Es gibt da ein “Kompetenzzentrum neuer Personalausweis” (ccepa.de):

Die Wissens- und Kommunikationsplattform ist zentrale Anlaufstelle für alle Beteiligten am Anwendungstest und stellt aktuelle Informationen zum neuen Personalausweis bereit. Diese umfassen neben speziellen Informationen für die Anbieter, die bereits am zentral koordinierten Anwendungstest teilnehmen, vor allem Informationen zu Bürgerclient, eID-Server und technische Hintergründe zum neuen Personalausweis.

Wirklich spannend ist die Seite nicht, allerdings sollten die Jungs vom Fraunhofer-Institut für Offene Kommunikationssysteme (fokus.fraunhofer.de) etwas Humor haben, denn ich konnte es natürlich mal wieder nicht lassen an der URmeL rumzufingern. Wenn so viele Parameter mich anlachen, dann kann ich einfach nicht anders. ;O)

Neben dem “Humor” findet man noch andere Unterpunkte im System, die schon die E-Commerce-Features des neuen Persos betreffen?!

Aber nachdem ich das hier gesehen habe…

keine Ahnung was man davon halten soll?!

Aber diese Unterpunkte sehen dann schon wieder nach etwas vertrautem aus:

Wenn ich das richtig sehe, wird einfach die Software “Liferay Social Office” (liferay.com) eingesetzt und diese sonderbaren Unterpunkte die ich gefunden habe, sind wohl einfach nur Bestandteil der Software.


Was nun aber von der Sicherheit – und darum geht es mir ja meist – nicht so prickelnd ist, ist zum einen die Möglichkeit, dass man von allen im System angemeldeten Usern den Namen inkl. der E-Mail-Adresse ermitteln kann.

Und… ich schmeiß mich wech… :O)

Die Systemmenschen, die sich selber als Redakteur, Autor, Moderator, Dienstanbieter, etc. registriert haben, haben als E-Mail-Adresse zeuch@localhost.de benutzt. localhost kenne ich ja, als DB-Server z.B., aber als E-Mail-Adresse mit de-Endung?!

Wenn die Domain localhost.de nicht schon seit Jahren vergeben wäre, dann hätte ich die doch glatt registriert, nur um mir dann per Passworterinnerung die Zugangsdaten zusenden zu lassen. ;O)


Bei meinem Test habe ich dann auch eine Dokumentenverwaltung gefunden, über die die Testteilnehmer Infos austauschen können. Ein Dokument, ein PDF, kann man direkt in der Suche finden und auch herunterladen. Man findet allerdings auch weitere Links zu Dokumenten, die man als nicht angemeldeter User nicht runterladen kann können sollte.

In der Liferay-Software werden die Downloads nicht per direktem Link zu dem Dokument angeboten, sondern über eine Ordner- und eine Dokument-ID, was man üblicherweise benutzt, um zum Beispiel zu gewährleisten, dass nur autorisierte User auf ein Dokument zugreifen können.

Wenn ich mir nun den Link des downloadbaren PDFs genauer anschaue und dort die IDs eines der nicht downloadbaren Dokumente einfüge… na? wir ahnen es schon… Ja, auch diese Dokumente lassen sich runterladen. Das man an Dokumente gelangen kann die nur für autorisierte User zugänglich sein sollten ist ein sehr dummer Fehler in der Software.

Zur Zeit findet man nur technische Richtlinien des BSI, die man auch auf der BSI-Seite selber finden kann, also auch nichts spannendes… bis auf… :O) Ich fand auch eine Excel-Tabelle mit den Bugs im Bürger-Client. Diese Tabelle ist noch fast leer, es handelt sich dabei wohl nur ein Testdokument, denn ich glaube nicht, das der Client nur vier Bugs hat. ;O)


So wie die Website aussieht, wird sie nur benutzt um meist technische Infos zu dem RFID-Perso-Test zwischen den Testteilnehmern auszutauschen. Für die Betroffenen der neuen technischen Errungenschaften gibt es dort sehr wenige Infos. Meine erste Frage wäre nämlich: Wie kann ich dem Chip das unkontrollierte Funken abgewöhnen? Aber dazu gibt es von kompetenter Stelle eine Info: “RFID-Zapper” (events.ccc.de)

Ich bin schon sehr gespannt auf die ersten Testergebnisse des CCC, wenn sie den echten, ab November ausgegebenen, neuen Perso auseinander nehmen. Zur 27C3 werden wir wohl damit rechnen können: “Elektronische IDs und Personalausweise nicht nur für Drachen” (heise.de)


Update: 22.01.2010 – 12:00 Uhr

Wer gerade versucht die ccepa.de aufzurufen, der wird bemerken das die Seite offline ist. Evtl. die Folge meiner Hinweise an die Verantwortlichen dort?


Update: 26.01.2010 – 14:20 Uhr

ccepa.de ist wieder online, allerdings nur als statische MSIE-HTML-Kopie der vorherigen Seiten. Auf die Schnelle war wohl nicht mehr möglich.