“De Maizière hält Personalausweis für sicher” (heise.de)

“Der neue Personalausweis macht die Anmeldung und Registrierung an Online-Portalen sowie Rechtsgeschäfte im Internet, zum Beispiel Einkäufe, sicherer”

Warum sollte für mich als Benutzer die Anmeldung und/oder die Registrierung in einem Shop sicherer werden?

• Registrierung: Der Vorteil ist, ich muss meine Adresse nicht eingeben, weil diese ausgelesen und automatisch übermittelt wird. Da ist der ePerso also dafür gut Tippfehler vorzubeugen.
• Anmeldung: Beim Login besteht der Vorteil darin, dass ich mir keine Benutzernamen und Passwörter merken oder mit geeigneter Software verwalten muss.
• Beim Kauf selber habe ich als ePerso-Nutzer gar keinen Vorteil, gegenüber dem Käufer ohne ePerso.

Das ist ein dramatischer Zugewinn an Sicherheit bei allen Geschäften, die es im Internet gibt.

Sorry Herr Minister, dies stimmt so nicht. Sie sollten mal Ihre Berater wechseln.

Der ePerso kann — sofern man seinen Computer immer mit aktuellen Updates versorgt und mit dem Stück Plastik verantwortungsvoll umgeht — etwas mehr Bequemlichkeit im Umgang mit Benutzeraccounts bringen, nicht mehr und nicht weniger.


Das was Plusminus sendete, wäre mir als CCC eher peinlich, weil lächerlich. Ein Computer auf dem sich Viren, Würmer und Trojaner eingenistet haben, ist nicht speziell nur im Zusammenhang mit dem ePerso und dem Basis-Lesegerät unsicher — solche Computer sollten auch nicht für das Online-Banking benutz werden. Warum gibt es jetzt keinen Aufschrei in der Presse “Online-Banking wurde vom CCC gehackt!”? :O)

Plusminus hätte vielleicht eher über den eigentlichen Skandal, wenn man es denn so nennen möchte, berichten sollen: Die fehlende Aufklärung des Bürgers, welche echten Risiken bestehen und was per Gesetz von ihm verlangt wird, was ich bereits hier “Der (alte) Personalausweis ist sicher” ausgebreitet habe.


Auch meinte der Herr Minister, nach dem Auslesen der PIN:

der Angreifer benötigt immer noch den Ausweis selbst

Sorry Herr Minister, dies stimmt so nicht. Sie sollten mal Ihre Berater wechseln.

Abhängig davon wie lange der ePerso auf dem Basis-Lesegerät liegt, kann Schadsoftware entweder sofort oder beim nächsten Mal wenn er wieder aufliegt, die PIN für dubiose Aktionen nutzen.

Außerdem könne jeder Besitzer des neuen Personalausweises eine neue PIN anfordern…

Sorry Herr Minister, dies stimmt so nicht. Sie sollten mal Ihre Berater wechseln.

Der Besitzer muss eine neue PIN nicht irgendwo anfordern, er kann diese jederzeit, per Software zum Lesegerät, selber ändern.


Wer jetzt schon immer aktuelle Updates für Betriebssystem und Anwendungssoftware einspielt und sorgsam mit seinen Daten umgeht, der wird mit dem ePerso nur etwas Bequemlichkeit gewinnen. Wer aber die eigene Systempflege nicht betreibt und für den 123456 ein Passwort ist, der bekommt noch größere Probleme mit dem ePerso — weil er bei Missbrauch seine Unschuld beweisen muss und selber für Schäden haftet.


die faz bekommt keinen Link von hier, weil sie ernsthaft glauben, ich würde 2 euro für 177 wörter bezahlen, um den kompletten unsinn lesen zu können — mein geschreibsel hier hat (ohne zitate) mehr als doppelt so viele wörter, nur mal so als vergleich. :O)


Update: 18:30 Uhr
“„Der Perso ist sicher“” (faz.net)

Außerdem könne jeder Besitzer des neuen Personalausweises die PIN neu setzen…

Dies hat der Minister also gesagt und nichts von “anfordern”, da hat Heise falsch zitiert. Nur ein unbedeutendes Detail habe ich nun korrigieren, was aber keine 2 Euro wert war. :O)

“Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften – Vom 18. Juni 2009” (bmi.bund.de / PDF)

§ 27
Pflichten des Ausweisinhabers
(…)
(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

“Security update available for Shockwave Player” (adobe.com)

Critical vulnerabilities have been identified in Adobe Shockwave Player 11.5.7.609 and earlier versions on the Windows and Macintosh operating systems

Das BSI ist da geteilter Meinung, um nicht zu sagen etwas schizophren. ;O)

cert-bund.de

“Kurzinfo CB-K10/0360 – Adobe Shockwave Player: Mehrere Schwachstellen” (cert-bund.de)

Risiko: niedrig

buerger-cert.de

“Adobe Shockwave Player Sicherheitsupdate Version 11.5.8.612” (buerger-cert.de)

Risiko: Hoch

(Aus dem Newslketter. Auf der Website ist nur eine Grafik zu sehen.)

---

Und was passiert wenn der ePerso-Nutzer sich die Meldung von cert-bund.de angeschaut hat und das “niedrig” mit “unwichtig” gleichgesetzt hat? Im Zweifelsfall wird der Gesetzgeber / ein Gericht wohl sagen, er muss die schwerwiegendere Einschätzung beachten.

Wenn schon verschiedene Stellen des Bundesamtes für Sicherheit in der Informationstechnik sich nicht einig sind, wie eine Sicherheitslücke einzustufen ist, wie soll Otto Normal dies einschätzen können? Glauben das BMI und das BSI ernsthaft das sich Otto Normal besser informiert als Experten, die sich den lieben langen Tag mit nichts anderem als Computerzeugs beschäftigen?

Warum findet man nichts — wirklich kein Wort — zu den “Pflichten des Ausweisinhabers” in den verschiedenen Broschüren oder Websites von BSI und BMI zum neuen Personalausweis, die ausweislich zur Information des Bürgers angeboten werden?

Das der Bund nicht für die Pflege von Otto Normals Computer verantwortlich gemacht werden kann ist klar, aber Otto sollte zumindest darüber aufgeklärt werden, welche Pflichten er übernimmt, wenn er den ePerso nutzt.


“Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite?” (heise.de)

Bundesdatenschutzbeauftragte Peter Schaar…
Die PIN allein sei nicht kritisch. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, “ist in der Tat Gefahr in Verzug”.

Sehr interessant, dass nicht einmal Herr Schaar das Gesetz gelesen hat. Noch ein Zitat aus dem obigen PDF:

§ 1
Ausweispflicht; Ausweisrecht
(…)
Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben.