…weil, entgegen der landläufigen Meinung, dies noch immer nicht, nach immerhin 2½ Jahren, vom BSI durchgeführt wurde. Wer diesen Dreck mal probehalber installiert hat, der weiß warum sich das BSI so sträubt. Wenn sie ehrlich wären, dann müssten sie dem BMI sagen: “Sorry, aber die 4,2 Mio. Euro waren Lehrgeld und wir fangen noch einmal von vorne an.” Aber hier geht es um Politik und nicht um Ehrlichkeit und auch nicht um Vernunft.

“2012 Bemerkungen – Weitere Prüfungsergebnisse Nr. 01 “Fragen zur Softwaresicherheit beim neuen elektronischen Personalausweis seit Jahren ungeklärt”” (bundesrechnungshof.de)

Die Langfassung (nur 4½ Seiten), also das PDF, sollte man gelesen haben.

Aus dem PDF:

Die Deutsche Rentenversicherung bietet auf ihrer Homepage den Versicherten den Zugang zu ihren Versicherungsdaten bereits über den elektronischen Identitätsnachweis an und verweist dabei auf die vom Bundesamt „zertifizierte AusweisApp“.

1.2
Der Bundesrechnungshof hat beanstandet, dass das Bundesamt den Ausweisinhabern entgegen der Personalausweisverordnung keine zertifizierte Software für den elektronischen Identitätsnachweis zur Verfügung gestellt hat.

Und hier der Absatz von der Rentenversicherung:
“Technische Voraussetzungen für die Nutzung der Online-Dienste” (deutsche-rentenversicherung.de)

Welche Software ist erforderlich?

Die AusweisApp übernimmt für die Bürgerinnen und Bürger die Kommunikation zwischen Personalausweis und dem eID-Server. Die Software muss auf dem Computer der Nutzer immer in der aktuellen Version installiert sein. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte AusweisApp wird den Bügerinnen und Bürger kostenfrei zur Verfügung gestellt und kann dort unter Ausweisapp heruntergeladen werden.

Das die Rentenversicherung da etwas schwindelt, evtl. auch nur aus Unwissenheit, fiel Heise nicht auf, zumindest wurde es dort nicht erwähnt: “Rechnungshof rügt BSI für AusweisApp-Schlamperei” (heise.de) Da hat Heise geschlampt. ;O)


Weiter aus dem PDF:

In einer weiteren Stellungnahme im Januar 2013 hat das Bundesinnenministerium die Auffassung vertreten, von der Pflicht zur Zertifizierung nach der Personalausweisverordnung könne bei Vorliegen besonderer atypischer Fälle abgewichen werden. Die AusweisApp sei ein solcher atypischer Fall. Eine Zertifizierung sei nicht mehr nötig, da das Bundesamt bereits bei der Entwicklung alle Kriterien für eine Zertifizierung berücksichtigt, überprüft und überwacht habe. Es ergebe keinen Sinn, wenn der Hersteller, in diesem Fall das Bundesamt, sein selbst erstelltes Produkt anschließend zertifiziere.

Was das BMI da erzählt ist natürlich falsch. Die AusweisApp wurde nicht vom BSI verbrochen. Am 12. August 2010 meldete OpenLimit unter “Neue Version der AusweisApp ausgeliefert” (openlimit.com) folgendes:

Anwendungssoftware für den neuen Personalausweis erfüllt höchste Ansprüche an Barrierefreiheit

Am vergangenen Dienstag hat OpenLimit die Testversion 4 der AusweisApp dem Bundeministerium des Inneren (BMI) zur Verfügung gestellt. Die neue Version der Anwendungssoftware für den neuen Personalausweis steht ab sofort den rund 200 Unternehmen und Behörden bereit, die den Ausweis im Rahmen eines Anwendungstest ausprobieren.

Liebes BMI: Bundesamt für Sicherheit in der Informationstechnik != OpenLimit

Aber naja, das BMI steht bekanntlich mit IT und Computerzeugs etwas auf Kriegsfuß, siehe: “Gelöschte E-Mail: Postfächer im Innenministerium angeblich nur 9 MByte groß” (heise.de)

Der Testballon “DE-Mail per Gesetz für sicher erklären” ist ja wunderbar aufgestiegen, also wird wohl bald der atypische Fall auch gesetzlich als “zertifiziert” festgeschrieben und das BSI ist aus dem Schneider.


