AusweisApp

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
AusweisApp
Bildschirmfoto der AusweisApp
Ein Datenfeld der AusweisApp
Basisdaten
Maintainer BSI
Entwickler OpenLimit SignCubes AG
Aktuelle Version 1.11.0
(3. Juli 2013)
Betriebssystem Windows, Linux (Debian, Ubuntu, openSUSE), Mac
Kategorie eID-Client
Lizenz Proprietär (Freeware)
Deutschsprachig ja
www.ausweisapp.bund.de

Die AusweisApp (bis Juli 2010 Bürgerclient)[1] ist eine kostenlose Anwendungssoftware für den PC, um die elektronische Authentisierung über das Internet mithilfe des neuen deutschen Personalausweises und des elektronischen Aufenthaltstitels nutzen zu können. Die AusweisApp steht für die Betriebssysteme Microsoft Windows, Linux[2] und Mac OS zur Verfügung. [3][3][4] Entwickelt wurde die Software von der OpenLimit SignCubes AG im Auftrag der Siemens IT Solutions and Services GmbH und finanziert durch das Bundesministerium des Innern (BMI).[3]

Bei der AusweisApp handelt es sich nicht um quelloffene Software, welche von unabhängigen Sicherheitsexperten überprüft werden könnte. Dies ist insbesondere vor dem Hintergrund von Sicherheitslücken oder der zunehmenden staatlichen Überwachung (zum Beispiel dem sogenannten „Bundestrojaner“) bedeutsam.

Einführung[Bearbeiten]

Die Software stellt eine verschlüsselte Verbindung zwischen dem neuen Personalausweis oder dem elektronischen Aufenthaltstitel und dem eID-Server auf der Gegenseite her. Die AusweisApp dient dazu, das Verfahren der Zertifikats- und Authentizitätsprüfungen sicher vorzunehmen, dem Bürger eine Oberfläche zur Nutzung des neuen Personalausweises oder des elektronischen Aufenthaltstitels anzubieten. Mit Hilfe des Programmes, das sich Ausweisinhaber auf ihrem PC zuvor installieren müssen, können sich Bürger im Internet ausweisen und Dokumente elektronisch unterschreiben. Vor Einführung des neuen Personalausweises am 1. November 2010 prüften etwa 200 Unternehmen und Behörden die Software im Rahmen eines Anwendertests.

Das Programm wurde vom 8. bis 10. November 2010 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zum kostenlosen Download zur Verfügung gestellt.[1][4] Der Download wurde deaktiviert, bis am 3. Januar 2011 eine neue Version des Programmes zur Verfügung stand, in der zwei Sicherheitslücken behoben wurden.[5][6]

Entwicklung[Bearbeiten]

Das Bundesministerium des Innern hat den Generalunternehmer Siemens IT Solutions and Services sowie die Bundesdruckerei und OpenLimit SignCubes AG Anfang November 2009 beauftragt, die Anwendersoftware für den neuen Personalausweis zu erstellen.[7][8] Die drei Unternehmen hatten sich bei der Ausschreibung gegen ein Konsortium aus IBM und bremen online services durchgesetzt. Das Auftragsvolumen beträgt rund vier Millionen Euro.[9]

Zertifizierung[Bearbeiten]

OpenLimit hat die AusweisApp zur Zertifizierung entsprechend der Common-Criteria-Richtlinien EAL4+ angemeldet.[10] Außerdem wurde beim BSI die Bestätigung des Programmes nach dem Signaturgesetz beantragt.[11] Laut heise online ist die Zertifizierung noch nicht abgeschlossen.[12]

Umbenennung von Bürgerclient zu AusweisApp[Bearbeiten]

Ursprünglich hieß die AusweisApp Bürgerclient. Der Name wurde im Juli 2010 aufgrund eines Vorschlages der Design-Spezialisten vom Hasso-Plattner-Institut in Potsdam zu AusweisApp geändert.[13] Diese hatten den Begriff in einem vom BMI beauftragten Gutachten zur Akzeptanz und Nutzung des Ausweises benutzt.[14] Laut BMI habe sich die Bezeichnung Bürgerclient als zu sperrig und schwer verständlich für die Bürger herausgestellt. So sei vielen die Bedeutung des Begriffes ‚Client‘ nicht klar und der Umlaut ‚ü‘ in Bürger erschwere die Verwendung in Internet-Domains. Zudem dürfte der vermeintlich männliche Begriff ‚Bürger‘ nicht ohne die weibliche Form ‚Bürgerin‘ verwendet werden.[15]

Verfahren[Bearbeiten]

In der technischen Definition ist die AusweisApp eine Middleware gemäß eCard API Framework TR-03112 des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die die Kommunikation zu Kartenlesegerät, Chipkarte und der Serverkomponente eID-Server herstellt.[16] Die Nutzer können sich somit zukünftig gegenüber Portalen und Plattformen, beim Online-Banking und im elektronischen Handel ausweisen. Zuvor wird die ‚Echtheit‘ des Internetanbieters ermittelt. Auf Antrag des Diensteanbieters erhält dieser nach Überprüfung seiner Identität ein Berechtigungszertifikat von einer staatlichen Stelle, dem Bundesverwaltungsamt. Meldet sich ein Bürger in einem Online-Portal an, wird ihm dieses Zertifikat automatisch übermittelt, bevor der Nutzer seine Daten freigibt. Das Berechtigungszertifikat ist also eine ‚Bescheinigung‘ für den Ausweisinhaber. Sie bestätigt die Echtheit des Anbieters und soll vor ungewollten Manipulationen (z. B. Phishing) schützen. Die Gültigkeit des Zertifikats ist auf zwei Tage beschränkt. Diese kurze Gültigkeitsfrist soll vermeiden, dass Listen mit gesperrten Zertifikaten geführt oder Rückrufaktionen durchgeführt werden müssen.

Im nächsten Schritt beweist der Bürger seine Identität gegenüber dem Diensteanbieter. Die AusweisApp liest die Daten des Nutzers von dessen Ausweis über das Kartenlesegerät aus und sichert die Kommunikation zu einem eID-Server. Der eID-Server soll mit einer Public-Key-Infrastruktur sicherstellen, dass nur Befugte die Ausweisdaten lesen und Bürger den gewünschten Onlinedienst nutzen können. Nach dem Auslesen der Daten entscheidet der Bürger, ob er dem Online-Portal die für diesen Vorgang erforderlichen Daten übermittelt und welche optionalen Daten er zusätzlich versendet. Durch eine persönlich festgelegte (sechsstellige) PIN gibt er die Daten dem Online-Diensteanbieter frei. Die Echtheit der PIN wird dem Chip durch das Sicherheitsprotokoll Password Authenticated Connection Establishment (PACE) bestätigt. Die verschlüsselte Übertragung der ausgewählten Daten bildet den Abschluss des Anmeldeverfahrens.

Mit der AusweisApp ist es möglich, sich über Pseudonyme im Internet zu bewegen. Ist für einen bestimmten Internetdienst nur eine Altersverifikation notwendig (beispielsweise bei Onlinespielen oder Filmportalen), müssen keine personenbezogenen Daten vom Nutzer freigegeben werden. Selbst das Alter wird nicht übermittelt, sondern lediglich die Information, ob der Ausweisinhaber über oder unter dem erforderten Mindestalter ist. Das Pseudonym generiert sich aus einer Zeichenfolge. Diese setzt sich aus der Kennung des Ausweises und einer Kennung zusammen, die der Online-Diensteanbieter liefert. Sie wird dem Diensteanbieter an Stelle des Namens übermittelt, insofern der reale Name keine Relevanz für die Funktionen, z. B. einer webbasierten Plattform, hat. Das Pseudonym garantiert dem Anbieter, dass sich dahinter ein realer Mensch verbirgt, da er seine Identität mit dem Ausweisantrag bereits hinterlegt hat. Es ist durch die Zeichenabfolge so aufgebaut, dass es mathematisch nicht möglich ist, auf die reale Person zurückzurechnen. Jedes Portal generiert automatisch ein neues Pseudonym für einen Nutzer. Die Zusammenführung von Nutzerprofilen mehrerer Websites (Tracking), beispielsweise zur Ermittlung des Kaufverhaltens des Nutzers, soll somit verhindert werden. Nach Aussagen der Befürworter der AusweisApp soll pseudonymisiertes Surfen mit Hilfe der AusweisApp und des neuen Personalausweises oder des elektronischen Aufenthaltstitels ein höheres Maß an Datenschutz bieten.[17]

Mit der AusweisApp bzw. dem Bürgerclient sollen also die bisherigen Nutzungsarten des Personalausweises und des elektronischen Aufenthaltstitels über die des Sichtausweises hinaus hin zu einem umfassenden digitalen Identitätsmanagement im Internet erweitert werden.

Technische Rahmenbedingungen[Bearbeiten]

Mit der am 13. Mai 2011 veröffentlichten Version 1.1 und der am 14. Juni 2011 veröffentlichten neuen Version 1.2 werden die Betriebssysteme Windows XP, Vista und Windows 7 unterstützt.[4] Seit dem 16. Juni 2011 unterstützt die AusweisApp Linux für die Distributionen Debian und Ubuntu.[18] Die Linux-Distribution openSUSE wird seit dem 16. August 2011 von der AusweisApp unterstützt.[4] Mit der Version 1.4, die am 16. September 2011 veröffentlicht wurde, unterstützt die AusweisApp auch den elektronischen Aufenthaltstitel, der seit Anfang September 2011 ausgegeben wird.[19] Ab der Version 1.10 wird auch Windows 8 unterstützt.[20]

Am 27. Februar 2012 wurde die Version für Mac OS X 10.6 und 10.7 bereitgestellt. Die Unterstützung für 10.8 wurde ursprünglich zum Oktober 2012[21] angekündigt, später auf November verschoben und ist am 3. Dezember 2012 noch nicht verfügbar. Die AusweisApp unterstützt lediglich Firefox als Browser, nicht jedoch Safari.

Geeignete Internet-Browser zur Nutzung der Online-Ausweisfunktion sind unter Windows der Internet Explorer ab Version 6 (32-Bit), Mozilla Firefox Version 17 (seit Dezember 13 nicht mehr von Mozilla unterstützt[22]) sowie der Iceweasel Browser ab Version 3 (unter Debian Linux).[23] Das BSI weist in seiner FAQ darauf hin, dass derzeit nur die Version 17 des Mozilla Firefox unterstützt wird.[23] Alternativ wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für Unternehmen, Behörden, Universitäten sowie Anwender, die auf die rasche Einführung von Neuerungen verzichten können, die ESR-Version von Firefox zur sicheren Nutzung empfohlen. Diese soll auch langfristig von der AusweisApp unterstützt werden.[24] Der Einsatz von Firefox in anderen Versionen wird vom BSI derzeit nicht thematisiert. Nach § 27 Absatz 3 Personalausweisgesetz (PAuswG) hat dies eigentlich zur Konsequenz, dass diese Versionen selbst wenn die AusweisApp funktionieren würde nicht genutzt werden dürften: "Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden." Eine Sicherheitsbewertung des BSI für Firefox ab Version 11 ist nicht veröffentlicht worden. Eine dauerhafte Nutzungsmöglichkeit des neuen Personalausweises ist derzeit mit aktuellen Firefox-Versionen nicht sichergestellt.

Eine Reihe von Kartenlesegeräten wurde auf ihre Funktionstüchtigkeit im Zusammenhang mit dem neuen Personalausweis und der AusweisApp getestet. Diese Liste der von der AusweisApp unterstützten Kartenlesegeräten ist auf dem offiziellen AusweisApp-Portal einsehbar.[25]

Des Weiteren werden Bildschirmleseprogramme (Screenreader) wie JAWS und NVDA unterstützt, um mehr Barrierefreiheit zu erreichen.[26]

Sicherheitslücken[Bearbeiten]

Am 9. November 2010 stellte sich heraus, dass bei der Version 1.0.1 der AusweisApp aufgrund zweier Fehler in der Auto-Update-Funktion theoretisch durch einen Angreifer Schadsoftware auf den Computer des Nutzers geladen werden kann.[27] Das Bundesamt für Sicherheit in der Informationstechnik kündigte darauf hin eine neue Version der AusweisApp an.[28] Das Herunterladen wurde bis Anfang Januar 2011 deaktiviert,[5] bis die neue Version des Programmes zur Verfügung stand.[29] Am 18. Januar 2011 wurde bereits die Version 1.7 für Windows veröffentlicht.

