Schlagwort-Archive: elektronischer Personalausweis

Chaosradio 161 – SuisseID und der deutsche elektronische Personalausweis

Sehr schön zum aktuellen Thema elektronischer Personalausweis passt die Ausgabe CR161 vom Chaosradio vom 01.10.2010. Der Chaos Computer Club erläutert Hintergründe zum nPA und warum die Sicherheit nicht nur vom Ausweis selbst abhängt.

Quelle CR161: Chaosradio

Sicherheit des neuen Personalausweises

Der neue elektronische Personalausweis (nPA), von der Regierung gegen alle Kritiken eingeführt und vehement als sicher bezeichnet, hat in den letzten Wochen schon arg gelitten. Zuerst zeigte der Chaos Computer Club, dass der PC des Anwenders als das schwächste Glied in der Kette – wie nicht anders zu erwarten war – die Sicherheit des Gesamtsystems unterwandern kann. Das Bundesinnenministerium und auch die Broschüre zum nPA lassen dazu verlauten, dass der Anwender für die Sicherheit des PCs zu sorgen hat. Aktuelle Betriebssysteme, Firewall und Virenscanner sollen es verpflichtend richten. Dass das Augenwischerei ist und Sicherheit in der Breite nicht möglich ist, zeigen die vielen verseuchten SPAM-Schleudern und Botnetze im Internet. Wer also den nPA sicher elektronisch einsetzen will (eID, qualifizierte Signatur), der muss entweder ziemlich blauäugig oder Computerfachmann sein. Oder es muss eine Regelung getroffen werden bezüglich der Haftung bei Missbrauch. Risiko und Beweislast liegen derzeit allein beim Bürger.

Der vorerst größte GAU ist aber eingetreten, nachdem ein Mitglied der Piratenpartei die offizielle AusweisApp binnen Stunden hacken konnte. Gratulation übrigens für diesen bescheuerten Namen für eine Software mit teilweise mehr als 100 MByte Größe. Der Angriff auf die Update-Funktion der AusweisApp mittels DNS-Spoofing ist einfacher Natur und für Sicherheitsexperten tägliches Brot. Der Rechner des Betroffenen kann damit recht beliebig manipuliert werden. Und natürlich ist damit die Sicherheit des nPA als Ende-zu-Ende-System empfindlich betroffen!

Da kommen mir ein paar Fragen auf:

  • Warum wurden einfachste Angriffe auf die Sicherheit der AusweisApp bei der Entwicklung nicht berücksichtigt bzw. getestet? Könnte es daran liegen, dass die beteiligten kommerziellen Firmen und das BSI nicht zusammenarbeiten oder gar zu wenig Ahnung von sicherer Softwareentwicklung haben? Und das bei einem so wichtigen System für 80 Mio. Bürger, bei dem Sicherheit an oberster Stelle stehen sollte.
  • Warum wurden offensichtlich veraltete Softwarebestandteile in der AusweisApp verwendet (z.B. alte Java-Version mit bekannten Lücken)?
  • Warum wird die AusweisApp nicht vor der Veröffentlichung einer breiten Masse an Computer- und Sicherheitsexperten zum Test übergeben? Idealerweise durch Veröffentlichung als Open Source Software. Warum wird die Software hinter verschlossenen Türen entwickelt von rein kommerziell ausgerichteten Unternehmen? Warum vertraut man nicht externen Sachverständigen (wie z.B. dem CCC) oder jedem engagierten Privatanwender als Tester? Und zwar bevor das System tausendfach beim Bürger eingesetzt wird!
  • Muss nicht abermals der Sinn einer Verschmelzung hoheitlicher Aufgaben (Ausweis) mit kommerziellen, wirtschaftlichen Interessen (eID, dig. Signatur) bezweifelt und hinterfragt werden?

Ich jedenfalls zweifele stark an der Kompetenz der beteiligten Firmen und fordere das BSI bzw. das Innenministerium auf, die weitere Entwicklung der AusweisApp unter Einbeziehung der interessierten Öffentlichkeit vorzunehmen.

Weitere Meldungen zum Thema:

Quelle Bild: Wikipedia

Einführung des elektronischen Personalausweises wird zur Farce

Ich wusste nicht, ob ich lachen oder weinen sollte, als ich am Donnerstag auf dem Nachhauseweg den Artikel „Wackelpartie für den neuen Personalausweis“ bei Heise Online las. Der gleiche Artikel ist auch in der gestrigen Ausgabe 41 der VDI nachrichten erschienen.

Die Einführung des elektronischen Personalausweises (ePA) gerät zur Farce, wenn man sich die Geschichte als IT-kundiger und mit gesundem Menschenverstand ausgestatteter Ingenieur anschaut. Schon die Limitierung der Software in den Ämtern auf Microsoft-Produkte ist eigentlich eine Frechheit. Ich könnte mir z.B. vorstellen, dass damit der zwingende Einsatz des proprietären .NET Frameworks von Microsoft gemeint ist, das zudem nur unter Windows aus dem gleichen Hause läuft. Da hat wahrscheinlich jemand einfach mal angefangen, etwas zu programmieren. Und da zufällig (oder zwangsweise durch die gängige Bündelung von PC-Hardware mit Microsoft-Produkten) .NET auf dem Rechner installiert war, wurde es genommen. Was auch immer in dem Artikel mit „Verwendung von Microsoft-Produkten“ gemeint ist, das ist jedenfalls eine ungeheurere Verschwendung von Steuergeldern durch Lobbyismus und/oder fehlenden Sachverstand. Ich kann nur hoffen, dass sich die Städte, die bereits auf Open Source und offene Standards umgestiegen sind, gegen solche Machenschaften wehren.

Was Lobbyarbeit und Meinungsmache sonst noch bewirkt, kann man sehr schön an einem aktuellen Beispiel (Stuttgart 21) bei den NachDenkSeiten nachlesen. Wie beim ePA handelt es sich bei Stuttgart 21 um ein „Großprojekt“, das gnadenlos durchgezogen wird, weil mächtige finanzielle Interessen dahinter stehen.

Kampf ums Internet hat begonnen II

Zuerst möchte ich einen kleinen Nachtrag bringen zu meinem vorherigen Beitrag Kampf ums Internet hat begonnen. Wie Heise berichtet hat, soll die Bundesregierung angeblich derzeit keinen „Internet-Ausweis“ planen. Diesen hatte Wolfgang Bosbach ins Spiel brachte, um Handlungen der Internetnutzer zurückverfolgen zu könne. Nun gut, vielleicht hat Herr Bosbach nur den elektronischen Personalausweis gemeint, der eine optionale digitale Identität enthalten soll, mit der rechtsverbindliche Geschäfte und Behördengänge im Internet möglich werden sollen. Wie dem auch sei, wir müssen wachsam sein, was die Politik uns noch alles als Sicherheitsgewinn verkaufen will. Die Zeit, sich als Bürger alles gefallen zu lassen, ist vorbei.

Fangen wir doch einmal an, über die wahren „Abgründe“ des Internets zu diskutieren. Denn diese offenbaren sich nicht in Form von Fehlverhalten einzelner Internetnutzer, die es sicherlich auch gibt. Nein, wenn das Internet zum Sündenpfuhl abgestempelt werden soll, dann fast ausschließlich aufgrund kommerzieller Machenschaften der Klientel von Politikern wie Bosbach, von der Leyen & Co – nämlich der Privatwirtschaft und ihrem Gefolge, die bei der Kommerzialisierung des Internets verdienen wollen. Es sind in der Tat nicht die Internetnutzer, die stärker überwacht und in ihrem Handeln eingeschränkt werden müssen. Es sind hingegen die Lobbygruppen, denen unsere Politiker dienen. Denn die Politik dient längst nicht mehr den Bürgern. Sie dient den Wirtschaftsbossen, den Banken und Versicherungen, und mit Blick aufs Netz besonders der Werbewirtschaft und allen voran der Medienindustrie.

Zwei Beispiele gefällig?

1) Beim Thema Datenschutz hat der Gesetzgeber die Rechte der Verbraucher und Konsumenten zu schützen. Skandale in letzter Zeit haben einen mangelhaften Datenschutz und das kriminelle Potential der Wirtschaft aufgezeigt. Ganz zu schweigen, dass auch der Staat enormes Verbesserungspotential beim Datenschutz hat. Denn für vermeintliche Sicherheit wird der Datenschutz der Bürger oft fast komplett aufgehoben, wie man an etlichen Beispielen wie der Weitergabe von Bankdaten sieht.

Es wurde zwar mittlerweile ein neues Datenschutzgesetz auf den Weg gebracht und beschlossen. Dieses wurde aber letztendlich entschärft, da die Wirtschaftslobby Einwände gegen eine zu restriktive Beschränkung des Datenhandels hatte. Wie einfach auch danach noch der Handel mit unseren Daten ist, davon berichtet heute der NDR.

Meint Herr Bosbach mit seinem Vorstoß, diese Machenschaften zu beenden, mit denen unsere Bankkonten leergeräumt werden? Ich glaube nicht. Er meint uns, den gemeinen Internetnutzer, der sich vielleicht mal in der Wortwahl vertut, bei Ebay seinen Pflichten nicht nachkommt, eine geschützte Landkarte auf die Homepage einbindet oder einen falschen Link setzt. Womit wir zum zweiten Beispiel kommen.

2) Urheberrechte sind ein heißes Eisen im Netz. Vielleicht sogar genau das zentrale Problem, welches Politiker als Begründung für mehr Kontrolle der Nutzer heranziehen. Nur, warum ist das so? Nun, ganz einfach: Weil die „Inhaltemafia“ (Medien, Verlage, Musik- und Filmindustrie) trotz florierenden Geschäfts einen enormen Druck auf die Politik ausübt, da sie ihr Geschäftsmodell in die digitale Welt retten und den Profit maximieren will. Statt dem Bürger mehr Hilfen an die Hand zu geben, gestattet der Staat die Kriminalisierung vieler Nutzer. Sollte das Urheberrecht nicht vielmehr an die neuen Gegebenheiten der digitalen Welt, in der Kopieren eine natürliche Sache ist, angepasst werden? [1]

Herr Bosbach, wenn Sie wirklich eine Internet-Polizei etablieren wollen, dann sollte diese auf genau diese Machenschaften angesetzt werden, aber eben nicht zur Pauschalverurteilung einer freiheitsliebenden und auf ihre Grundrechte pochende Internet-Gemeinde. Im realen Leben gibt es weitaus größere Probleme zu lösen. Sie wollen davon nur ablenken.

Ich fordere Herrn Bosbach, Herrn Schäuble, Frau Krüger-Leißner, Frau von der Leyen & Co auf: Hören sie auf, uns Internetnutzer zu kriminalisieren und uns zu diffamieren. Lassen sie die Finger vom Netz, es sei denn sie wollen wirklich etwas zum Wohle der Bürger unternehmen. Dann aber bitte ausschließlich im Konsens mit uns und nicht gegen uns!

Erste Gespräche dazu könnten nach der Bundestagswahl stattfinden: Klarmachen zum Ändern!

Elektronischer Personalausweis kommt 2010

Der Bundesrat hat der Einführung des biometrischen Personalausweises mit elektronischem Identitätsnachweis zugestitmmt. Ab dem November 2010 werden die neuen Ausweise eingeführt.

