Thema: Privatsphäre: Datenschützer kritisiert Biometriepässe

[SiLæncer]

Jens Bender vom BSI wies die Kritik an der Sicherheit der neuen Personalausweise zurück. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen "eindeutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort." Ein Basisleser sei für die Online-Authentifizierung in Ordnung. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software, die Einrichtung einer Firewall und einen aktuellen Virenschutz. Denkbar sei ein klassischer Trojaner-Angriff, bei dem die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. Damit habe man als Angreifer aber noch keinen direkten Zugriff auf die persönlichen Daten. Diese würden nur verschlüsselt übertragen.

Quelle : www.heise.de

[SiLæncer]

Nach einer Ankündigung der Plusminus-Redaktion  über die Demonstration von Sicherheitslücken des elektronischen Personalausweises (ePA) haben sich Sicherheitsexperten, Datenschützer und Politiker vorab zu Wort gemeldet. Die in Zusammenarbeit mit dem Chaos Computer Club (CCC) beschriebenen Sicherheitslücken beruhen auf der Erkenntnis, dass mit dem neuen Ausweis "Sicherheitskits" in den Umlauf kommen sollen, die überwiegend einfachste Basis-Kartenleser enthalten. Diese Kartenleser sind USB-Sticks ohne weitere Funktionen, besitzen also keine eigene Tastatur wie der Standard- oder Komfort-Kartenleser. Die PIN-Eingabe, die beim Einsatz des ePA Pflicht ist, erfolgt hier über den Rechner, der (etwa mit einem Keylogger) kompromittiert sein könnte. Sei die PIN bekannt, so das Angriffsszenario, könnte der Ausweis gezielt entwendet und missbraucht werden.

Gegenüber dem Radiosender NDR-Info sprach sich der Bundesdatenschutzbeauftragte Peter Schaar gegen einen Einsatz dieser Basis-Kartenleser aus: "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser, die vom Bundesinnenministerium verteilt werden, eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", erklärte Schaar. Die PIN allein sei nicht kritisch. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, "ist in der Tat Gefahr in Verzug".

Juristisch sind diese technisch richtigen Bedenken des Datenschützers nicht haltbar. Mit der Einführung des elektronischen Personalausweises wird auch das Personalausweisgesetz geändert. Gerade weil der Ausweis eine wichtige ID-Komponente im Internet-Alltag ist und nicht nur hoheitliche Funktionen hat, soll er nicht länger hinterlegt werden dürfen. Wer dies dennoch verlangt, muss ein Bußgeld zahlen, darauf weist der Jurist Jens Ferner in seinem Blog über die neuen Rechten und Pflichten hin, die der ePA mit sich bringt. Zu den Pflichten gehört auch, den heimischen PC auf den jeweiligen Stand der Sicherheit zu bringen, wie er aktuell vom BSI definiert wird. Inhaber von elektronischen Personalausweisen müssen sich regelmäßig beim BSI über den Stand der Technik informieren.

Gegenüber der Nachrichtenagentur dpa vertrat der stellvertretende innenpolitische Sprecher der SPD- Bundestagsfraktion Michael Hartmann die Ansicht, dass bei den geringsten begründeten Zweifeln der Start des neuen Ausweises verschoben werden müsse. Er erklärte zu dem angekündigten "Plusminus"-Bericht, es dränge sich der Eindruck auf, "dass die zuständigen Experten die Sicherheitsschranken zu niedrig angesetzt haben". Er würde seiner Fraktion empfehlen, eine Debatte über die Sicherheit solcher Ausweissysteme anzustoßen.

In seiner Stellungnahme übersieht Hartmann jedoch, dass alle verwendeten Protokolle und Mechanismen beim ePA einem Peer-Review der Fachwelt unterlagen und dabei auch getestet wurde, ob Alternativen ein höheres Maß an Sicherheit bieten können. Dass Sicherheitsmaßnahmen "zu niedrig" liegen, liegt an dem Basis-Kartenleser, der in der Fläche verteilt werden soll, um schnell Akzeptanz für den Personalausweis zu erzeugen.

Dies greift jetzt der Chaos Computer Club auf. Gegenüber dem Rundfunksender MDR-Info kritisierte CCC-Sprecher Frank Rosengart, dass bei der Sicherheitstechnik Abstriche gemacht worden seien, um möglichst viele Lesegeräte kostenlos oder kostengünstig verteilen zu können. Im Rahmen der Starter-Kits, die mit Mitteln des Konjunkturpakets II finanziert werden, vertreiben der deutsche Genossenschaftsverlag, die Firmen Impuls, T-Systems, StarFinanz und SCT Reiner verschiedene Kartenleser an die interessierte Bevölkerung, wobei nur der Basis-Kartenleser kostenlos abgegeben werden soll und für Standard- und Komfortleser Zuzahlungen notwendig sind.

Quelle : www.heise.de

[SiLæncer]

Der deutsche Genossenschaftsverlag, Impuls Systems und Star Finanz vertreiben ausschließlich Standard- und Komfort-Lesegeräte von Reiner SCT. Dabei werden im Rahmen von Kundenbindungsprogrammen teilweise auch Standardleser kostenlos abgegeben. Die kritisierten Basisleser werden von CHIP Communications, der Cosmos Lebensversicherungs-AG, der KKH-Allianz und der Firma Multicard ausgegeben.

Quelle : www.heise.de

[SiLæncer]

Während zahlreiche Datenschützer ernste Bedenken haben, wenn es um den neuen elketronischen Personalausweis geht, der Anfang November in Deutschland eingeführt wird, sprach sich der Bundesinnenminister Thomas de Maizìere gegenüber der Frankfurther Allgemeinen Sonntagszeitung ausdrücklich für das neue Kärtchen aus.

Am 1. November 2010 ist es soweit. Der elektronische, scheckkartengroße Personalausweis wird den alten Pass ablösen. Auf einem integrierten Chip werden alle Daten, die auf der alten Version des Ausweises noch schriftlich zu lesen waren, gespeichert. Auch Platz für den Fingerabdruck des Besitzers ist gegeben. Durch den Umstieg verspricht die Bundesregierung sich und den deutschen Bürgern viele Vorteile. So sollen Onlineeinkäufe, Altersüberprüfungen im Netz und auch Kontoeröffnungen schneller und vor allem sicherer vonstatten gehen. Und obwohl zahlreiche Datenschützer Alarm schlagen, dass der neue Ausweis Tür und Tor für Betrügereinen öffne, sprach sich der Bundesinnenminister Thomas de Maizìere von der CDU gegenüber der Frankfurther Allgemeinen Sonntagszeitung, ausdrücklich für den Wechsel aus.

Der neue Personalausweis macht die Anmeldung und Registrierung an Online-Portalen sowie Rechtsgeschäfte im Internet, zum Beispiel Einkäufe, sicherer. Denn es ist nun möglich, die Identität des Empfängers und des Absenders eindeutig festzustellen“ argumentierte er. Diese Feststellung der Identität wird über ein Lesegerät, das jeder Deutsche sich auf seinen Schreibtisch stellen kann, erfolgen. Allerdings vermuten Kritiker genau hier die ernstzunehmenden Schwächen des Kärtchens. Es wir drei verschiedene Typen der Kartenleser geben, welche die Namen Basis, Standard und Komfort tragen. Das Basisgerät, welches unkompliziert via USB mit dem Computer verbunden werden soll, wurde auf Nachfrage des ARD-Magazins Plusminus vom Chaos-Computer-Club genauer unter die Lupe genommen. Und tatsächlich fand man einen Weg, die zur Verifizierung benötigte sechstellige PIN auszulesen: Da das Basis-Gerät über keine Tastatur zur Eingabe der Geheimzahl verfügt, muss diese via Tastatur eingetippt werden. Eine fatale Sicherheitslücke, wie man meint. Denn mit einem Trojaner, der von einem Hacker beispielsweise via E-Mail in den Computer des Opfers eingeschleust werden könnte wäre es möglich die PIN auszulesen.
De Maizìere kommentierte das Ergebnis mit den Worten, dass damit „das Rechtsgeschäft im Internet noch nicht gefährdet und die eigene Identität nicht missbrauchbar [ist], denn der Angreifer benötigt immer noch den Ausweis selbst“. Diese Tatsache ist zwar vorerst nicht abzustreiten, allerdings könnte ein Verbrecher, der es ernst meint, auch den Wohnort seines Opfers mittels des Trojaners ausspionieren, was bei einem eventuell geplanten Diebstahl der Karte durchaus hilfreich sein könnte, erklärte der Chaos-Computer-Club.

Die Regierung plant für insgesamt 24 Millionen Euro über eine Millionen der eventuell unsicheren Basis-Kartenleser kostenlos an ihre Bürger zu verteilen.

Quelle : www.gulli.com

[SiLæncer]

Tüftler und Kriminelle können den elektronischen Personalausweis und auch die Schweizer SuisseID mit einfachen Mitteln fernsteuern und so auch ohne direkten Zugriff auf die Dokumente die Identität des Ausweisinhabers missbrauchen, darauf weist der Chaos Computer Club (CCC) hin.

Der CCC hat in Zusammenarbeit mit Schweizer Sicherheitsexperten Schwachstellen im neuen elektronischen Personalausweis (ePA) und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, dass sich mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der ePA ferngesteuert benutzen lassen.

Der neue elektronische biometrische Ausweis soll am 1. November 2010 in Deutschland eingeführt werden. Die Technik weise große Parallelen zur SuisseID auf, die in der Schweiz bereits im Umlauf ist.

Sie verwenden dabei Schadsoftware, um die Tastatureingaben zu belauschen und so an die PIN des Nutzers zu gelangen: "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", kommentiert CCC-Sprecher Dirk Engling. "Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muss bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen."

Es sei leider traurige Realität, dass viele aktuelle Computer nicht zu jedem Zeitpunkt allein unter der Kontrolle ihrer Besitzer stehen. Doch dieser Gefahr werde beim ePA nicht ausreichend Rechnung getragen und die Verwendung einfacher Smartcard-Leser erlaubt und sogar gefördert: "Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er gezwungen, seine geheime PIN über die Tastatur seines Rechners einzugeben", womit einem auf dem PC lauernden Trojaner das Mitlesen möglich sei, so der CCC.

Angreifer können den elektronischen Personalausweis aus der Ferne nutzen

Mit dem Wissen um die PIN könne ein Angreifer dann den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweises ausgeben, ohne dabei auf die übertragenen Daten Zugriff zu nehmen. Zudem könne der Angreifer die PIN des Ausweises ändern, womit der rechtmäßige Besitzer diesen selbst nicht mehr entsprechend nutzen kann.

"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich", sagt CCC-Sprecher Dirk Engling.

Das Bundesinnenministerium hat im Rahmen des Großprojekts die einfachen Basislesegeräte ohne eigene Tastatur erworben, die per Schadsoftware abgeschnüffelt werden können, wie der CCC zeigt. Eine Million dieser Geräte sollen in einem "Starterkit" an Ausweisbesitzer vergeben werden. Damit wird "Betroffenen eine potenzielle Sicherheitslücke untergejubelt", kritisieren die Hacker und merken an, dass dadurch sozial schwache Nutzer des ePA besonders benachteiligt werden. Denn diese würden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potenziellen Risiken gar nicht aufgeklärt.

