Menü

Rechnungshof rügt BSI für AusweisApp-Schlamperei

vorlesen Drucken Kommentare lesen 47 Beiträge

In einer Bemerkung zum Jahresbericht 2012 kritisiert der Bundesrechnungshof das Bundesamt für Sicherheit in der Informationstechnik (BSI). Er moniert darin den Status der fast 2,5 Jahre alten AusweisApp, deren Entwicklung 4,2 Millionen Euro verschlungen habe. Dennoch habe das BSI diese Software noch nicht als sicher zertifiziert.

Die Java-nutzende AusweisApp ist notwendig, um die elektronische Identifikation (eID) des (nicht mehr ganz) neuen Personalausweises zur Online-Anmeldung bei Behörden und Firmen zu nutzen. Die eID-Funktion wird durch die Personalausweisverordnung gesetzlich geregelt. Dort heißt es unter "Voraussetzungen für die Nutzung bei dem Ausweisinhaber": "Software zur Nutzung des elektronischen Identitätsnachweises, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden ist."

Das BSI stellt die AusweisApp selbst zum Download bereit. Der Rechnungshof rügt besonders, dass der Bürger dabei nicht über die fehlende Zertifizierung und die daraus resultierenden rechtlichen Folgen informiert werde. Nach Einschätzung des Rechnungshofs kann die fehlende Zertifizierung zu "Haftungsrisiken bei den Ausweisinhabern führen."

Das Bundesinnenministerium hatte laut Rechnungshof Mitte 2012 mitgeteilt, die Zertifizierung werde nach Angaben des Auftragnehmers (Anm. d. Red.: das BSI vergibt solche Prüfungen nach außen) bis Ende 2012 abgeschlossen sein. Die schnelle Abfolge von Versionswechseln bei Internet-Browsern habe zu Verzögerungen bei der Zertifizierung geführt. Das BSI habe aber vor der Veröffentlichung neuer Software umfangreiche Test- und Analysemaßnahmen zur Qualitätssicherung und Sicherheitsbewertung durchgeführt. Das ist glaubhaft, schließlich war die Veröffentlichung der ersten Version am 8. November 2010 aufgrund einer Sicherheitslücke in der Update-Funktion gründlich in die Hose gegangen.

In einer weiteren Stellungnahme im Januar 2013 habe das Innenministerium dann abweichend festgestellt, dass von der in der Personalausweisverordnung ausgeführten Pflicht zur Zertifizierung in besonders atypischen Fällen abgewichen werden könne. Die AusweisApp sei ein solcher atypischer Fall, da das BSI bei der Entwicklung der Software bereits alle Kriterien für eine Zertifizierung berücksichtigt habe.

Diese Argumentation hinkt allerdings gewaltig, da nicht das BSI, sondern die Open Limit Signcubes AG Hersteller der AusweisApp ist. Der Rechnungshof hält es jedenfalls auch nach dieser Ausrede "für nicht akzeptabel, dass die rechtlichen Anforderungen zur Software für den neuen Personalausweis und die vom Bundesinnenministerium hierfür geschaffenen Rahmenbedingungen auseinanderfallen", und "bekräftigt seine Forderung, dass das Bundesamt die Zertifizierung für den elektronischen Identitätsnachweis unverzüglich erstellt." (ad)