BSI-Dokumente zeigen: Mängel der ID-Wallet-App waren bereits vor dem Launch bekannt

Die ID-Wallet-App flog nach wenigen Tagen aus den App-Stores. (Grafik: Digital Enabling)
Am Donnerstag, dem 22. September, gab der Bundesminister für Verkehr und digitale Infrastruktur, Andreas Scheuer, die Einführung des digitalen Führerscheins bekannt. Gespeichert werde das digitale Ausweisdokument in einer App namens ID-Wallet, die künftig als eine Art digitale Brieftasche dienen sollte. Wenige Tage später flog die App allerdings aus den App-Stores. Der Grund: Sicherheitslücken in der Infrastruktur der App.
Jetzt wurden Dokumente öffentlich, aus denen ersichtlich wird, dass das Bundesministerium für Sicherheit in der Informationstechnik (BSI) bereits vor der Veröffentlichung ebenfalls tiefgreifende Sicherheitsmängel in der App feststellte.
Was ist Frag den Staat?
In einer Anfrage über die von der Open Knowledge Foundation Deutschland e. V. getragenen Plattform Frag den Staat wurde am 27. September eine Anfrage an das BMI auf Grundlage des Informationsfreiheitsgesetz gestellt.
Via Frag den Staat können Bürger:innen Informationen bei öffentlichen Stellen anfragen, zum Beispiel über Verträge einer Stadt mit Unternehmen, die Terminkalender von Minister:innen oder den Briefverkehr innerhalb oder außerhalb einer Behörde.
Umfangreiche Anfrage an das BMI
Erfragt wurden Schriftverkehr zur Abnahme, Freigabe und Veröffentlichung der App und Informationen über durchgeführte Prüfungen in puncto IT-Sicherheit und die Einhaltung datenschutzrechtlicher Vorschriften. Auch nach der Durchführung von Funktions-, Last- und sogenannter Penetrationstests wurde gefragt.
Aus der Antwort des BMI geht hervor, dass dem BMI sowohl Ergebnisse eines Penetrationtests, als auch ein Bericht des BSI zur Vorversion der ID-Wallet vorlagen. Schriftverkehr zur Abnahme, Freigabe oder Veröffentlichung der App wurde nicht offengelegt, da die Beauftragung zur technischen Umsetzung der App nicht durch das BMI, sondern durch das Bundeskanzleramt erfolgt war.
Mängel, die sich offenbar auch in der veröffentlichten Version fanden
Im Bericht des BSI zur Vorversion der ID-Wallet zum Hotel-Check-in sowie im Bericht zum Penetrationtest werden Mängel hervorgehoben, die auch Sicherheitsforscher:innen bemängelt hatten, die die ID-Wallet-App nach deren Veröffentlichung genauer untersucht hatten.
Zur Prüfung des Digitalen Führerscheins hatte der Behörde zu einem späteren Zeitpunkt nur die Dokumentation zur Prüfung vorgelegen.
Auf Twitter äußerte die Sicherheitsforscherin Lilith Wittmann die Hoffnung, dass das Projekt damit endgültig beendet sei.