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. a b Artikel von OpenLimit – Neues Bürgerclient-Update an BMI übergeben
  2. Detlef Borchers: AusweisApp für Linux ist da. heise.de. Abgerufen am 20. Juni 2011.
  3. a b c OpenLimit: AusweisApp. Abgerufen am 28. Februar 2012
  4. a b c d AusweisApp-Portal: Downloadseite der AusweisApp – Stand: 18. August 2011
  5. a b Sebastian Weßling et al.: Offline - BSI sperrt Download der Personalausweis-App. Spiegel Online, 10. November 2010. Abgerufen am 12. November 2010.
  6. BSI: Teilnehmer des Anwendungstests zum neuen Personalausweis erhalten Vorabversion der AusweisApp. Abgerufen am 3. Dezember 2010.
  7. Artikel im Behörden-Spiegel – Bund vergibt Bürger-Client
  8. Elektronischer Personalausweis: Bürger-Client auf dem Weg zum Nutzer bei www.heise.de
  9. Montega AG - Equity Research: Montega OpenLimit Studie, 23. April 2010 S. 11. (pdf). Abgerufen am 12. November 2010.
  10. OpenLimit: Halbjahresbericht 2010 (PDF; 2,4 MB). Abgerufen am 12. November 2010.
  11. BSI: Produkte, die sich in Evaluierung / Bestätigung befinden, Abgerufen am 12. November 2010.
  12. heise online: Elektronischer Personalausweis: Neue AusweisApp kommt in Kürze. Abgerufen am 12. November 2010.
  13. heise security: AusweisApp zum neuen Personalausweis ausgeliefert. Abgerufen am 12. November 2010.
  14. Studie: Nutzbarkeit und Akzeptanz der Software AusweisApp zur Nutzung des neuen Personalausweises (Volltext). personalausweisportal.de. 18. Oktober 2010. Abgerufen am 21. Juni 2013.
  15. Behörden Spiegel: Bürgerclient heißt jetzt AusweisApp. Abgerufen am 12. November 2010.
  16. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatTechnische Richtlinie eCard-API-Framework. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 9. Januar 2010.
  17. Andreas Reisen: Ein Personalausweis für die reale und die elektronische Welt. In: Innovative Verwaltung, 3/2009. Archiviert vom Original am 1. April 2010, abgerufen am 21. Juni 2013.
  18. Neuer Personalausweis fit für Linux – Artikel bei OpenLimit, vom 16. Juni 2011
  19. Artikel von OpenLimit – AusweisApp 1.4 unterstützt elektronischen Aufenthaltstitel
  20. Versionshistorie AusweisApp für Windows
  21. Betriebssysteme. AusweisApp-Portal. Abgerufen am 21. Juni 2013.
  22. Mozilla Firefox ESR-Übersicht - Stand: 13. Januar 2014
  23. a b Welche Browser werden durch die AusweisApp unterstützt? – Stand: 5. Mai 2012
  24. Service FAQ - Browser. AusweisApp-Portal. Abgerufen am 21. Juni 2013., Bezugsquelle: ESR-Firefox
  25. AusweisApp-Portal: Geeignete Kartenleser – Stand: 18. August 2011
  26. Neue Version der AusweisApp erschienen – Artikel bei Heise online, vom 13. Mai 2011
  27. Jan Schejbal: AusweisApp gehackt (Malware über Autoupdate)
  28. Pressemitteilung BSI: Neue Version der AusweisApp wird in Kürze bereitgestellt, 10. November 2010. Abgerufen 10. November 2010.
  29. heise online: Elektronischer Personalausweis: AusweisApp für Windows ist da