Von:                                      BE:                Auftrag von Referat 21 Postfach Gesendet:                                   Freitag, 1. Oktober 2021 17:31 An:                                         Registratur Postfach Cc:                                        Abteilung2 Postfach; Pressestelle Postfach; Leitungsstab Postfach Betreff:                                   Anfrage BfDI zu dpa-Meldung von heute, Donnerstag, d. 30.09.2021; Bitte um Stellungnahme 1. Reg., bitte unter 21-506/043#0152 in VIS erfassen. 2.cc. an Pressestelle. 3. cc. an Leitungsstab. +. TE Mit freundlichen Grüßen i.V. -- Ursprüngliche Nachricht----- Vor:                                     5x. bunc.ce1 Gesendet: Freitag, 1. Oktober 2021 16:31 Ar:                                >. >und.e> Cc: Referat 21 Postfach <REFERAT21@bfdi.bund.de>;         'DV2@bmi.bund.de' <DV2@bmi.bund.de>;       ref623 <ref623@bk.bund.de>;                                          5x. vund.de> Betreff: AW: Anfrage BfDI zu dpa-Meldung von heute, Donnerstag, d. 30.09.2021; Bitte um Stellungnahme auf Ihre Fragen teile ich Folgendes mit: Gab es eine Sicherheitslücke in App und oder Verifikationsinfrastruktur? Nach derzeitigem Kenntnisstand sind keine erfolgreichen Angriffe auf die App ID Wallet und/oder die Verifikationsinfrastruktur bekannt. D.h. insbesondere, es wurden keine Identitätsdaten gestohlen. Grundlegende Sicherheitsfunktionen wie die Gerätebindung von Nachweisen wurden mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt. Gemäß dem offengelegten Quellcode können unabhängige Prüfungen von Sicherheitsforschenden durchgeführt werden. Evtl. Schwachstellenmeldungen werden umgehend analysiert und mit der entsprechenden Priorisierung adressiert. Durch die relativ hohe Nachfrage nach der ID Wallet App und damit verbundene hohe Last auf dem System (bis 28.09. knapp 300.000 Downloads) haben sich unerwartete Lastspitzen ergeben, die die Nutzung der ID Wallet App 1

beeinträchtigt haben. Außerdem hat der Start der App viel Aufmerksamkeit von Nutzerinnen und Nutzern erhalten, die sich intensiv mit Sicherheits- und Vertrauensfragen befassen. Ihre Hinweise begrüßen wir ausdrücklich. Wir gehen ihnen in der Vorbereitung des nächsten Releases nach. In dieser Zeit werden auch umfangreiche weitere Tests durchgeführt. Der Re-Launch der ID Wallet in einigen Wochen mit verbesserter Performance wird vorbereitet.. Der genaue Zeitpunkt des Relaunchs von Version 2.0 wird noch in den nächsten Tagen geprüft. Sobald wir hier genaueres wissen, werden wir Sie schnellstmöglich informieren. Ist es möglich durch Austauschen der QR-Codes - beispielsweise an Hotel Rezeptionen - an verifizierte Identitätsinformationen zu gelangen ohne, dass die Nutzenden und Verifizierenden dies bemerken? Ein Abfangen der Daten benötigt *bei Verbindungsaufbau über QR-Code den Austausch des QR-Codes, dies ist bei einem gedruckten QOR-Code nur durch physische Anwesenheit und Austausch, oder bei einer Einbindung auf einer Website durch Zugriff auf interne Systeme (Webserver) der Verifizierenden möglich. Allerdings würde dies sofort auffallen, da der Verifizierende die Daten des Nutzenden nicht erhalten würde und entsprechende Services - beispielsweise der Hotel Check-In — nicht für die Nutzenden ermöglicht werden. *bei Verbindungsaufbau über deinen Deeplink den Zugriff auf interne Systeme (Webserver) der Verifizierenden. Dies ist konkret beim ersten Anwendungsfall „Hotel-Check-In“, welcher in einem kontrollierten und begrenzten Rahmen stattfindet, nur durch physische Anwesenheit oder Zugriff auf interne Systeme der Verifizierenden möglich. Für den Hotel Check-In haben wir hier in Abstimmung mit dem BSI zusätzliche organisatorische Maßnahmen ergriffen, um das Risiko für diese Art von Missbrauch zu vermeiden bzw. auf ein sehr geringes Maß zu reduzieren. Nun gab es Hinweise aus dem Netz und der CCC-nahen Community, dass ein         solches Angriffsszenario, anders als beim Hotel-Check-In, mit dem öffentlichen Launch der ID Wallet am 23.9 für    „Fake Anwendungsfälle“ durchaus möglich sei. Für diese Hinweise sind wir sehr dankbar. Wir prüfen sie gerade  und werden für die nächste Version die notwendigen Schlüsse daraus ziehen. Im Sinne unserer agilen und auch hoch      dynamischen Vorgehensweise sind das auch Hinweise, die wir uns erhoffen und welche wir auch in Zukunft dankbar     aufnehmen werden. Klarstellend aber noch einmal der Hinweis, dass es nach unserem aktuellen Kenntnisstand nicht zu einer erfolgreichen Attacke gekommen ist und keine dem entsprechenden Daten abgeflossen sind. Details wie folgt: Heute schon zeigen wir dabei die Service-URL an. Geplant ist darüber hinaus das Vorhandsein und die Gültigkeit des URL-Zertifikats dem Endanwender anzuzeigen. In der App wird eine zusätzliche Funktion eingebaut, welche dem Nutzer im Falle eines fehlenden Zertifikats oder einer gescheiterten Zertifikatsprüfung einen Warnhinweis gibt, dass der dem Verifizierer (also dem Abfrager seiner Daten) nicht trauen kann (analog der Warnung bei nicht verschlüsselten http-Webseiten sowie Webseiten mit nicht-gültigem Zertifikat).