Nach Ansicht der Hacker bieten aber auch die teureren Lesegeräte mit eigener PIN-Tastatur nur begrenzten Schutz. Sie verweisen dabei auf "Man-In-The-Browser", wie sie aus dem Onlinebanking bekannt sind. Dabei wird der Inhalt von Transaktionen modifiziert, ohne dass der Benutzer dies bemerkt. Daher würden bei den meisten Online-Banking-Applikationen zusätzlich die eigentlichen Transaktionen signiert. Beim ePA sei das nicht der Fall.

PDFs bergen weitere Risiken

Ein weiteres Problem stellt die Verwendung komplexer Dokumentenformate dar: So könne nicht davon ausgegangen werden, dass ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht. Es gibt weder klare Richtlinien noch Empfehlungen, kritisiert der CCC.

So sei es möglich gewesen, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven Javascript-Inhalten zu signieren, ohne dass die Applikation selbst dieses Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation, beispielsweise dem weit verbreiteten Acrobat Reader der Firma Adobe, sieht das Dokument anders aus und unter gewissen Bedingungen werde sogar die rechtsgültige Unterschrift weiter als qualifiziert und intakt dargestellt.

Daher sei es "grundsätzlich eine schlechte Idee, komplexe Dokumentenformate wie PDF für solche Signaturen zu verwenden", sagt Thorsten Schröder.

"Die an der Einführung und am Betrieb der Systeme beteiligten Unternehmen und staatlichen Stellen können nicht oft genug an ihre Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden", sagt Schröder. "Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter Marketinggeschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Missbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."

CCC rät zu Lesegeräten der Klasse 2

Der CCC rät allen zukünftigen Ausweisbesitzern, höherwertige Lesegeräte mindestens der Klasse 2 mit PIN-Tastatur zu verwenden. Damit sei es zumindest möglich, sich vor den simplen Angriffen mittels leicht verfügbarer Spionagesoftware zu schützen.

Die Beteuerungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der "Spagat zwischen Datenschutz und Bedienungskomfort" sei bei ePA gelungen, kommentiert CCC-Sprecher Engling trocken: "Was die da rauchen, hätten wir auch gern mal."

Quelle : www.golem.de

[SiLæncer]

Ab November sollen Bürger, die einen Personalausweis beantragen, das neue Ausweisdokument mit Chip erhalten. Doch ein Blick in die Kommunen, die für die Abwicklung der Anträge zuständig sind, weckt starke Zweifel, ob sich der Termin halten lassen wird. Claudia Drescher vom Bayerischen Gemeindetag  weiß, dass der Unmut über den Bund im Moment groß ist: Die Kommunen müssen für die Umstellung auf die neue Ausweistechnik einen wesentlich höheren Aufwand treiben, als erwartet.

Weil die Technik noch gar nicht funktioniert, konnten Arbeitsabläufe zudem noch nicht erprobt werden. Anton Hanfstengl, Leiter des Bürgerbüros München, sagte heise online, dass der neue Personalausweis "eines der kritischsten Projekte ist, die wir je durchgeführt haben". Er glaubt, "dass wir die Zeit bis zur Einführung und die mit dem Projekt verbundenen Schwierigkeiten unterschätzt haben."

Das größte Problem scheinen zurzeit die Änderungsterminals darzustellen, die von der Bundesdruckerei gestellt werden. Sie müssen in das System der Gemeinde eingebunden werden. Dafür investieren laut Drescher viele Kommunen in neue PC-Hardware, weil ihre alten Rechner den Anforderungen der Bundesdruckerei nicht mehr genügen. Dennoch scheint das für eine gelungene Anbindung bislang nicht auszureichen.

Hanfstengl sind bis heute keine Kommunen bekannt, die die Änderungsterminals mit Hilfe der von der Bundesdruckerei gelieferten Software bereits anbinden konnten: "Wir haben bereits verschiedene Versionen erhalten, aber alle waren so fehlerbehaftet, dass sie sich als nicht einsatzfähig herausstellten." Die meisten Hersteller von kommunaler Software, die in den Melde- und Ausweisbehörden zum Einsatz kommt, hätten die Software nicht in die Systeme einbinden können. Daher habe bislang kaum ein Verfahren durchgetestet werden können.

Ärger machen auch die herstellerabhängigen Vorgaben der Bundesdruckerei, die etwa die Verwendung von Microsoft-Produkten bindend vorgeben. Für das Präsidium des Deutschen Städtetags ist dieses Vorgehen mit Blick auf Open-Source-Städte wie München, Freiburg oder Jena "nicht akzeptabel". Es fordert daher den Bund auf, "bei der Vorgabe von Hard- und Softwareanforderungen an die zur Beantragung und Ausgabe der neuen Ausweise benötigte IT-Ausstattung der Behörden die Kompatibilität mit offenen Standards wie beispielsweise Linux zu gewährleisten."

Auch die jüngste, vor wenigen Tagen erst angelieferte Version der Anbindungssoftware für die Änderungsterminals soll derart fehlerbehaftet gewesen sein, dass sie zumindest in München nicht einsatzfähig war. "Für uns ist es unersichtlich, ob das am Programm oder unserer IT-Umgebung liegt", so Hanfstengl. "Jedenfalls wird es mit der Umsetzung bis zum 1. November kritisch." Eine Schulung der Mitarbeiter sei so nur eingeschränkt möglich. Hanfstengl führt die Probleme jedenfalls auf die sehr unterschiedliche IT- und Verfahrensausstattung der Kommunen zurück.

Dazu dürften auf die Bürger längere Wartezeiten zukommen: Bislang hat die Ausgabe des Personalausweises fünf bis zehn Minuten gedauert, künftig wird sie etwa eine halbe Stunde dauern. Kommunen wie München, Frankfurt und Düsseldorf rechnen mit dreifachen Bearbeitungszeiten. Das bedeutet, dass bereits der Dritte in der Warteschlange bei einem Bearbeiter eine Stunde lang warten müsste. Bei der Einführung des digitalen Reisepasses hatte sich laut Hanfstengl die Bearbeitungszeit um den Faktor zwei erhöht.

Die Furcht der Kommunen vor dem Unmut der Bürger ist entsprechend groß, berichtet Drescher frisch von einer Informationsveranstaltungen für bayerische Kommunen. Der Grund für die längeren Wartezeiten ist offensichtlich: Die Bürger müssen umfassender informiert werden und bis zu vier Erklärungen unterschreiben. Während der zehnjährigen Laufzeit des Ausweises werden sie zudem immer mal wieder in den Ausgabestellen auftauchen, um die eID-Funktion aus- oder einzuschalten und um die PIN an den Änderungsterminals zu ändern. Hanfstengl rechnet mit "vielen Menschen, die möglicherweise bei der Bedienung des Geräts Unterstützung brauchen."

Weil der Verwaltungsaufwand sich verdreifacht, haben die Kommunen neues Personal eingestellt. Die Stadt München etwa hat eben 20 neue Stellen eingerichtet. Um das neue Personal unterzubringen und größere Warteräume bereitstellen zu können, hat das Bürgerbüro seine Räumlichkeiten erweitert – andere Dienststellen mussten ausweichen, die Stadt musste neue Räume anmieten. Die Änderungsterminals, an denen die Bürger ihre etwa die PIN ändern können sollen, sollen aus Gründen der IT-Sicherheit sowie Usability nicht öffentlich aufgestellt werden.

Es kommen aber auch höhere Kosten auf die Kommunen zu: Sie müssen nämlich für jeden Ausweis 22,80 Euro an die Bundesdruckerei abführen und dürfen 6 Euro als Verwaltungskostenpauschale einbehalten. Wenn die Perso-Gebühr bei Bedürftigkeit ganz erlassen wird, müssen die Kommunen ihren Obolus an die Bundesdruckerei dennoch entrichten. Dasselbe ist bei Personen unter 24 Jahren der Fall, die nur 22,80 Euro für den Perso zahlen müssen. Die Kommunen müssen außerdem auf eigene Kosten das Informationsmaterial vorhalten, für das der Bund lediglich das Konzept vorgibt. Das Präsidium des Deutschen Städtetages kritisiert, dass die Verwaltungskostenpauschale für die Kommunen nicht kostendeckend sei. Nach zwei Jahren soll sie jedoch evaluiert werden.

Quelle : www.heise.de

[SiLæncer]

Die Piratenpartei in Hessen rät allen Bürgern, noch bis Freitag einen neuen Personalausweis zu beantragen. Dadurch bekommt man noch die alte Version des Dokuments, ohne die umstrittenen elektronischen Neuerungen.

Ab Montag, den ersten November, wird die alte Version des Ausweisdokuments nicht mehr ausgegeben, sondern nur noch der neue Personalausweis (nPa), auch bekannt unter dem Namen "ePerso". Die Unterschiede beginnen bereits beim Preis. Wo der alte noch 8 Euro kostete, soll der neue Ausweis 22,80 EUR für unter und 28,80 EUR für über 24-jährige kosten. Daneben besitzt er einen RFID-Chip, auf dem neben den Ausweisdaten auch biometrische wie Bild oder Fingerabdrücke gespeichert sind. Die zusätzliche Funktion, Interneteinkäufe mittels einer Signatur zu tätigen, kann gegen Aufpreis freigeschaltet werden.

Das neue, als sicherer angepriesene Dokument ist jedoch alles andere als unumstritten. "Nicht nur der höhere Preis spricht gegen den ePerso", erklärt der Politische Geschäftsführer der hessischen Piratenpartei, Tim Guck. "Die angepriesenen Sicherheitsfunktionen wurden schon mehrfach umgangen und die Zusatzfunktionen nutzen vor allem den Herstellern von Funkchipkarten und Lesegeräten". "Über den per Funk auslesbaren Chip soll, so die Erklärung der Regierung, auch das Einkaufen im Internet endlich sicher werden. Worin genau das Sicherheitsdefizit liegt, wird natürlich nicht weiter ausgeführt", fährt Guck fort. "Zu befürchten ist eher eine allgemeine Internet-Ausweispflicht in Deutschland, denn auch hierfür sind entsprechende Funktionen im Ausweis vorhanden. Eine anonyme Nutzung von z.B. Webforen oder Kommentarfunktionen wäre dann nicht mehr möglich."

Die Piratenpartei Hessen ruft daher dazu auf, noch bis Freitag einen der alten Personalausweise zu beantragen. Das sei auch möglich, wenn der bisherige noch eine lange Gültigkeitsdauer besitzt, allerdings könnte dann eine Zusatzgebühr von 5 Euro anfallen.

Quelle : www.gulli.com

[SiLæncer]

Bundesinnenminister Thomas de Maizière hat den neuen elektronischen Personalausweis bei einem Pressegespräch in Berlin am Freitag als Einstieg in ein vertrauenswürdiges Identitätsmanagement in der Online-Welt gelobt. Allein durch die Möglichkeit zur Online-Kontoeröffnung seien Einsparungen von 25 Millionen Euro möglich. Der Ausweis, der laut de Maizière "keinen Zugewinn für die innere Sicherheit" bietet, sei sehr sicher: "Er ist keineswegs bisher elektronisch erfolgreich angegriffen worden, das hat der Chaos Computer Club mir selbst gegenüber gesagt." De Maiziére verglich die Sicherheit des Ausweises mit dem Tragen eines Motorradhelms: "Er schützt Ihren Kopf, hilft aber nicht, wenn Sie stürzen und sich am Knie verletzen."

