“Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften – Vom 18. Juni 2009” (bmi.bund.de / PDF)

§ 27
Pflichten des Ausweisinhabers
(…)
(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

“Security update available for Shockwave Player” (adobe.com)

Critical vulnerabilities have been identified in Adobe Shockwave Player 11.5.7.609 and earlier versions on the Windows and Macintosh operating systems

Das BSI ist da geteilter Meinung, um nicht zu sagen etwas schizophren. ;O)

cert-bund.de

“Kurzinfo CB-K10/0360 – Adobe Shockwave Player: Mehrere Schwachstellen” (cert-bund.de)

Risiko: niedrig

buerger-cert.de

“Adobe Shockwave Player Sicherheitsupdate Version 11.5.8.612” (buerger-cert.de)

Risiko: Hoch

(Aus dem Newslketter. Auf der Website ist nur eine Grafik zu sehen.)

---

Und was passiert wenn der ePerso-Nutzer sich die Meldung von cert-bund.de angeschaut hat und das “niedrig” mit “unwichtig” gleichgesetzt hat? Im Zweifelsfall wird der Gesetzgeber / ein Gericht wohl sagen, er muss die schwerwiegendere Einschätzung beachten.

Wenn schon verschiedene Stellen des Bundesamtes für Sicherheit in der Informationstechnik sich nicht einig sind, wie eine Sicherheitslücke einzustufen ist, wie soll Otto Normal dies einschätzen können? Glauben das BMI und das BSI ernsthaft das sich Otto Normal besser informiert als Experten, die sich den lieben langen Tag mit nichts anderem als Computerzeugs beschäftigen?

Warum findet man nichts — wirklich kein Wort — zu den “Pflichten des Ausweisinhabers” in den verschiedenen Broschüren oder Websites von BSI und BMI zum neuen Personalausweis, die ausweislich zur Information des Bürgers angeboten werden?

Das der Bund nicht für die Pflege von Otto Normals Computer verantwortlich gemacht werden kann ist klar, aber Otto sollte zumindest darüber aufgeklärt werden, welche Pflichten er übernimmt, wenn er den ePerso nutzt.


“Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite?” (heise.de)

Bundesdatenschutzbeauftragte Peter Schaar…
Die PIN allein sei nicht kritisch. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, “ist in der Tat Gefahr in Verzug”.

Sehr interessant, dass nicht einmal Herr Schaar das Gesetz gelesen hat. Noch ein Zitat aus dem obigen PDF:

§ 1
Ausweispflicht; Ausweisrecht
(…)
Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben.