Quelle CR161: Chaosradio

Der vorerst größte GAU ist aber eingetreten, nachdem ein Mitglied der Piratenpartei die offizielle AusweisApp binnen Stunden hacken konnte. Gratulation übrigens für diesen bescheuerten Namen für eine Software mit teilweise mehr als 100 MByte Größe. Der Angriff auf die Update-Funktion der AusweisApp mittels DNS-Spoofing ist einfacher Natur und für Sicherheitsexperten tägliches Brot. Der Rechner des Betroffenen kann damit recht beliebig manipuliert werden. Und natürlich ist damit die Sicherheit des nPA als Ende-zu-Ende-System empfindlich betroffen!

Da kommen mir ein paar Fragen auf:

• Warum wurden einfachste Angriffe auf die Sicherheit der AusweisApp bei der Entwicklung nicht berücksichtigt bzw. getestet? Könnte es daran liegen, dass die beteiligten kommerziellen Firmen und das BSI nicht zusammenarbeiten oder gar zu wenig Ahnung von sicherer Softwareentwicklung haben? Und das bei einem so wichtigen System für 80 Mio. Bürger, bei dem Sicherheit an oberster Stelle stehen sollte.
• Warum wurden offensichtlich veraltete Softwarebestandteile in der AusweisApp verwendet (z.B. alte Java-Version mit bekannten Lücken)?
• Warum wird die AusweisApp nicht vor der Veröffentlichung einer breiten Masse an Computer- und Sicherheitsexperten zum Test übergeben? Idealerweise durch Veröffentlichung als Open Source Software. Warum wird die Software hinter verschlossenen Türen entwickelt von rein kommerziell ausgerichteten Unternehmen? Warum vertraut man nicht externen Sachverständigen (wie z.B. dem CCC) oder jedem engagierten Privatanwender als Tester? Und zwar bevor das System tausendfach beim Bürger eingesetzt wird!
• Muss nicht abermals der Sinn einer Verschmelzung hoheitlicher Aufgaben (Ausweis) mit kommerziellen, wirtschaftlichen Interessen (eID, dig. Signatur) bezweifelt und hinterfragt werden?

Ich jedenfalls zweifele stark an der Kompetenz der beteiligten Firmen und fordere das BSI bzw. das Innenministerium auf, die weitere Entwicklung der AusweisApp unter Einbeziehung der interessierten Öffentlichkeit vorzunehmen.

Weitere Meldungen zum Thema:

• Elektronischer Personalausweis: Neue AusweisApp kommt in Kürze (Heise)
• Deine wichtigste Karte? Vom Umgang mit dem neuen Personalausweis (Heise)
• Kritik an Sicherheit des “Perso” hält an (Heise)
• Kriminaler nennt Technik Elektroschrott (Focus)
• Datenschützer gibt bei Personalausweis Entwarnung (Heise)
• Chaos Computer Club„Der ePerso könnte ein Rohrkrepierer werden“ (Focus)
• Elektronischer Ausweis – Der Perso fürs Netz (Spiegel)

Quelle Bild: Wikipedia

Die Einführung des elektronischen Personalausweises (ePA) gerät zur Farce, wenn man sich die Geschichte als IT-kundiger und mit gesundem Menschenverstand ausgestatteter Ingenieur anschaut. Schon die Limitierung der Software in den Ämtern auf Microsoft-Produkte ist eigentlich eine Frechheit. Ich könnte mir z.B. vorstellen, dass damit der zwingende Einsatz des proprietären .NET Frameworks von Microsoft gemeint ist, das zudem nur unter Windows aus dem gleichen Hause läuft. Da hat wahrscheinlich jemand einfach mal angefangen, etwas zu programmieren. Und da zufällig (oder zwangsweise durch die gängige Bündelung von PC-Hardware mit Microsoft-Produkten) .NET auf dem Rechner installiert war, wurde es genommen. Was auch immer in dem Artikel mit “Verwendung von Microsoft-Produkten” gemeint ist, das ist jedenfalls eine ungeheurere Verschwendung von Steuergeldern durch Lobbyismus und/oder fehlenden Sachverstand. Ich kann nur hoffen, dass sich die Städte, die bereits auf Open Source und offene Standards umgestiegen sind, gegen solche Machenschaften wehren.