Ab Montag (bzw. Dienstag nach Allerheiligen) sollen rund 20.000 geschulte Mitarbeiter in 5300 Dienststellen bereit stehen, dem Bürger dabei zu helfen, einen neuen Personalausweis zu bekommen. Sie sollen gut beraten mit dem Ausweis eine sichere Online-Welt betreten können, erklärte de Maiziére. Entsprechend gut würden die Kommunen bezahlt: Statt 60 Cent wie beim alten Ausweis erhalten sie künftig 6 Euro der 28,80 Euro, die der elektronische Personalausweis kostet. Vom Start weg wird der neue Ausweis von Online-Angeboten begleitet. Das Log-in in die VZ-Netzwerke nannte de Maiziére an erster Stelle, gefolgt vom Online-Banking der DKB. Vielfältige Angebote sollen die Pionierstädte Hagen und Münster bereithalten, dazu sind mit HUK24, LVM und CosmosDirekt gleich drei Versicherungen am Start. "Ab März 2011 können Bürger ihre Steuererklärung mit ELSTER und dem neuen Ausweis online abgeben", erklärte de Maiziére, der auch darauf verwies, dass 300 Unternehmen mit 600 Dienstleistungen ihre Absicht bekundet haben, den elektronischen Personalausweis zu nutzen.

Für den Bürger bedeute der Ausweis, dass er keine besonderen Sorgfaltspflichten beachten, sondern die übliche Sorgfalt wie beim Umgang mit einer Bankkarte einhalten müsse, verdeutlichte der Bundesinnenminister. Bezogen auf den PC, an dem der neue Ausweis eingesetzt werde, müsse der Bürger darauf achten, dass Firewall und Virenschutz immer auf dem neuesten Stand seien: "Es gibt im Leben eben nichts umsonst. Die Sicherheit kostet Geld, das gilt auch für die Software, für den Virenschutz." Mit dem Start des Ausweisprojektes bewege sich Deutschland im europäischen Mittelfeld, was Zeitpunkt und Kosten für den Ausweis anbelange, erklärte de Maizière.

Zu den Ausweiskosten und den Kosten der PC-Wartung kommen noch Ausgaben für Lesegeräte: Nach Angaben von Andreas Reisen, Referatsleiter Pass- und Ausweiswesen beim Bundesinnenministerium, werden die Basis-Lesegeräte 20 bis 35 Euro kosten, Standardleser 60 Euro, und Komfortleser für eine qualifizierte elektronische Signatur 150 bis160 Euro. Zwei Basis-Leser von ReinerSCT und SCM seien bereits zertifiziert, sagte Reisen, der das erste Sicherheitskit präsentierte, bestehend aus Lesegerät und einer CD mit der AusweisApp. Er wies darauf hin, dass der Bürger die Sorgfaltspflicht wie bei einer Bankkarte auch abseits des Online-Verkehrs beachten müsse. Dazu gehört, dass der Ausweis in deutschen Hotels oder Fitness-Studios beziehungsweise bei Besuchen in Firmen nicht deponiert werden darf und dass es wie beim alten Ausweis ein Fotokopierverbot für den Ausweis gibt, das nur in besonders genehmigten Ausnahmefällen wie bei einer Kontoeröffnung aufgehoben ist.

In der aktuellen Ausgabe 23/10 (die seit dem 25. Oktober im Handel ist) nimmt c't die Technik des neuen elektronischen Personalausweises, seine Anwendungen sowie sicherheitstechnische und politische Aspekte in einem Schwerpunkt genauer unter die Lupe.

Quelle : www.heise.de

[SiLæncer]

Der Bundesinnenminister freut sich auf ihn, Datenschützer geben Entwarnung zu ihm, die Gewerkschaft der Polizei warnt vor dem leichtfertigen Umgang mit ihm: der neue Personalausweis beschäftigt die Gemüter. Grund genug für die Sicherheitsspezialisten vom Darmstädter CAST, sich mit "Meiner wichtigsten Karte" zu beschäftigen.

Mit einem Doppelvortrag führte Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anwesenden in die Funktionsweise des neuen Personalausweises (nPA) ein. Im Mittelpunkt beider Präsentationen stand die elektronische Identifikation (eID), mit der der Ausweis startet. Auf ihr beruhen viele Prozesse, nicht zuletzt die optionale qualifizierte elektronische Signatur (QES), die im März 2011 für den Personalausweis zur Verfügung stehen soll. Zu diesem Zeitpunkt soll auch die AusweisApp in der Lage sein, die gängigsten E-Mail-Programme (Outlook, Outlook Express, Thunderbird, Apple Mail, kmail) zu unterstützen. Auch die Zertifikation der Komfort-Leser, die die QES verlangt, soll bis dahin abgeschlossen sein.

Das "Das bin ich" der eID und "Das habe ich unterschrieben" der QES sind freilich sinnlos ohne entsprechende Internet-Angebote. Klaus Wolter vom Bundesverwaltungsamt erläuterte prägnant, wie unterstützungswillige Anbieter an ein Berechtigungszertifikat kommen können, bestimmte Daten wie die Adresse oder die Altersverifikation vom nPA übernehmen zu können. Seine Behörde vergibt diese Zertifikate und hat bislang unter 50 Anträge bearbeitet und an die bisher einzigen beiden Zertifikats-Dienstleister Bundesdruckerei und Deutsche Post weitergeleitet. Wolter erläuterte, dass selbst große Firmen erhebliche Probleme haben, einen korrekten Antrag so zu formulieren, dass die Erforderlichkeit eines Datenabgleichs mit dem nPA überhaupt ersichtlich wird: "Wer Daten von nPA haben will, muss sich darüber im Klaren sein, dass der nPA wie ein Laserpointer wirkt: die Geschäftsprozesse werden gnadenlos ausgeleuchtet." So sei die Annahme, dass Online-Shops einfach an ein Berechtigungszertifikat kommen können, falsch, da viele Webshops per Vorkasse oder mit Kreditkartenabbuchung arbeiteten. Nur die Firma, die ein kreditorisches Risiko trage, also auf Rechnung einen ihr unbekannten Kunden beliefere, könne ein Zertifikat beantragen.

