“Elektronischer Personalausweis: Sicherheitsdefizite bei Lesegeräten” (heise.de)
Hier nur das Update welches Heise nachgeschoben hat:

Jens Bender vom BSI wies die Kritik an der Sicherheit der neuen Personalausweise zurück. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen “ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort.”

Ich vergebe für verschiedene Internetdienste auch verschiedene Zugangsdaten. Hätte ich mit dem ePerso einen Sicherheitsgewinn, bei dem es nur eine 6stellige PIN für alle von mir genutzten Dienste gibt?

Ein Basisleser sei für die Online-Authentifizierung in Ordnung. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software,

Welche Software muss denn immer aktualisiert werden? Alles! Und dies bedeutet das Otto-Normal-User immer vor der Benutzung irgendwelcher Programme Updates durchführen muss. Das Betriebssystem und, daran denken viel PC-Benutzer nicht, auch die Anwendungssoftware muss immer upgedatet werden. Zum Teil gibt es von nur einem Hersteller mehrere Updates pro Woche. Macht dies wirklich jeder PC-Benutzer oder werden sie es zumindest in Zukunft tun?

die Einrichtung einer Firewall

Das ist doch das Dingsbums was Otto Normal gerne ganz deaktiviert, weil es ihn immer blockiert und nicht arbeiten lässt?! “Ist ja noch nie was passiert, obwohl es abgeschaltet ist.”

und einen aktuellen Virenschutz.

Vor neuer und noch unbekannter Schadsoftware, und neue Variationen davon gibt es täglich unzählige, kann ein Scanner nicht schützen.

Denkbar sei ein klassischer Trojaner-Angriff, bei dem die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. Damit habe man als Angreifer aber noch keinen direkten Zugriff auf die persönlichen Daten. Diese würden nur verschlüsselt übertragen.

Hier stimme ich Herrn Bender zu, es sei denn, es gibt eine Möglichkeit eine Kopie des ePerso anzufertigen, wobei nur der Chip bzw. deren Daten auf eine leere Karte kopiert werden müssten. Ob dies möglich ist weiß ich nicht, aber gänzlich ausschließen möchte ich es nicht.

Letztendlich liegt die Verantwortung für die Aufrechterhaltung der sicheren Nutzung des neuen Personalausweises bei dem PC-Benutzer selber. Wer heute schon sorgfältig mit seinen Daten und seinen Passworten umgeht und sein System ständig aktualisiert, der wird vermutlich auch mit den Funktionen des ePerso sorgfältig umgehen. Aber ist dies die Mehrheit der PC-Benutzer?


Am meisten Bauchweh bereitet mir der Chip auf dem ePerso.

“Das sicherste Dokument auf dem Planeten” (heise.de)

Hergestellt werden die sogenannten SmartMX-Chips, die sich per Near Field Communication (NFC) kontaktlos auslesen lassen, (…)

Gespeichert werden auf dem Chip Passbild, Name, Vorname, Geburtsdatum, Nationalität, Geburtsort und Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke hinterlegt werden.

Auch wenn bei der “Near Field Communication” (de.wikipedia.org) nur eine “Reichweite von nur 10 Zentimetern” erreicht wird — ein ungutes Gefühl bleibt.

Könnte man einen Metalldetektor (oder Fake, welcher nur so aussieht) der von Security-Leuten am Flughafen oder bei großen Veranstaltungen benutzt wird, so umfunktionieren das er die Daten auslesen kann?

• Wer die eID-Funktion, also das elektronische Identifizieren per Lesegerät, nicht nutzt, der hat keinen Vorteil vom ePerso.
• Wer die eID-Funktion nutzt, der sollte gut auf seinen ePerso aufpassen. Bisher war der Verlust des Persos, egal ob gestohlen oder verloren, eher lästig — neue Bilder machen, zum Amt rennen, vorläufigen Perso abholen, x Wochen warten, zum Amt rennen, neuen Perso abholen — denn gefährlich. Mit den neuen Funktionen könnte der ePerso ein begehrtes Objekt für Kriminelle werden.

Wenn ich am Geldautomaten warten muss weil ein anderer Kunde vor mir an der Reihe ist und der schaut auf einen kleinen Zettel, gerne auch gelben Post-It der vorher auf der Karte selber klebte, da muss ich immer an den ePerso denken und dass sich der gleiche Mensch nun bald noch eine 6stellige Zahl merken/aufschreiben soll. :O)


Nur kurz nach der Einführung des ePersos wird es die ersten Missbrauchsfälle geben, bei denen der echte Besitzer vor dem Problem stehen wird: “Ich war das nicht! Wirklich wirklich nicht!” und dann wird es richtig knifflig für ihn, dies zu beweisen.

Der Otto Normal, der heute Probleme mit Notebook, Handy & Co., dem verzwickten Internet, Spam, Malware und Phishing hat, der wird auch mit dem ePerso nicht glücklicher werden, aber vor allem gläserner und angreifbarer.


Die Einführung des ePerso ist eine rein politische Entscheidung (inkl. etwas Wirtschaftsförderung), die die Gegebenheiten der realen Gesellschaft ignoriert. Nach wie vor glaube ich dass das BSI es eigentlich besser weiß und auch weiß dass dieser Schritt noch viel zu früh für die meisten Bürger kommt.

Computer und Internet haben die Gesellschaft zwar durchdrungen und viele nutzen die Technik auch täglich. Aber ist Otto Normal schon sicher in der Benutzung der Technik? Warum ist Phishing noch immer ein Problem? Warum fallen täglich Surfer auf Abofallen rein? Wie kann es sein dass die Command-and-Control-Server auch Millionen von deutschen Computern in ihrem Botnetz missbrauchen können?

Liebe Politiker, denkt mal ein paar Jahre zurück. Viele von euch haben doch ernsthaft geglaubt, dass das Internet irgendwie wieder weggehen würde. Und heute, bzw. ab 1. November, wollt Ihr jedem Bürger etwas in die Hand drücken, womit die meisten überfordert sind?

Gebt der Gesellschaft noch etwas Zeit zum lernen — sie sind noch nicht so weit!


So wie ihm geht es vielen, auch wenn sie es nicht zugeben mögen. :O)

Update: 21:29 Uhr

Über “Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite?” (heise.de) stieß ich auf “Übersicht: Der elektronische Personalausweis – neue Pflichten und Regeln” (ferner.ac) und auf die

§ 27 – Pflichten des Ausweisinhabers
(…)
(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

Quelle: http://dipbt.bundestag.de/dip21/btd/16/104/1610489.pdf

Da muss sich der ePerso-Besitzer also beim BSI informieren was Stand der Technik ist und was dieses als “für diesen Einsatzzweck sicher bewertet”!? Das sollte man dem Bürger aber sagen, bevor er sich in die Pflicht nehmen lässt.

Wer sich die Warnmeldungen auf cert-bund.de anschaut… naja… wer kein Nerd ist… “Oh Gott, hab ich so ein TYPO3 auf meinem Notebook? Und bei dem Linux ist die Lebenszeit abgelaufen! Ohgottogottogott, was mach ich nur??”

Wer nun glaubt das bsi-fuer-buerger.de eher für Otto Normal geeignet wäre… auch nicht so wirklich. Die Meldungen können nur per E-Mail abonniert werden und die Infos die verschickt werden sind oftmals mehrere Tage alt, manchmal auch mehr als eine Woche. Da frische Sicherheitslücken epidemisch ausgenutzt werden, ist natürlich schnelles Handeln angesagt.

Ich fürchte: Das kann ja nur in die Hose gehen!

Beim täglichen Surfen durchs Netz schliddert man auch schnell mal an Infos vorbei, die eigentlich zum Verweilen und zum Nachdenken einladen. Zum Glück gibt es aber den Streusand-Effekt.

In früheren Zeiten wurde den Leuten Sand in die Augen gestreut, wobei nur geringe Mengen nötig waren, um die Sicht zu verhindern. Heutzutage wird mit der gleichen Methode versucht unerwünschte Informationen im Netz zu bedecken. Nur ist die Datenautobahn so breit und so lang, dass gar nicht so viel Sand heran gekarrt werden kann, um den gewünschten Effekt zu erzielen, wodurch aus dem verdeckenden Sand der bremsende Sand wird — der Streusand.

Den Streusand-Effekt kann man auch sehr effektiv einsetzen um Informationen in die breite Öffentlichkeit zu tragen, wenn man ein offizielles Mitglied der Geheimniskrämer ist. Die etwas einfältigen Mitglieder der Geheimniskrämer sehen nur das Verbot eine Information zu verteilen, und — Verbot == GUT!

Wenn Geheimniskrämer den Streusand-Effekt nutzen, dann weiß ich immer nicht ob sie

1. einfach nur dumm wie 100 Meter Feldweg sind,
2. einmalig eine andere Meinung vertreten oder
3. Spione sind und die Gruppe der echten Geheimniskrämer infiltriert haben.

Ein aktuelles Beispiel für den Streusand-Effekt ist der angebliche Urheberrechtsverstoß eines Blogs, der zur Veröffentlichung von noch mehr Dokumenten zur Loveparde in Duisburg führte.
“Loveparade: Stadt Duisburg untersagt Blog Veröffentlichung von Dokumenten” (netzpolitik.org)
“Loveparade 2010 Duisburg planning documents, 2007-2010” (wikileaks.org)


Ein, ohne Kristallkugel, vorhersehbarer Streusand-Effekt zeichnet sich bei Googles Street View ab. Wer in Zukunft virtuell durch eine der 20 Städte schlendert, der wird ganz sicher stehenbleiben, wenn er ein Haus sieht welches bis zur Unkenntlichkeit verpixelt wurde.

• Was mag es dort geben, was niemand sehen soll?
• Dort muss es sich lohnen einzubrechen, ansonsten würde man es ja nicht verbergen wollen!?
• Wo gibt es unverpixelte Bilder dazu?

Von mir nur die “virtuelle Streifenfahrt” zu dem Thema, über die Udo Vetter kürzlich schrieb: “Verbrecherjagd mit Street View” (lawblog.de)
Ich kann nur hoffen, dass der Herr Polizist nicht mehr im aktiven Dienst tätig ist und nur in der Gewerkschaft ein paar Akten hin und her tragen darf.


Auch bei meinen Penntests (die Suche nach Stellen wo jemand gepennt hat) stoße ich auf den Streusand-Effekt.

Wenn ich nach einer Injektion korrupter Daten (dies sind Daten die man bestechen kann, unerwünschte Dinge zu tun) auf die Startseite weitergeleitet werde, dann geht meine Motivationskurve fast senkrecht nach unten, an dieser Stelle weiter nach Schwachstellen zu suchen. Bekomme ich hingegen eine schöne Fehlermeldung zurück,

XSS per GET-Request ergibt 999-Fehlermeldung…

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html>
<head>
<title>999 Possible Attack Detected!</title>
</head>
<body>
</body>
</html>

aber per POST-Request erfolgreich korrumpiert. Und nein!, POST-Request ist kein Sicherheitsfeature — immer noch nicht, auch wenn ein “Fachinformatiker” von “Sicherheitsgründen” schreibt, weshalb er POST benutzt hat. Bei solchen “Fach” (Welches bloß?) “Informatikern” werde ich nie arbeitslos. <g>

dann bin ich motiviert weitere Injektionen auszuprobieren, um den Filter auf Herz und Nieren zu prüfen.

Auch Fehlermeldungen die Auskunft über die verwendete Scriptsprache, Datenbank und/oder absolute Serverpfade ausspucken, werden von mir immer wieder gerne entgegengenommen. Während der Entwicklungs- und Testphase sind Fehlermeldungen sehr hilfreich und absolut notwendig, aber in produktiven Systemen sollten diese abgeschaltet werden. Fast jede Fehlermeldung birgt die Gefahr eines Streusand-Effektes, denn ein Angreifer bekommt Informationen, die ihn gerade erst richtig anstacheln weiter zu bohren.


Ein (angeblicher) Streusand-Effekt kann aber auch nur eine geschickte Methode von viralem Marketing sein, um ein stinklangweiliges Produkt interessant erscheinen zu lassen. Von der Unattraktivität des Produktes ist der Hersteller selber überzeugt, weshalb er diese Methode der Reklame gewählt hat.


Die Wikipedia kennt den Streisand-Effekt (de.wikipedia.org), welcher im Grunde das gleiche Phänomen beschreibt.