Diese gesetzlich verordnete Unsicherheit führt natürlich auch zur Unsicherheit der Bürger und deren Verunsicherung und Skepsis gegenüber der Technik. Wer halbwegs bei Verstand ist, wird weder die DE-Mail noch den nPA und die AusweisApp nutzen. Es ist zu befürchten, dass irgendwann auch die Nutzung von DE-Mail, nPA und AusweisApp per Gesetz erzwungen wird, genauso wie bereits jetzt die Umsatzsteuervoranmeldung per Elster und Java (!).

Ich bin mir noch nicht sicher, ob es grenzenlose Dummheit der Politiker ist oder ob es einfach Boshaftigkeit ist, so nach dem Motto: “Ich sitze an den Hebeln der Macht, also kann ich jeden Schwachsinn durchdrücken — und der Souverän (kicher) kann nichts dagegen unternehmen!”

“Datenschützer Schaar: Pläne zur Abwehr von Cyber-Angriffen bedenklich” (heise.de)

Der Datenschützer Peter Schaar sieht die Gesetzespläne zum besseren Schutz vor Cyber-Angriffen skeptisch. “Grundsätzlich habe ich nichts dagegen, wenn Unternehmen und staatliche Stellen mehr für die IT-Sicherheit tun. Aber das darf nicht zulasten des Datenschutzes gehen”
(…)
Mit dem geplanten IT-Sicherheitsgesetz will die Bundesregierung besonders gefährdete Infrastrukturen wie Energie- oder Telekommunikationsnetze besser vor Hacker-Angriffen schützen.

Ein Meldegesetz wird genau so viel zur IT-Sicherheit beitragen, wie die qua Gesetz bescheinigte Sicherheit der DE-Mail, siehe dazu: “De-Mail: Uneinigkeit über Eignung fürs E-Government” (heise.de)

Der oberste Datenschützer beklagte, beim Kampf gegen Cyber-Angriffe zeige sich “ein gewisser Aktionismus”.

Ich würde es wilden Aktionismus nennen, gegen etwas, was man nicht versteht. Das die Verantwortlichen nichts verstehen sah man sehr gut an “Kinderporno-Sperren: Regierung erwägt Echtzeitüberwachung der Stoppschild-Zugriffe” (heise.de) Und zuletzt an dem Schenkelklopfer: “Falsche Angaben zu E-Mail-Postfächern: Innenstaatssekretär muss sich entschuldigen” (heise.de) Nun kommt noch “Bundestag regelt Zugriff auf IP-Adressen und Passwörter neu” (heise.de) Was wollen die Sesselfurzer in Berlin tun, wenn sie bemerken, dass Passworte nicht im Klartext zur Auslieferung vorliegen? Ein Hashverbot?

<einschub>
Auf der Suche nach dem Originaltext vom Bundesbeauftragten Schaar stieß ich auf eine weiße Seite unter http://bfdi.de/. Erst wenn man sich den HTML-Quellcode anschaut, ahnt man wo das Problem liegt. Nur der Opera und der Internet Explorer zeigen dem Besucher an, wie er die Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit trotzdem besuchen kann.

Eine Website komplett in einem Frame laden, dies war in ’90ern des letzten Jahrhunderts in Mode — wahrscheinlich auch dass Jahrhundert, in dem der Webfuzzi die Seite dass letzte mal angeschaut hat. :O)
</einschub>

Ich erwarte von Politikern zwar nicht, dass sie Hasch von Hash unterscheiden können, aber ich erwarte doch, dass bei Unwissenheit Fachleute zu Rate gezogen werden und zwar nicht nur immer die Spezialexperten, die genau das wiedergeben, was die Politik hören will.

Der politische Wahnsinn führt dazu, dass ich Java nutzen muss, um meine Umsatzsteuervoranmeldung zu erledigen, obwohl ich weiss, dass Java im Browser Evil ist. Und dann kommen noch die Apfelmännchen die Java, seit dem letzten Update, im Safari komplett deaktivieren und dies natürlich ohne den kleinsten Hinweis zur Abschaltung. Politiker und Apfelmännchen in einen Sack und immer drauf schlagen, man trifft nie den falschen!

“Elster: Finanzverwaltung rückt von Java ab” (heise.de)

Die in jüngster Zeit gehäuft auftretenden Sicherheitsprobleme habe man im Jahr 2005 bei der Plattformentscheidung nicht vorhersehen können, erklärte der Sprecher.

Wer sich nur ein bisschen mit IT beschäftigt, der kann darüber natürlich nur lachen, allerdings bleibt einem dieses im Halse stecken, weil man den Bockmist der Politik ausbaden muss.