Ähnlich sieht es bei der Alters- und Wohnortsverifikation aus, für die in der Regel gesetzliche Vorgaben entscheidend sind. Ein Laden dürfe nicht einfach so überprüfen, ob seine Kunden in der Nähe wohnen, während Gemeinden, die etwa eine Kurtaxe oder ähnliches erheben, es leichter haben werden, bei Nicht-Einwohnern nach der Verifikation eine Gebühr zu erheben. Wolter zufolge liegen die größten Chancen der eID beim Einsatz der "unglücklich benannten Pseudonymfunktion", die er als Dienst- und kartenspezifisches Kennzeichen definierte. Solch ein DKK sei bei der Nutzung von Prepaid-Angeboten oder der Registrierung in sozialen Netzwerken nützlich, die keine rechtlichen Gründe dafür vorweisen vorweisen können, Klardaten zu verarbeiten.

Interessant gestaltet war der Praxisbericht eines Diensteanbieters, den Thomas Walloschke von Fujitsu Technologies Solutions ablieferte. Walloschke schilderte die durchaus leidvollen Erfahrungen, die sein in Kanada und Deutschland aufgestelltes, also rund um die Uhr arbeitendes Programmierteam mit der Integration der eID in den Fujitsu Online Shop machen durfte. Wenige Stunden, bevor das Programm am 27. Oktober als Cloud Service in den Wirkbetrieb gehen konnte, diskutierte man Go-NoGo-Szenarien, weil eine Vielzahl von Fehlermeldungen auftraten. Sie wurden durch einen Testausweis verursacht, der offenbar stundenlang auf einem Lesegerät lag, ein klarer Verstoß gegen die Richtlinien, den Ausweis immer nur kurzzeitig zu benutzen. Insgesamt lohnte sich für Fujitsu die arbeitsintensive Teilnahme nur, weil die Firma auch Konsortialpartner im EU-Projekt STORK ist, in dem ID-Token verschiedener Anbieter zusammenkommen und Erfahrungen mit Service Provider Authentication Services (SAPS) eine Rolle spielen. Ein einzelner, allein in Deutschland funktionierender Online-Shop wäre für viele Firmen eine zu aufwändige Angelegenheit, meinte Wolloschke.

Nach einem juristischen Vortrag von Georg Borges, der den Teilnehmern des Workshops sein Gutachten über Haftungsfragen im Zusammenhang mit der Ausweisnutzung vorstellte, hatten zum Schluss die hessischen Datenschützer das Wort. Rüdiger Wehrmann machte darauf aufmerksam, dass mit dem Ausweis zumindest in Deutschland ein Hinterlegungsverbot einhergeht (was als deutsches Gesetz im Ausland wirkungslos ist) und Firmen von Beuchern nicht mehr den Ausweis einbehalten dürfen. Außerdem bemängelte er, dass der durchschnittliche Bürger nicht die Echtheit der Ausweis-App erkennen kann. Das Argument von Innenministerium und BSI, dass der Quellcode demnächst als Open Source verfügbar wird, sei für einen Normalbürger nicht wirksam. Weil der PC der neuralgische Punkt der Datensicherheit im Gesamtsystem sei, müssten Datenschützer Bürger dazu raten, auf den Einsatz eines Basislesers ganz zu verzichten, erklärte Wehrmann. Außerdem sollte jeder Bürger auf die Abgabe seines Fingerabdruckes verzichten, die abolut keinen Sinn mache, weil sie nur im Falle eines Ausweisverlustes als zusätzliche, nie geprüfte Sperre diene.

Wehrmanns Kollegin Gisela Quiring-Kock beschäftigte sich anschließend mit der qualifizierten elektronischen Signatur. Sie bemängelte, dass im Vergleich zu Österreich die QES in Deutschland nicht suventioniert wird und somit sehr teuer ist. Die rein privatwirtschaftlich gelöste Bewirtschaftung der QES verhindere die Verbreitung der Signatur, während sie in der Alpenrepublik von 60 % der Bankkunden genutzt werde. Quiring-Kock machte auch auf das Fotokopierverbot beim neuen Personalausweis aufmerksam, weil so die aufgedruckte CAN verbreitet werden könnte, die bei der Freischaltung einer QES benötigt wird.

Quelle : www.heise.de

[SiLæncer]

Kurz vor der Einführung des neuen Personalausweises hält die Kritik an der Sicherheit des elektronischen Dokuments an. Das Bundesinnenministerium sieht indes keinerlei Probleme und verweist auf die Pflicht der Computer-Nutzer, ihre Rechner abzusichern.

Der Vorsitzende des Bundes Deutscher Kriminalbeamter, Klaus Jansen, warf der Regierung in der "Neuen Osnabrücker Zeitung" (Samstagsausgabe) vor, aus Kostengründen auf veraltete Technik zu setzen. Der Ausweis komme mit einer Lesegerätetechnik für Online-Geschäfte auf den Markt, "bei der Kriminelle mit der Zunge schnalzen". Sein Verband habe wiederholt gefordert, "hochwertige Lesegeräte mit einer eigenen Tastatur vorzuschreiben, wie sie auch für die elektronische Gesundheitskarte geplant sind".

Laut Jansen ist es hochriskant, wenn die Geheimzahl für den neuen Ausweis an der Computertastatur eingegeben werden muss. "Die Eingabe können Kriminelle mitlesen, sofern der Rechner mit Schadprogrammen befallen ist." Der Staat wiege die Menschen hier in trügerischer Sicherheit.