Was Lobbyarbeit und Meinungsmache sonst noch bewirkt, kann man sehr schön an einem aktuellen Beispiel (Stuttgart 21) bei den NachDenkSeiten nachlesen. Wie beim ePA handelt es sich bei Stuttgart 21 um ein “Großprojekt”, das gnadenlos durchgezogen wird, weil mächtige finanzielle Interessen dahinter stehen.

Fangen wir doch einmal an, über die wahren “Abgründe” des Internets zu diskutieren. Denn diese offenbaren sich nicht in Form von Fehlverhalten einzelner Internetnutzer, die es sicherlich auch gibt. Nein, wenn das Internet zum Sündenpfuhl abgestempelt werden soll, dann fast ausschließlich aufgrund kommerzieller Machenschaften der Klientel von Politikern wie Bosbach, von der Leyen & Co – nämlich der Privatwirtschaft und ihrem Gefolge, die bei der Kommerzialisierung des Internets verdienen wollen. Es sind in der Tat nicht die Internetnutzer, die stärker überwacht und in ihrem Handeln eingeschränkt werden müssen. Es sind hingegen die Lobbygruppen, denen unsere Politiker dienen. Denn die Politik dient längst nicht mehr den Bürgern. Sie dient den Wirtschaftsbossen, den Banken und Versicherungen, und mit Blick aufs Netz besonders der Werbewirtschaft und allen voran der Medienindustrie.

Zwei Beispiele gefällig?

1) Beim Thema Datenschutz hat der Gesetzgeber die Rechte der Verbraucher und Konsumenten zu schützen. Skandale in letzter Zeit haben einen mangelhaften Datenschutz und das kriminelle Potential der Wirtschaft aufgezeigt. Ganz zu schweigen, dass auch der Staat enormes Verbesserungspotential beim Datenschutz hat. Denn für vermeintliche Sicherheit wird der Datenschutz der Bürger oft fast komplett aufgehoben, wie man an etlichen Beispielen wie der Weitergabe von Bankdaten sieht.

Es wurde zwar mittlerweile ein neues Datenschutzgesetz auf den Weg gebracht und beschlossen. Dieses wurde aber letztendlich entschärft, da die Wirtschaftslobby Einwände gegen eine zu restriktive Beschränkung des Datenhandels hatte. Wie einfach auch danach noch der Handel mit unseren Daten ist, davon berichtet heute der NDR.

Meint Herr Bosbach mit seinem Vorstoß, diese Machenschaften zu beenden, mit denen unsere Bankkonten leergeräumt werden? Ich glaube nicht. Er meint uns, den gemeinen Internetnutzer, der sich vielleicht mal in der Wortwahl vertut, bei Ebay seinen Pflichten nicht nachkommt, eine geschützte Landkarte auf die Homepage einbindet oder einen falschen Link setzt. Womit wir zum zweiten Beispiel kommen.

2) Urheberrechte sind ein heißes Eisen im Netz. Vielleicht sogar genau das zentrale Problem, welches Politiker als Begründung für mehr Kontrolle der Nutzer heranziehen. Nur, warum ist das so? Nun, ganz einfach: Weil die “Inhaltemafia” (Medien, Verlage, Musik- und Filmindustrie) trotz florierenden Geschäfts einen enormen Druck auf die Politik ausübt, da sie ihr Geschäftsmodell in die digitale Welt retten und den Profit maximieren will. Statt dem Bürger mehr Hilfen an die Hand zu geben, gestattet der Staat die Kriminalisierung vieler Nutzer. Sollte das Urheberrecht nicht vielmehr an die neuen Gegebenheiten der digitalen Welt, in der Kopieren eine natürliche Sache ist, angepasst werden? [1]

Herr Bosbach, wenn Sie wirklich eine Internet-Polizei etablieren wollen, dann sollte diese auf genau diese Machenschaften angesetzt werden, aber eben nicht zur Pauschalverurteilung einer freiheitsliebenden und auf ihre Grundrechte pochende Internet-Gemeinde. Im realen Leben gibt es weitaus größere Probleme zu lösen. Sie wollen davon nur ablenken.

Ich fordere Herrn Bosbach, Herrn Schäuble, Frau Krüger-Leißner, Frau von der Leyen & Co auf: Hören sie auf, uns Internetnutzer zu kriminalisieren und uns zu diffamieren. Lassen sie die Finger vom Netz, es sei denn sie wollen wirklich etwas zum Wohle der Bürger unternehmen. Dann aber bitte ausschließlich im Konsens mit uns und nicht gegen uns!

Erste Gespräche dazu könnten nach der Bundestagswahl stattfinden: Klarmachen zum Ändern!

Meines Erachtens ist die Kopplung der Feststellung der Identität mit Funktionen des alltäglichen elektronischen Rechtsverkehrs auf einer Karte kritisch zu sehen. Eine separate Bürgerkarte für elektronische Geschäfte wäre die bessere Wahl gewesen. Bleibt zu hoffen, dass die Abgabe der Fingerabdrücke freiwillig bleibt und sich möglichst viele Brüger nicht für eine biometrischen Vollerfassung entscheiden. Denn mehr Sicherheit bringen Biometrie und RFID nicht, was man allein bei der Handhabung in den Meldebehörden sieht.

Links dazu:

• Hier geht’s zum Podcast
• Wiki-Eintrag beim CCC
• CCC-Blog

• Die anonyme elektronische Kommunikation wird erheblich erschwert oder in Zukunft gar unmöglich. Das betrifft nicht nur das Internet, sondern alle Vorgänge, bei denen elektronische Kommunikation stattfindet und man die Identität des Bürgers feststellen möchte oder muss, z.B. beim Einkauf.
• Die per Funk (RFID) auslesbaren Ausweise laden dazu ein, die gespeicherten Daten automatisch mit anderen Datenbanken abzugleichen oder in andere Datenbanken zu speichern. Das Recht auf informationelle Selbstbestimmung ist gefährdet. Die Kontrolle über die Daten könnte ein großes Problem werden, zumal bei RFID auch unbemerktes Auslesen möglich ist.
• Die Freiwilligkeit bei der Aufnahme von Fingerabdrücken könnte bald einem Zwang weichen.

Der AK Vorrat empfiehlt daher den Bürgern, die elektronischen Authentisierungs- und Signaturfunktionen und die Aufnahme von Fingerabdrücken nicht zu nutzen.

Besonders hinsichtlich der Fingerabdrücke und der RFID-Schnittstelle kann ich das voll unterstützen. Was die Signaturfunktionen angeht, ist die allgemeine Idee nicht schlecht, allerdings hätte ich mir gewünscht, diese in eine separate “Bürgerkarte” einzubauen.

Weitere Infos zum ePA:

• Kritische Erkenntisse zum Grobkonzept des ePA finden sich im ravenhorst Blog.
• Auch der Opposition sind die Sicherheitsmängel ein Dorn im Auge.
• Verschiedene Artikel bei Heise: [1],[2],[3]

Welche Gefahren und Irrwege mit der Verwendung von Fingerabdrücken verbunden sind, habe ich bereits in diesem Beitrag beschrieben. Bleibt zu hoffen, dass man an diesem Entschluss festhält oder – besser noch – den Fingerabdruck völlig aus den Ausweisen verbannt. Denn durch die Freiwilligkeit wird es ein Merkmal geben, in dem sich die Personalausweise einzelner Bürger unterscheiden werden. Diejenigen, die sich nicht erkennungsdienstlich behandeln lassen wollen und ihre persönlichsten Daten dem Staat vorenthalten, werden als solche erkennbar sein. Bleibt zu hoffen, dass sich möglichst viele Bürger dazu entschließen, die Fingerabdrücke nicht abzugeben. Wachsamkeit und Widerstand gegen die Einführung des gläsernen Bürgers bleiben wichtig.

Meldungen dazu:

• Heise
• ARD Tagesschau
• Focus 1, Focus 2 (mit Kommentaren von Lesern)
• Spiegel