ID-Wallet: Unterlagen zur Prüfung bzw. Freigabe der Apps
1. Schriftverkehr (E-Mails, Briefe, Fax, etc.) zur Abnahme, Freigabe und Veröffentlichung der Apps bzw. deren unmittelbare Vorbereitung
2. Welche Prüfungen haben vor der Veröffentlichung stattgefunden (IT-Sicherheit, Einhaltung datenschutzrechtlicher Vorschriften, Funktions-, Last-, Penetrationstests, etc.)? Wer hat diese durchgeführt? Liegen Ihnen die für die jeweiligen Prüfungen eingereichten Unterlagen sowie die Prüfberichte vor?
Ergebnis der Anfrage
Dem BMI liegen Dokumente zum letzten Release der ID Wallet zum "Digitalen Führerschein" nicht vor, da die Beauftragung für die technische Umsetzung an die Digital Enabling GmbH vom Bundeskanzleramt erfolgte.
Es gab allerdings eine Vorversion der ID Wallet, nämlich für den Anwendungsfall des "Digitalen Hotel Check-in".
Zu dieser Version hat das BMI sowohl den Bericht des BSI als auch die Zusammenfassung der Ergebnisse eines Penetrationstests übersandt.
Der Bericht des BSI stellt einige schwerwiegende Mängel des Verfahrens heraus (Blockchain vs. PKI, Sicherheit der verwendeten Bestandteile und Algorithmen, auch gegenüber dem Sicherheitsniveau des Personalausweises). Zitat aus dem Bericht des BSI: "Von der Verwendung des SSI-Piloten im gegenwärtigen Zustand über denaktuellen Piloten hinaus wird seitens des BSI abgeraten."
In der Zusammenfassung des Penetrationstests wird u.a. auf die Schwachstelle hingewiesen, dass für Nutzer der ID-Wallet nicht ersichtlich ist, wem gegenüber sie sich identifizieren, da keine Verifikation der Hotel-Endpunkte erfolgt.
Anfrage eingeschlafen
-
Datum27. September 2021
-
29. Oktober 2021
-
28 Follower:innen

Ihre Spende für die Plattform
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Ihre Spende macht es uns möglich, die Plattform am Laufen zu halten und weiterzuentwickeln.
Zur Klarstellung habe ich die Zusammenfassung der Antwort aktualisiert, sodass Sie den Wortlaut des Anschreibens vom BMI enthält. Meine persönliche Zusammenfassung habe ich unter "Ergebnis der Anfrage" vermerkt.