Quelle CR161: Chaosradio

Der vorerst größte GAU ist aber eingetreten, nachdem ein Mitglied der Piratenpartei die offizielle AusweisApp binnen Stunden hacken konnte. Gratulation übrigens für diesen bescheuerten Namen für eine Software mit teilweise mehr als 100 MByte Größe. Der Angriff auf die Update-Funktion der AusweisApp mittels DNS-Spoofing ist einfacher Natur und für Sicherheitsexperten tägliches Brot. Der Rechner des Betroffenen kann damit recht beliebig manipuliert werden. Und natürlich ist damit die Sicherheit des nPA als Ende-zu-Ende-System empfindlich betroffen!

Da kommen mir ein paar Fragen auf:

• Warum wurden einfachste Angriffe auf die Sicherheit der AusweisApp bei der Entwicklung nicht berücksichtigt bzw. getestet? Könnte es daran liegen, dass die beteiligten kommerziellen Firmen und das BSI nicht zusammenarbeiten oder gar zu wenig Ahnung von sicherer Softwareentwicklung haben? Und das bei einem so wichtigen System für 80 Mio. Bürger, bei dem Sicherheit an oberster Stelle stehen sollte.
• Warum wurden offensichtlich veraltete Softwarebestandteile in der AusweisApp verwendet (z.B. alte Java-Version mit bekannten Lücken)?
• Warum wird die AusweisApp nicht vor der Veröffentlichung einer breiten Masse an Computer- und Sicherheitsexperten zum Test übergeben? Idealerweise durch Veröffentlichung als Open Source Software. Warum wird die Software hinter verschlossenen Türen entwickelt von rein kommerziell ausgerichteten Unternehmen? Warum vertraut man nicht externen Sachverständigen (wie z.B. dem CCC) oder jedem engagierten Privatanwender als Tester? Und zwar bevor das System tausendfach beim Bürger eingesetzt wird!
• Muss nicht abermals der Sinn einer Verschmelzung hoheitlicher Aufgaben (Ausweis) mit kommerziellen, wirtschaftlichen Interessen (eID, dig. Signatur) bezweifelt und hinterfragt werden?

Ich jedenfalls zweifele stark an der Kompetenz der beteiligten Firmen und fordere das BSI bzw. das Innenministerium auf, die weitere Entwicklung der AusweisApp unter Einbeziehung der interessierten Öffentlichkeit vorzunehmen.

Weitere Meldungen zum Thema:

• Elektronischer Personalausweis: Neue AusweisApp kommt in Kürze (Heise)
• Deine wichtigste Karte? Vom Umgang mit dem neuen Personalausweis (Heise)
• Kritik an Sicherheit des “Perso” hält an (Heise)
• Kriminaler nennt Technik Elektroschrott (Focus)
• Datenschützer gibt bei Personalausweis Entwarnung (Heise)
• Chaos Computer Club„Der ePerso könnte ein Rohrkrepierer werden“ (Focus)
• Elektronischer Ausweis – Der Perso fürs Netz (Spiegel)

Quelle Bild: Wikipedia

Die Post hat dazu noch auf folgende Blog-Beiträge hingewiesen:

• E-Postbrief Pressekonferenz 2.0 – Die Post äussert sich zu Kritikpunkten (baetschman.ralfbachmann.de)
• Der ePost-Brief: Post AG stellt sich Fragen aus dem Netz (dennis-knake.de)
• Deutsche Post steht Rede und Antwort zum E-Postbrief (Bericht von der Web-Konferenz am 25.08.2010) (bdsg-externer-datenschutzbeauftragter.de)
• Erste Eindrücke: #ePost-Webkonferenz – Die Post stellt sich den Usern (ferner-alsdorf.de)

Quelle: Deutsche Post AG, auf YouTube.

Meine Fragen wurden in folgenden Teilen behandelt:

• Unterstützung für Standardprotokolle SMTP/POP3/IMAP:  Teil 4, Minute 02:06
  Mein Nachtrag: Ich hoffe nicht, dass ein Plugin kommt, das nur im unsicheren und unseligen Outlook funktioniert. Ich meinte schon Standards, also Unterstützung für alle gängigen Email-Clients. Das sollte bei Verwendung von SSL/TLS kein Problem sein, was ähnlich funktioniert wie die Verschlüsselung im Web-Client.
• Vorratsdatenspeicherung 1:  Teil 5, Minute 02:22
• Vorratsdatenspeicherung 2:  Teil 5, Minute 06:40
  Mein Nachtrag: Also werden Verbindungsdaten von E-Postbriefen wohl auf Vorrat gespeichert, sollte die Bundesregierung ein neues Gesetz zur Vorratsdatenspeicherung verabschieden. Das hatte ich auch erwartet, und insofern ist meine These, dass der E-Postbrief dadurch natürlich weniger sicher und vertraulich als ein normaler Brief ist, bestätigt worden.
• Kompetenz und Vertrauen im Bereich der elektronischen Kommunikation:  Teil 10, Minute 01:49

Weitere Anmerkungen von mir zu anderen besprochenen Themen:

• Es wurde erwähnt, dass der TÜV NORD die Sicherheit beim E-Postbrief zertifizieren würde. Hm, das scheint mir keine hinreichende Bestätigung der Sicherheit zu sein. Welchen Wert ein TÜV-Zertifikat hat, konnten wir z.B. bei einem Datenleck für SchülerVZ oder bei Libri sehen.
• In Teil 7 zur Minute 04:02 wurde die Frage gestellt, wer Zugriff auf den zur Zusatz-Sicherung der Daten nötigen (geheimen) Schlüssel hat. Das wurde beantwortet in etwa mit “Wesentlicher Bestandteil unseres Sicherheitskonzeptes ist es, Detailfragen zur Sicherheit nicht (unbedingt) in der Öffentlichkeit zu beantworten”. Gelinge gesagt ist das ein starkes Stück und zielt auf das schon fast ausgerottete  Security by Obscurity. So geht es nicht, liebe Post. Es sollte öffentlich klar sein, wer meine verschlüsselten E-Postbriefe lesen kann, und sei es auch von staatlichen Sicherheitsorganen.

Hier das Video zur Sendung:

Quelle: ARD, über YouTube

Da es immer eine Unsicherheitskomponente gibt, und sei es der Mensch selbst, hätte man meines Erachtens den ePA als hoheitliches Dokument nicht so mit neuen Funktionen überladen dürfen. Die beiden Kardinalfehler beim ePA sind aus meiner Sicht:

1) RFID/NFC-Schnittstelle

Damit können Daten über Funk (im Nahbereich) ausgelesen werden. Falls jemand diese Schnittstelle knackt oder bei authentifizierten Übertragungen mitlesen kann, ist die Sicherheit des Gesamtsystems am Ende. Derzeit ist das Auslesen der verschlüsselten Daten zwar nur nach Authentifizierung der Lesegeräte und PIN-Eingabe möglich, aber wie beim Online-Banking, bei dem die eigentlichen Kryptoverfahren auch sicher sind, wird es über kurz oder lang wahrscheinlich Möglichkeiten geben, diese ePA-Sicherheit zu umgehen (Pishing, Skimming, Man-in-the-middle, etc.).

Und ganz wichtig: Ich selbst habe keine unmittelbare physische Gewalt mehr über dieses Schnittstelle. Außer Schutz durch Alu-Hüllen.

2) Kopplung mit privatwirtschaftlichen Funktionen

Wieso wird der ePA mit Funktionen ausgestattet, die größtenteils der Privatwirtschaft nützen? Der ePA sollte ein rein hoheitliches Dokument bleiben. Alles andere (eID, digitale Zertifikate mit Signaturfunktion) gehört auf eine separate (Bürger-)Karte.

Diese beiden Punkte hätten jedem halbwegs kompetenten und lernwilligen Entscheider auffallen müssen. Denn ist so ein System erst mal gehackt, dann geht es uns wie bei den EC-Karten. Wehe dem, dessen Identität plötzlich missbraucht wird und in der Beweispflicht steht.

Weitere Infos:

• PlusMinus erklärt den ePerso (netzpolitik.org)
• Sicherheitsmängel beim neuen Personalausweis? (Tagesschau)
• Elektronischer Personalausweis: Sicherheitsdefizite bei Lesegeräten (Heise)
• Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite? (Heise)
• Der elektronische Personalausweis – Identitätsdiebstahl wird einfacher (Aktion Freiheit statt Angst e.V.)

Beide Dienste werden jedoch von Experten und Netzgemeinde ziemlich kritisch gesehen, und das zu Recht. Bei De-Mail gibt es massive Bedenken hinsichtlich des Datenschutzes und der Rolle des Staates, der sich in die elektronische Kommunikation seiner Bürger einschaltet. Der Staat (oder besser gesagt die Regierung) hat in den letzten Jahren sehr viel Vertrauen verspielt bei der Netzgemeinde, da er das Internet nicht als Mittel der freien Kommunikation, sondern eher als Raum ansieht, den es zu kontrollieren gilt.

Meine wesentlichen Kritikpunkte an De-Mail sind:

1. Umkehrung der Beweislast: Der Kunde (also ich) bin z.B. in der Pflicht, eine Nicht-Zustellung zu beweisen.
2. Was “rechtssichere Kommunikation” für den Kunden bedeutet, wird nicht transparent erklärt. Das bringt auch viele Nachteile für den Kunden. Ergibt sich wirklich mehr Sicherheit für mich?
3. Die Verschlüsselung ist nicht Ende-zu-Ende. Provider und Staat können mitlesen (und manipulieren).
4. Wenn meine digitale Email-Identität (Unterschrift) in falsche Hände gerät, kann derjenige fröhlich für mich Verträge etc. abschließen. Die Beweislast liegt dann bei mir.
5. Die Email-Adresse ändert sich, wenn ich zu einem anderen Provider wechsele.

Meines Erachtens müsste die Rolle des Staates darauf reduziert werden, eine Instanz für beglaubigte digitale Zertifikate aufzubauen (so ähnlich wie CAcert). Die sichere elektronische Kommunikation könnte dann von Jedermann mit bestehenden Email-Adressen mittels Standardprotokollen wie S/MIME oder PGP abgewickelt werden. Das würde auch heute schon funktionieren, aber besonders Banken und Wirtschaft haben das bis heute nicht verstanden und umgesetzt. Aber freilich hätte der Staat dann keine Möglichkeit, in die Kommunikation seiner Bürger einzusehen, denn durchgängiges S/MIME oder PGP wäre wirklich sicher. Siehe auch mein Posting zu De-Mail von Februar 2009.

Auch der E-Postbrief hat sein Fett bereits abbekommen. Hohe Kosten, sehr dubiose AGBs (Pflicht zur täglichen Postfachprüfung) und die fehlende Ende-zu-Ende Verschlüsselung sind hier zu nennen. Prädikat: unbrauchbar.

Weitere Infos:

• Deutsche Post steigt in E-Mail-Geschäft ein (Heise)
• Rechtssichere Bürger-E-Post De-Mail: Besonderheiten und Fallstricke (Heise)
• Bürger können erste De-Mail-Postfächer vorregistrieren (Heise)
• Telekom startet Registrierung für rechtssichere De-Mail (Heise)
• Always on dank E-Postbrief! (netzpolitik.org)
• E-Postbrief: Briefe per Mail verschicken (Stiftung Warentest)
• Rechtliche Bewertung der Zustellmodalitäten bei De-Mail und E-Postbief (ferner-alsdorf.de)

Nachtrag 22.07.2010 zum Thema Sicherheit von De-Mail:

• In den Kommentaren auf netzpolitik.org zum Beitrag De-Mail: Freund liest mit? kann man sehr schön die von mir angesprochene Problematik einer fehlenden Ende-zu-Ende Verschlüsselung erkennen.
• Und auch zum Tagesschau-Artikel Zweifel an Sicherheit des elektronischen Briefes gibt es mehr oder weniger treffende Kommentare.

Nachtrag 24.07.2010 zum Thema AGB beim E-Postbrief:

• Der E-Postbrief – Die Gelbe Gefahr? (gutjahr’s blog)
• Interview mit Rechtsanwalt Udo Vetter von lawblog.de (YouTube)
• Kritik am E-Postbrief wächst (Heise)

Nachtrag 26.07.2010 zum Thema De-Mail:

• Anwälte kritisieren De-Mail (Heise)

Nachtrag 28.-29.07.2010 zum Thema De-Mail

• Sicherheitsunternehmen kritisieren De-Mail (Heise)
• VZBV zu DE-Mail: Nachteile für Verbraucher überwiegen deutlich (netzpolitik.org)

Nachtrag 29.07.2010 zum Thema E-Postbrief:

• E-Postbrief: Guter Vorsprung oder schlechter Frühstart? (teltarif.de)

Nachtrag 03.08.2010 zum Thema De-Mail:

• Notare und Anwälte gemeinsam gegen De-Mail (Heise)
• Elektronische Einschreiben (Heise, c’t 17/10)

Nachtrag 12.08.2010 zum Thema E-Postbrief:

• E-Postbrief: Nicht ausgereift (Stiftung Warentest)

Die interessantesten Meldungen dazu bei Heise:

• Mangelhafte Verschlüsselung bei vielen RFID-Karten
• Hacker demonstrieren gegen die Vorratsdatenspeicherung
• CCC schlägt “Nackt-Scanner” für den Bundestag vor
• Erfolgreicher Angriff auf das SSL-Zertifikatsystem
• CCC rät zum “Selbstschutz” vor biometrischer Vollerfassung
• NFC-Handy-Anwendungen anfällig für Hackerangriffe
• Schwere Sicherheitslücken beim Schnurlos-Telefonieren mit DECT
• Hackerparagraphen sorgen weiter für Verunsicherung
• Krypto-Aktivist John Gilmore liebäugelt mit der “transparenten Gesellschaft”

• Videos (MP4)
• Audio (MP3)
• Übersicht

Der Chaos Communication Congress ist eine periodische Veranstaltung des Chaos Computer Clubs (CCC) und befasst sich mit technischen und gesellschaftlichen Themen aus dem Bereich Computer- und Netzwerksicherheit. In letzter Zeit werden vom CCC verstärkt politische und gesellschaftliche Entwicklungen behandelt in den Bereichen Bürgerrechte und Datenschutz (wie z.B. Anonymität im Internet, Überwachung) und Auswirkungen der Informationstechnologien auf unsere Gesellschaft.

Siehe

• Meldung bei heise.de 
• Kommentar bei heise.de (sehr zu empfehlen)