Der (alte) Personalausweis ist sicher
Dienstag, 24. August 2010, 18:21 Uhr | Autor: ich
“Elektronischer Personalausweis: Sicherheitsdefizite bei Lesegeräten” (heise.de)
Hier nur das Update welches Heise nachgeschoben hat:
Jens Bender vom BSI wies die Kritik an der Sicherheit der neuen Personalausweise zurück. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen “ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort.”
Ich vergebe für verschiedene Internetdienste auch verschiedene Zugangsdaten. Hätte ich mit dem ePerso einen Sicherheitsgewinn, bei dem es nur eine 6stellige PIN für alle von mir genutzten Dienste gibt?
Ein Basisleser sei für die Online-Authentifizierung in Ordnung. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software,
Welche Software muss denn immer aktualisiert werden? Alles! Und dies bedeutet das Otto-Normal-User immer vor der Benutzung irgendwelcher Programme Updates durchführen muss. Das Betriebssystem und, daran denken viel PC-Benutzer nicht, auch die Anwendungssoftware muss immer upgedatet werden. Zum Teil gibt es von nur einem Hersteller mehrere Updates pro Woche. Macht dies wirklich jeder PC-Benutzer oder werden sie es zumindest in Zukunft tun?
die Einrichtung einer Firewall
Das ist doch das Dingsbums was Otto Normal gerne ganz deaktiviert, weil es ihn immer blockiert und nicht arbeiten lässt?! “Ist ja noch nie was passiert, obwohl es abgeschaltet ist.”
und einen aktuellen Virenschutz.
Vor neuer und noch unbekannter Schadsoftware, und neue Variationen davon gibt es täglich unzählige, kann ein Scanner nicht schützen.
Denkbar sei ein klassischer Trojaner-Angriff, bei dem die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. Damit habe man als Angreifer aber noch keinen direkten Zugriff auf die persönlichen Daten. Diese würden nur verschlüsselt übertragen.
Hier stimme ich Herrn Bender zu, es sei denn, es gibt eine Möglichkeit eine Kopie des ePerso anzufertigen, wobei nur der Chip bzw. deren Daten auf eine leere Karte kopiert werden müssten. Ob dies möglich ist weiß ich nicht, aber gänzlich ausschließen möchte ich es nicht.
Letztendlich liegt die Verantwortung für die Aufrechterhaltung der sicheren Nutzung des neuen Personalausweises bei dem PC-Benutzer selber. Wer heute schon sorgfältig mit seinen Daten und seinen Passworten umgeht und sein System ständig aktualisiert, der wird vermutlich auch mit den Funktionen des ePerso sorgfältig umgehen. Aber ist dies die Mehrheit der PC-Benutzer?
Am meisten Bauchweh bereitet mir der Chip auf dem ePerso.
“Das sicherste Dokument auf dem Planeten” (heise.de)
Hergestellt werden die sogenannten SmartMX-Chips, die sich per Near Field Communication (NFC) kontaktlos auslesen lassen, (…)
Gespeichert werden auf dem Chip Passbild, Name, Vorname, Geburtsdatum, Nationalität, Geburtsort und Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke hinterlegt werden.
Auch wenn bei der “Near Field Communication” (de.wikipedia.org) nur eine “Reichweite von nur 10 Zentimetern” erreicht wird — ein ungutes Gefühl bleibt.
Könnte man einen Metalldetektor (oder Fake, welcher nur so aussieht) der von Security-Leuten am Flughafen oder bei großen Veranstaltungen benutzt wird, so umfunktionieren das er die Daten auslesen kann?
- Wer die eID-Funktion, also das elektronische Identifizieren per Lesegerät, nicht nutzt, der hat keinen Vorteil vom ePerso.
- Wer die eID-Funktion nutzt, der sollte gut auf seinen ePerso aufpassen. Bisher war der Verlust des Persos, egal ob gestohlen oder verloren, eher lästig — neue Bilder machen, zum Amt rennen, vorläufigen Perso abholen, x Wochen warten, zum Amt rennen, neuen Perso abholen — denn gefährlich. Mit den neuen Funktionen könnte der ePerso ein begehrtes Objekt für Kriminelle werden.
Wenn ich am Geldautomaten warten muss weil ein anderer Kunde vor mir an der Reihe ist und der schaut auf einen kleinen Zettel, gerne auch gelben Post-It der vorher auf der Karte selber klebte, da muss ich immer an den ePerso denken und dass sich der gleiche Mensch nun bald noch eine 6stellige Zahl merken/aufschreiben soll. :O)
Nur kurz nach der Einführung des ePersos wird es die ersten Missbrauchsfälle geben, bei denen der echte Besitzer vor dem Problem stehen wird: “Ich war das nicht! Wirklich wirklich nicht!” und dann wird es richtig knifflig für ihn, dies zu beweisen.
Der Otto Normal, der heute Probleme mit Notebook, Handy & Co., dem verzwickten Internet, Spam, Malware und Phishing hat, der wird auch mit dem ePerso nicht glücklicher werden, aber vor allem gläserner und angreifbarer.
Die Einführung des ePerso ist eine rein politische Entscheidung (inkl. etwas Wirtschaftsförderung), die die Gegebenheiten der realen Gesellschaft ignoriert. Nach wie vor glaube ich dass das BSI es eigentlich besser weiß und auch weiß dass dieser Schritt noch viel zu früh für die meisten Bürger kommt.
Computer und Internet haben die Gesellschaft zwar durchdrungen und viele nutzen die Technik auch täglich. Aber ist Otto Normal schon sicher in der Benutzung der Technik? Warum ist Phishing noch immer ein Problem? Warum fallen täglich Surfer auf Abofallen rein? Wie kann es sein dass die Command-and-Control-Server auch Millionen von deutschen Computern in ihrem Botnetz missbrauchen können?
Liebe Politiker, denkt mal ein paar Jahre zurück. Viele von euch haben doch ernsthaft geglaubt, dass das Internet irgendwie wieder weggehen würde. Und heute, bzw. ab 1. November, wollt Ihr jedem Bürger etwas in die Hand drücken, womit die meisten überfordert sind?
Gebt der Gesellschaft noch etwas Zeit zum lernen — sie sind noch nicht so weit!
So wie ihm geht es vielen, auch wenn sie es nicht zugeben mögen. :O)
Update: 21:29 Uhr
Über “Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite?” (heise.de) stieß ich auf “Übersicht: Der elektronische Personalausweis – neue Pflichten und Regeln” (ferner.ac) und auf die
§ 27 – Pflichten des Ausweisinhabers
(…)
(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.
Quelle: http://dipbt.bundestag.de/dip21/btd/16/104/1610489.pdf
Da muss sich der ePerso-Besitzer also beim BSI informieren was Stand der Technik ist und was dieses als “für diesen Einsatzzweck sicher bewertet”!? Das sollte man dem Bürger aber sagen, bevor er sich in die Pflicht nehmen lässt.
Wer sich die Warnmeldungen auf cert-bund.de anschaut… naja… wer kein Nerd ist… “Oh Gott, hab ich so ein TYPO3 auf meinem Notebook? Und bei dem Linux ist die Lebenszeit abgelaufen! Ohgottogottogott, was mach ich nur??”
Wer nun glaubt das bsi-fuer-buerger.de eher für Otto Normal geeignet wäre… auch nicht so wirklich. Die Meldungen können nur per E-Mail abonniert werden und die Infos die verschickt werden sind oftmals mehrere Tage alt, manchmal auch mehr als eine Woche. Da frische Sicherheitslücken epidemisch ausgenutzt werden, ist natürlich schnelles Handeln angesagt.
Ich fürchte: Das kann ja nur in die Hose gehen!
Mittwoch, 25. August 2010, 9:32 Uhr
Hi Michl,
hast Du den +/- Beitrag gestern gesehen?
Du schlägst ja teilweise in die selbe Kerbe.
Aber um ehrlich zu sein: Der Beitrag war dünnbrettiger Blödsinn.
Einen Trojaner/Keylogger aufm Rechner installieren und dann behaupten, das mache den EPA unsicher ist schon so sinnvoll wie eine Wanze in einem Zimmer installieren und das als Beweis dafür nehmen, dass ein bestimmtes Handy nicht sicher wäre, weil man ja abgehört werden kann, wenn man in diesem Zimmer mit dem Handy telefoniert.
Also die Argumentation ist nun völlig am Thema vorbei.
Das einzige, was man dem BMI und BSI anlaßten kann, ist, dass sie ggf. in der selbstsicheren (haha) Kommunikation es so darstellen, als sei der EPA für sich genommen so sicher, dass es keine weiteren Sicherheitsvorkehrungen bedarf. Dass das BSI vorraussetzt, dass man sowas wie Firewall und Virenscanner nutzt und “EndlichGroßerPimmel.exe” von unbekannten Sendern nicht öffnet, setzen die Jungs eben voraus. DAS könnte man dem EPA anlasten.
