf der politisch „korrekten“ Seite tätig u./o. „woke“ ist, ist ein Aktivist. Alle anderen sind rechts, Querdenker oder Aluhutträger. Oder hast Du schon mal etwas von“Rechtsaktivisten“ gehört? :-)
Der Hinweis auf vorhandene Schwachstellen erfolgt im Rahmen ihrer Tätigkeit als IT-Security-Expertin. Bzw. Im Rahmen der Forschung zu Schwachstellen in IT Systemen.
Ob und in welcher Form sie an anderer Stelle aktivistisch handelt, tut für die Meldung objektiv gesehen nichts zur Sache. Ob für White-hat Hacker und IT security Forscher „Aktivist“ der richtige Überbegriff ist, kann jeder mit sich selbst ausmachen.
*Aktivistin
Andi hat wieder alles richtig gemacht :-)
Made by Scheuer eben
Wenn der Staatstrojaner auch so „zuverlässig“ ist, haben wir paar Sorgen weniger.
Stürzt doch bei mir sowieso sofort nach der pin Eingabe ab ..
Armes Deutschland! Wenn so viele Kommentatoren schon bei einer Meldung im Konjunktiv durchdrehen, wie soll das erst werden, wenn wirklich mal ein Sicherheitsproblem besteht.
Ich wusste dass so etwas passiert und habe es deshalb garnicht erst heruntergeladen. Genau das selbe mit der Corona App
Wäre cool wenn die Police den FS oder Perso mittels NFC Chip auslesen könnte.
Also dass man die Karte ruhig mal vergessen kann.