Auch nach Ansicht der Gewerkschaft der Polizei (GdP) wird Kriminellen das Ausspähen von Daten viel zu leicht gemacht. "Mein Rat lautet: Finger weg vom neuen Ausweis, solange dessen Kinderkrankheiten nicht behoben sind", sagte der stellvertretende GdP-Bundesvorsitzende Bernhard Witthaut. Er warnte vor "blindem Vertrauen in die neue Technik". "Angesichts von mindestens einer Million infizierten Computern in Deutschland tut sich hier ein massives Sicherheitsproblem auf."

Ähnlich äußerte sich der parlamentarische Geschäftsführer der FDP- Bundestagsfraktion, Christian Ahrendt: "Nicht alles, was neu ist, sollte man sich anschaffen", sagte er. Es werde sich schnell zeigen, "dass der neue Personalausweis bei weitem nicht so sicher ist, wie es jetzt versprochen wird".

Ein Sprecher von Bundesinnenminister Thomas de Maizière wies diese Vorwürfe am Samstagnachmittag zurück: "Die Sicherheit des neuen Personalausweises ist auf dem allerhöchsten technischen Niveau. Sicherheitslücken gibt es nicht." Die Vorwürfe könnten daher "nur als Empfehlung verstanden werden, Computer wirksam vor Schadprogrammen zu schützen. Das gilt aber unabhängig von der Nutzung des neuen Personalausweises."

Der elektronische Personalausweis löst am morgigen Montag das bisherige Ausweisdokument ab. In den vergangenen Monaten hatte es bereits viel Kritik und Zweifel an der Sicherheit gegeben. Unter anderem bemängelten Experten wie der Chaos Computer Club (CCC), dass Angreifer auf ungeschützten Computern unter Umständen die PIN für die Online-Identifikation ausspähen könnten.

Die Linkspartei forderte als Konsequenz aus der Kritik am neuen "Perso" ein "Moratorium für alle elektronischen Großprojekte, die den Datenschutz verletzen" könnten. "Mehrere Bundesregierungen haben den elektronischen Personalausweis zum Muss erklärt", sagte Linke- Vorstandsmitglied Petra Pau am Samstag. "Nun erklären immer mehr Regierungspolitiker ihn zum Risiko."

Quelle : www.heise.de

[SiLæncer]

Morgen ist es so weit: Bürger können oder müssen den neuen Personalausweis beantragen, der Funktionen zur Identifizierung im Internet (eID) und für die qualifizierte elektronische Signatur (QES) enthält. Wer allerdings in einem der fünf Bundesländer wohnt, in denen an Allerheiligen die Ämter geschlossen bleiben, muss sich noch einen Tag gedulden. Das kann einem aber auch anderswo passieren, etwa wenn bei der Ausweisbehörde die Umstellung auf die neue Software nicht geklappt hat. Alte Personalausweise bleiben bis zum Ablaufdatum gültig, doch wer die neuen Funktionen oder das kleinere Scheckkartenformat früher haben möchte, kann jederzeit einen neuen beantragen und den alten zurückgeben.

Beim Beantragen muss man zwei Entscheidungen treffen: Ob die eID-Funktion freigeschaltet werden soll und ob man Fingerabdrücke im Chip des Ausweises speichern lassen will. Die eID-Funktion lässt sich auch nachträglich aktivieren, das kostet dann allerdings 6 Euro und einen Gang zum Amt. Da sich schwer abschätzen lässt, ob und welche wichtigen Online-Dienste künftig die eID zwingend voraussetzen, ist es allenfalls für überzeugte Internet-Abstinenzler ratsam, auf die Funktion ganz zu verzichten. Alle anderen erhalten einen Brief von der Bundesdruckerei, in dem unter einem Rubbelfeld verborgen die fünfstellige Transport-PIN steht. Den Brief kann man dann sicher verwahren, bis die eID-Funktion nützlich erscheint.

Bei den freiwillig abzugebenden Fingerabdrücken erscheint es eher fraglich, ob sie jemals einen konkreten Nutzen bringen. Sie sollen den Missbrauch eines gestohlenen Ausweises erschweren, bis dieser gesperrt wird. Es ist jedoch unklar, wann überhaupt auf diese biometrischen Daten zugegriffen wird. Ein theoretisches Szenario wäre die Grenzkontrolle, bei der zwar ein digitales Ausweisdokument mit biometrischen Daten auf dem Chip vorgeschrieben ist, aber kein Visum eingestempelt wird. Dann könnte der neue Personalausweis den Reisepass ersetzen. Bis dahin müssten aber zunächst die technischen Standards des neuen Personalausweises von anderen Ländern übernommen werden. Datenschützer empfehlen daher, besser dem Prinzip der Datenvermeidung zu folgen und keine Fingerbadrücke abzugeben.

Hinsichtlich der QES muss man sich beim Beantragen des neuen Personalausweises zunächst keine Gedanken zu machen. Damit hat die Ausweisbehörde nichts zu tun; die Signatur muss man später nachkaufen. Es wäre also sinnlos, einen Stick mit selbst erzeugten Schlüsseln mitzunehmen. Was man dabei haben muss, sind 28,80 Euro (beziehungsweise 22,80 Euro für Bürger unter 24 Jahre) sowie ein so genanntes biometrisches Passfoto. Wer das Foto selbst macht, muss sich dabei genau an die Vorgaben der Bundesdruckerei halten.

Nach Auskunft des Fraunhofer FOKUS sollen die neuen Ausweise ungefähr zwei Wochen nach Beantragung fertig sein. Hat man seinen Ausweis erhalten und will die eID nutzen, stellt sich die Frage nach dem richtigen Lesegerät. An den billigen Basislesern gab es viel Kritik, zuerst vom CCC, zuletzt sogar vom Bund Deutscher Kriminalbeamter. Da das Gerät keine eigene Tastatur besitzt, muss man die PIN am Computer eingeben, wo Schadsoftware sie abhören könnte.