Ansonsten ist die Aussage hier (zum größten Teil) und bei PlusMinus komplett zu reduzieren auf: “Achtung, keine wichtigen Daten irgendwo speichern, weil in jedes System kann man einbrechen!”. Das nun auf EPA oder ähnliches zu beschränken versucht, der Argumentation eine Spezifischheit anzukleben, die sie nicht hat.
Mittwoch, 25. August 2010, 9:33 Uhr
Mit dem dünnbrettigen Blödsinn meine ich natürlich +/- =)
ah, verdammt, zweimal am spamschutz gescheitert
Mittwoch, 25. August 2010, 11:42 Uhr
(Um jemanden abzuhören braucht man nicht zwingend eine Wanze installieren. Das richtige Handymodell vorausgesetzt, reicht schon eine stille SMS aus.)
Jupp, habe ich gesehen und musste dabei etwas lachen. Natürlich ist ein System nicht mehr sicher wenn ein Trojaner an Bord ist. Naja, vielleicht wollte Plusminus keinen Beitrag draus machen wenn es nicht etwas spektakulär daherkommt, ich weiß es nicht.
Hier das Video der Plusminus-Sendung: http://www.youtube.com/watch?v=9h0rOWaMwjA
Es ist zwar nicht falsch was Plusminus und CCC berichten, aber das eigentlich Problem sehe ich eher in dem was ich schon oben erwähn habe.
BSI und BMI tun so als ob Otto Normal nur den ePerso und das Basisgerät braucht und schon wäre alles im Internet sicher. Purer Unsinn! Das wissen die Jungs aber auch ganz genau, weshalb sie die Verantwortung für die Sicherheit dem Bürger per Gesetz aufbürden.
Bei Missbrauchsfällen, und die werden unweigerlich kommen, ist der Geschädigte in der Pflicht zu beweisen, dass sein System auf dem aktuellen Stand der Technik war, dass er alle Updates für jede Software auf seinem Computer durchgeführt hat. Und das soll Otto Normal leisten? Sag Otto Normal er soll mal ein Update von Flash- und Reader-PlugIn machen, damit sein Browser wieder sicherer ist. Viel Spaß dabei. <g>
Der Gesetzentwurf ist vom 07.10.2008 (letzte Änderung im PDF, laut Metadaten, am 12.12.2008). Seit fast zwei Jahren schwirrt das Teil in der Politik umher, aber der Bürger der in die Pflicht genommen wird, der weiß bisher nichts von seiner Pflicht. Warum nicht?
Mittwoch, 25. August 2010, 14:26 Uhr
Aber was ist denn die Alternative? Kollege de Mäsähr kann ja nicht die Verantwortung für die Computerhygiene aller Bürger übernehmen. Die Verantwortung muss ja sinnvollerweise abgegeben werden, weil sie liegt ja auch in den Händen der Benutzer.
Die einzige Alternative wäre: Keinen nPA einführen.
Mittwoch, 25. August 2010, 15:43 Uhr
Natürlich kann der Bund nicht die Verantwortung für die Pflege von Ottos Computer übernehmen. Aber er soll ihm auch nicht einreden dass der ePerso sicher ist, nur weil das BSI ihn als sicher einstuft (unter den bisher verschwiegenen Voraussetzungen) und dass er diese Sicherheit nutzen kann, ohne selber etwas dafür zu tun. Otto Normal ist froh wenn er heil seine E-Mail abruft und dabei keinem Phisher zum Opfer fällt, oder etwas bei Amazon kaufen kann und es auch geliefert wird.
Natürlich gibt es auch viele Nutzer die nicht auf alles klicken was buntig daherkommt, die erkennen was Spam ist und wissen wo Viren, Würmer und Trojaner lauern können, aber dies sind — so denke ich — eher die die auch kritisch dem ePerso gegenüberstehen.
Otto Normal ist zum Beispiel auch der der jetzt auf Googles Street View schießt, weil er glaubt Livebilder würden veröffentlicht, auf denen ständig zu sehen ist ob im Schlafzimmer die Betten gelüftet werden.
Die Einführung des ePerso ist einfach zu früh. Die breite Masse der Bürger im Netz ist noch nicht bereit, weder die Pflichten zu überblicken, noch diese wahrzunehmen.
Noch etwas zum BSI und den Informationen denen sich der ePerso-Benutzer bedienen soll/muss.
Adobe selber stuft die Lücken als “Critical” ein und das BSI mein “Risiko: niedrig”. Otto Normal sagt sich “niedrig = unwichtig”
Das BSI schreibt zwar:
Ja was ist denn “beliebigen Code”? Ja genau das “beliebigen Code”! Also alles! Wie kann man solche Sicherheitslücke mit “niedrig” bewerten, vor allem wenn der Hersteller selber dies als “Critical” einschätzt?
Und, Hersteller neigen immer zur Übertreibung wenn es Features in ihrer Software geht und immer zur Untertreibung wenn es um Sicherheitslücken geht. Dies sollte das BSI auch wissen.
Mittwoch, 25. August 2010, 16:22 Uhr
…Auch wenn bei der “Near Field Communication” (de.wikipedia.org) nur eine “Reichweite von nur 10 Zentimetern” erreicht wird — ein ungutes Gefühl bleibt…
Umwickel ihn mit Alu-Folie…
Mittwoch, 25. August 2010, 16:37 Uhr
aber du vermischst dinge.
der epa kann ja sicher sein, wenn ottos computer nicht sicher ist.
Knorr bremsen können dir auch eine sichere bremse verkaufen. baust du sie in ein auto ein, in dem die bremsschläuche lecken, so macht das die bremse nicht weniger sicher!
und nur weil das bsi teilweise schwerfällig ist, muss das nun ein produkt, an dem es mitarbeitet, nicht zwangsläufig unsicher machen.
versteh mich nicht falsch: ich verteidige den epa nicht – dazu habe ich mich mit dem ding zu wenig auseinander gesetzt. aber die argumentationen gegen den epa bisher sind alles andere als stichhaltig.
Mittwoch, 25. August 2010, 18:17 Uhr
Ich sage nicht, der ePerso ist pauschal unsicher. Ich sträube mich nur gegen die Meinungsmache von BMI und BSI, die auf Biegen und Brechen den ePerso unters Volk bringen wollen.
In einer sicheren Umgebung ist der ePerso ganz bestimmt ein gutes Instrument, um einfach und sicher im Internet zu agieren. Aber ist diese Umgebung in der breiten Masse gegeben? Ich glaube nicht.
Otto Normal verlässt sich auf die Versprechen der Politik und wird enttäuscht werden. Die Kritikpunkte, die es ohne Zweifel gibt, einfach mit “Es gibt keinen Handlungsbedarf.” abzubügeln wird der Sache nicht gerecht. Den Katzenjammer vom Bund höre ich jetzt schon, weil mal wieder ein IT-Projekt den Bach runter gegangen ist. Aber zumindest gab es etwas Wirtschaftsförderung. ;O)
Der ePerso ist noch in der Testphase, soll aber trotzdem ab 1. November ausgegeben werden. Da ist man also schon jetzt ganz sicher wie das Ergebnis der Testphase aussehen wird. Wenn jemand aus der Testgruppe ernsthafte Bedenken hat, wird er sie ganz bestimmt nicht mehr äußern, da er damit das Projekt nPA zu Fall bringen würde. Deshalb sage ich ja, dass das alles eine politische Entscheidung ist und nichts mit den echten Gegebenheiten zutun hat. Der Politik ist es auch egal was Experten sagen, das wird jetzt durchgepeitscht — weil schon zu viel Geld in das Projekt geflossen ist und eine Verschiebung peinlich wäre.
Ich glaube dem Projekt nPA würde es gut tun, sich nicht an den 1. November zu klammern, die Testphase abzuwarten und Kritik ernst zu nehmen. Das schlimmste was diesem Projekt passieren kann, ist, dass noch in der Einführungsphase erste Missbrauchsfälle bekannt werden. Diese müssen gar nicht bedeuten dass der nPA selber unsicher ist, es reicht schon vollkommen aus das ein Benutzer etwas falsch gemacht hat, der Presse ist das Wurscht, es wäre eine tolle negative Schlagzeile.
Der Benutzer kann Beispielsweise die 6stellige PIN selber wählen. Was glaubst Du wird die häufigste PIN sein? 123456, 123123 und weil es so gut passt — ein Geburtstag, der eigene, der der Frau oder vom Kind. :O)
Mittwoch, 25. August 2010, 18:27 Uhr
@Quu: Wenn ich das Teil in 5 Jahren bekomme, dann wird es in der Miki etwas nachbehandelt. :O)