Meines Erachtens ist die Kopplung der Feststellung der Identität mit Funktionen des alltäglichen elektronischen Rechtsverkehrs auf einer Karte kritisch zu sehen. Eine separate Bürgerkarte für elektronische Geschäfte wäre die bessere Wahl gewesen. Bleibt zu hoffen, dass die Abgabe der Fingerabdrücke freiwillig bleibt und sich möglichst viele Brüger nicht für eine biometrischen Vollerfassung entscheiden. Denn mehr Sicherheit bringen Biometrie und RFID nicht, was man allein bei der Handhabung in den Meldebehörden sieht.

Chaosradio CR139: Biometrische Ausweisdokumente – Jetzt erfassen wir alle

Der Chaos Computer Club (CCC) befasste sich in der Chaosradio-Ausgabe CR139 mit dem neuen elektronischen Personalausweis (ePA), der ab 2010 eingeführt werden soll. Vor allem die Schwachpunkte und Sicherheitsmängel werden angesprochen (Kopplung mit Digitaler Signaturfunktion, Schreibrechte durch Meldeämter, etc.).

Links dazu:

Der elektronische Personalausweis kommt

Der Arbeitskreis Vorratsdatenspeicherung hat heute eine Stellungnahme zum geplanten elektronischen Personalausweis (ePA) abgegeben. Dort wird auf die Gefahren durch die biometrische und elektronische Erfassung der Bevölkerung hingewiesen. Die wichtigsten Kritikpunkte dazu sind:

  • Die anonyme elektronische Kommunikation wird erheblich erschwert oder in Zukunft gar unmöglich. Das betrifft nicht nur das Internet, sondern alle Vorgänge, bei denen elektronische Kommunikation stattfindet und man die Identität des Bürgers feststellen möchte oder muss, z.B. beim Einkauf.
  • Die per Funk (RFID) auslesbaren Ausweise laden dazu ein, die gespeicherten Daten automatisch mit anderen Datenbanken abzugleichen oder in andere Datenbanken zu speichern. Das Recht auf informationelle Selbstbestimmung ist gefährdet. Die Kontrolle über die Daten könnte ein großes Problem werden, zumal bei RFID auch unbemerktes Auslesen möglich ist.
  • Die Freiwilligkeit bei der Aufnahme von Fingerabdrücken könnte bald einem Zwang weichen.

Der AK Vorrat empfiehlt daher den Bürgern, die elektronischen Authentisierungs- und Signaturfunktionen und die Aufnahme von Fingerabdrücken nicht zu nutzen.

Besonders hinsichtlich der Fingerabdrücke und der RFID-Schnittstelle kann ich das voll unterstützen. Was die Signaturfunktionen angeht, ist die allgemeine Idee nicht schlecht, allerdings hätte ich mir gewünscht, diese in eine separate „Bürgerkarte“ einzubauen.

Weitere Infos zum ePA:

Fingerabdrücke im elektronischen Personalausweis freiwillig

Die Große Koalition hat sich darauf geeinigt, dass auf dem zukünftigen elektronischen Personalausweis die Fingerabdrücke nur optional gespeichert werden. Die Abgabe und Speicherung der Fingerabdrücke soll freiwillig sein.

Welche Gefahren und Irrwege mit der Verwendung von Fingerabdrücken verbunden sind, habe ich bereits in diesem Beitrag beschrieben. Bleibt zu hoffen, dass man an diesem Entschluss festhält oder – besser noch – den Fingerabdruck völlig aus den Ausweisen verbannt. Denn durch die Freiwilligkeit wird es ein Merkmal geben, in dem sich die Personalausweise einzelner Bürger unterscheiden werden. Diejenigen, die sich nicht erkennungsdienstlich behandeln lassen wollen und ihre persönlichsten Daten dem Staat vorenthalten, werden als solche erkennbar sein. Bleibt zu hoffen, dass sich möglichst viele Bürger dazu entschließen, die Fingerabdrücke nicht abzugeben. Wachsamkeit und Widerstand gegen die Einführung des gläsernen Bürgers bleiben wichtig.

Meldungen dazu: