Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die aufgedeckte Sicherheitslücke der AusweisApp reagiert, mit der der neue elektronische Personalausweis auf einem PC abgefragt werden kann. In Zusammenarbeit mit den an der Softwareentwicklung beteiligten Firmen Siemens IT Solutions & Services GmbH sowie dem Subunternehmer OpenLimit SignCubes AG soll in Kürze eine neue Version der AusweisApp bereitgestellt werden. Ausweisbesitzer, die bereits die AusweisApp heruntergeladen haben, werden ausdrücklich aufgefordert, nicht die Update-Funktion dieser Software zu benutzen: Die aufgedeckte Sicherheitslücke betrifft genau die Update-Funktion. Ausnahmslos alle Nutzer der Software müssen eine Neuinstallation durchführen.

In der ausführlichen Stellungnahme des BSI wird die Lücke bestätigt, die der IT-Fachmann Jan Scheijbal von der Piratenpartei Deutschland entdeckt hat und die in den Tests von heise online nachvollzogen werden konnte. Einschränkend wird in der Stellungnahme des BSI von einer "theoretischen Möglichkeit" gesprochen, nicht von einem Fehler mit durchaus praktischen Konsequenzen: "Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen." Als theoretische Möglichkeiten werden in der Security-Welt die Probleme angesehen, wenn eine kryptographische Schwäche die Komplexität einer Sicherheits-Software verringert. Handwerkliche Programmierfehler fallen nicht unter diesen Begriff.

In den Worten des BSI wird die Lücke so dargestellt: "Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die Verwendung der AusweisApp selbst, sondern auf die automatische Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens download.ausweisapp.bund.de zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren."