Archiv der Kategorie: Unkategorisiert

Artikel ohne Kategoriezuordnung

Sicherheit des neuen Personalausweises

Der neue elektronische Personalausweis (nPA), von der Regierung gegen alle Kritiken eingeführt und vehement als sicher bezeichnet, hat in den letzten Wochen schon arg gelitten. Zuerst zeigte der Chaos Computer Club, dass der PC des Anwenders als das schwächste Glied in der Kette – wie nicht anders zu erwarten war – die Sicherheit des Gesamtsystems unterwandern kann. Das Bundesinnenministerium und auch die Broschüre zum nPA lassen dazu verlauten, dass der Anwender für die Sicherheit des PCs zu sorgen hat. Aktuelle Betriebssysteme, Firewall und Virenscanner sollen es verpflichtend richten. Dass das Augenwischerei ist und Sicherheit in der Breite nicht möglich ist, zeigen die vielen verseuchten SPAM-Schleudern und Botnetze im Internet. Wer also den nPA sicher elektronisch einsetzen will (eID, qualifizierte Signatur), der muss entweder ziemlich blauäugig oder Computerfachmann sein. Oder es muss eine Regelung getroffen werden bezüglich der Haftung bei Missbrauch. Risiko und Beweislast liegen derzeit allein beim Bürger.

Der vorerst größte GAU ist aber eingetreten, nachdem ein Mitglied der Piratenpartei die offizielle AusweisApp binnen Stunden hacken konnte. Gratulation übrigens für diesen bescheuerten Namen für eine Software mit teilweise mehr als 100 MByte Größe. Der Angriff auf die Update-Funktion der AusweisApp mittels DNS-Spoofing ist einfacher Natur und für Sicherheitsexperten tägliches Brot. Der Rechner des Betroffenen kann damit recht beliebig manipuliert werden. Und natürlich ist damit die Sicherheit des nPA als Ende-zu-Ende-System empfindlich betroffen!

Da kommen mir ein paar Fragen auf:

  • Warum wurden einfachste Angriffe auf die Sicherheit der AusweisApp bei der Entwicklung nicht berücksichtigt bzw. getestet? Könnte es daran liegen, dass die beteiligten kommerziellen Firmen und das BSI nicht zusammenarbeiten oder gar zu wenig Ahnung von sicherer Softwareentwicklung haben? Und das bei einem so wichtigen System für 80 Mio. Bürger, bei dem Sicherheit an oberster Stelle stehen sollte.
  • Warum wurden offensichtlich veraltete Softwarebestandteile in der AusweisApp verwendet (z.B. alte Java-Version mit bekannten Lücken)?
  • Warum wird die AusweisApp nicht vor der Veröffentlichung einer breiten Masse an Computer- und Sicherheitsexperten zum Test übergeben? Idealerweise durch Veröffentlichung als Open Source Software. Warum wird die Software hinter verschlossenen Türen entwickelt von rein kommerziell ausgerichteten Unternehmen? Warum vertraut man nicht externen Sachverständigen (wie z.B. dem CCC) oder jedem engagierten Privatanwender als Tester? Und zwar bevor das System tausendfach beim Bürger eingesetzt wird!
  • Muss nicht abermals der Sinn einer Verschmelzung hoheitlicher Aufgaben (Ausweis) mit kommerziellen, wirtschaftlichen Interessen (eID, dig. Signatur) bezweifelt und hinterfragt werden?

Ich jedenfalls zweifele stark an der Kompetenz der beteiligten Firmen und fordere das BSI bzw. das Innenministerium auf, die weitere Entwicklung der AusweisApp unter Einbeziehung der interessierten Öffentlichkeit vorzunehmen.

Weitere Meldungen zum Thema:

Quelle Bild: Wikipedia