Dieses Vorgehen ist für die Startphase der Pilotprojekte vorgesehen. Die bereits geplante Weiterentwicklung sieht vor, keine connection-less Datenfreigaben mehr zu unterstützen. Die Verbindung wird über einen durch das Backend des Verifizierers dynamisch erzeugten QR-Code aufgebaut, so dass der der oben beschriebene Fall auch theoretisch nicht mehr auftreten kann, außer bei Kompromittierung des Backends des Verfizierers. Eine Kontrolle der Identitätsdaten erfolgt immer mit gleichzeitiger Überprüfung, dass diese auch vom Aussteller stammen und unverändert sind. Dies bedeutet, dass Identifizierungsnachweise - die nicht wie bei der Basis-ID durch die Bundesdruckerei oder wie bei dem Führerscheinnachweis durch das Kraftfahrt-Bundesamt ausgestellt wurden — nicht vom Verifizierenden akzeptiert werden. Besteht die Gefahr von Identitätsdiebstahl, wenn verifizierte Daten in die falschen Hände geraten? Bei Verifizierungsvorgängen wird generell nur ein Datensatz mit Identitätsdaten weitergegeben. Der Nachweis an sich (Credential) wird nicht übermittelt. Daher sind diese Daten für Missbrauch im Sinne von Identitätsdiebstahl nicht verwertbar. Des Weiteren sind die Basis-ID sowie der digitale Führerschein gerätegebundene Nachweise, so dass sie ausschließlich auf dem Gerät verwendet werden können, für das sie ausgestellt wurden. Mit freundlichen Grüßen > ::::1e: Staat Bundeskanzleramt Dienstsitz: Dorotheenstr. 84 10117 Berlin Te1.: Mobil: ME Email:                                               eo «.un<.ce> 3

-- Ursprüngliche Nachricht----- Vor: EEE                                1c.0unc.cc> Gesendet: Donnerstag, 30. September 2021 16:00 An: ref623 <ref623@bk.bund.de> Cc: Referat 21 Postfach <REFERAT21@bfdi.bund.de>;      'DV2@bmi.bund.de' <DV2@bmi.bund.de> Betreff: AW: Anfrage BfDI zu dpa-Meldung von heute, Donnerstag, d. 30.09.2021; Bitte um Stellungnahme 21-506/043#0152 Sehr geehrte Damen und Herren, meine unten stehende Bitte um Stellungnahme zur ID-Wallet möchte ich ergänzen. In der Berichterstattung der Presse finden sich Konkretisierungen zu möglichen Schwachstellen des ID-Wallet- System. So berichtet Heise Online (https://www.heise.de/news/Digitaler-Fuehrerschein-hatte-keinen-Schutz-vor- Identitaetsdiebstahl-6204574.html) von einem konkreten Angriffskonzept und benennt die Gefahr von Identitätsdiebstahl. Ich bitte Sie eine Einschätzung des dort dargestellten Sachverhalts und des benannten Gefahrenpotential  Ihrer Stellungnahme hinzuzufügen. Mit freundlichen Grüßen Im Auftrag Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit -Referat 21 - Projekte der angewandten Informatik, Telematik- Graurheindorfer Straße 153, 53117 Bonn 4