Auch diese Kombination ist immer noch sicherer, als eine Anmeldung ohne eID mit Benutzername und Passwort. Werden die abgehört, kann der Angreifer damit das Konto des Opfers von jedem beliebigen Computer mit Internet-Zugang nutzen. Um die eID zu missbrauchen, muss der Angreifer hingegen entweder den Ausweis stehlen oder den Computer des Opfers mit einer Schadsoftware infizieren, die aktiv wird, wenn der Ausweis auf dem Lesegerät liegt. Spätestens aber, wenn etwa Banken oder Bezahldienste über die eID den Zugang zu Geld ermöglichen, ist ein solches Szenario nicht unwahrscheinlich.

Windows-Nutzern, die ihren PC mit Antiviren-Software schützen und alle Updates von Betriebssystem und Anwendungen sofort einspielen, oder Besitzern von Linux- beziehungsweise Mac-OS-Systemen, die nicht ins Beuteschema der Angreifer passen, mag vorerst ein Basisleser reichen. Doch mehr Sicherheit gewähren Standard- oder Komfortleser mit eigener Tastatur. Da gibt es aber noch ein Problem: Das zuständige Bundesamt für Sicherheit in der Informationstechnik hat bislang nur die Zertifizierung von Basislesern veröffentlicht. Nach Auskunft der Behörde läuft die Zertifizierung etlicher Geräte der Standard- und Komfortklasse. Es bleibt zu hoffen, dass der Prozess bis Mitte November abgeschlossen ist, wenn die ersten Ausweise ausgeliefert werden sollen.

Quelle : www.heise.de

[SiLæncer]

Laut Openlimit hat das Unternehmen die AusweisApp 1.0 zeitgerecht an das Bundesinnenministerium (BMI) ausgeliefert. Zum Start der Beantragung des neuen Personalausweises könnte damit die Software bereitstehen. Doch die offizielle Download-Adresse www.ausweisapp.bund.de ist zwar mittlerweile ebenfalls online, verweist aber darauf, dass die Anwendung am 9. November, wenn die ersten Antragsteller ihren neuen Ausweis in Empfang nehmen würden, zum Download verfügbar sein werde. In den Einwohnermeldeämtern der Republik bekommen Antragsteller am heutigen 1. November allerdings die Auskunft, dass die Lieferung des neuen Ausweises zwei bis drei Wochen in Anspruch nehmen werde.

Altersverifikation per nPA und AusweisApp

Die AusweisApp ist die kostenlose Software, mit der Bürger auf ihren neuen elektronischen Personalausweis zugreifen und die eID-Funktion zur Authentisierung im Internet nutzen können. Sie unterstützt Windows, Linux (Ubuntu) und Mac OS X in den jeweils aktuellen Versionen. Die Entwicklung und der Support für diese Software wird für drei Jahre vom Bundesinnenministerium finanziert. Danach, so hoffen alle Beteiligten, hat sich der Markt für eID-Services in Deutschland so weit entwickelt, dass Anbieter mit eigener kommerzieller Zugangssoftware die Versorgung übernehmen werden. Den Zuschlag für die Softwareentwicklung ging im November 2009 an die Firma Siemens IT Solutions and Services, die wiederum Openlimit als Generalunternehmer beauftragte.

Ursprünglich sollte die AusweisApp "Bürgerclient" heißen. Dieser Name wurde nach einem Vorschlag der Design-Spezialisten vom Hasso Plattner Institut Potsdam geändert, die im Auftrag des BMI ein Gutachten zur Akzeptanz und Nutzung des Ausweises erstellten.

Mit der AusweisApp beginnt laut Openlimit das eID-Zeitalter in Deutschland. "Das neue Personalausweisgesetz tritt mit dem heutigen Tag in Kraft. Mit dem neuen Dokument kann sich jeder deutsche Staatsangehörige auch im Internet zweifelsfrei ausweisen und Online-Transaktionen sicher authentisieren", kommentiert Marc Gurov, Geschäftsführer von Openlimit. Neben der AusweisApp liefert das Softwarehaus auch einen eID-Server aus, den Web-Anbieter einbinden müssen, wenn sie ID-Daten vom neuen Personalausweis abfragen. Dieser Teil der Software ist nicht kostenlos und soll über sogenannte eID-Hoster als Software-Service verkauft werden. Ein so gehosteter eID-Server kostet 2750 Euro im Monat bei einer Einrichtungsgebühr von 7500 Euro, wie es beim ersten Anbieter ]init[ heißt. Auch hier geht man beim Bundesinnenministerium davon aus, dass sich ein Markt entwickeln wird und daher die Preisfindung noch nicht abgeschlossen ist.

Quelle : www.heise.de

[SiLæncer]

Zum neuen Personalausweis (nPA) mit seiner Funktion der elektronischen Identifikation (eID) gehören Angebote, die eben diese Identfikationsdaten abfragen. Das dürfen nur die Firmen, die ein Berechtigungszertifikat erworben haben. Nun hat das zuständige Bundesverwaltungsamt die erste Liste aller Anbieter (PDF-Datei) veröffentlicht, die auf verschiedene Datenfelder des neuen Personalausweises zugreifen können.

Die Liste enthält wenig Aufregendes: Viele Versicherungen, darunter die Rentenversicherung, ein paar Behörden und Kommunen, Geldinstitute sowie die Gruppe der VZ-Netzwerke. Mit den Internet-Angeboten dieser Zertifikatsträger werden die ersten Inhaber des elektronischen Personalausweises ihre Erfahrungen mit dem laut Bundesinnenminister Thomas de Maizière (CDU) derzeit "modernsten Identifikationssystem der Welt" sammeln können. Die erste Liste bleibt allerdings auch den Nachweis schuldig, dass einige "Use Cases" dringend nachgefragt werden, wie vor dem Start des Systems behauptet wurde. Insbesondere sind keine Anbieter erkennbar, die altersbeschränkte Filmdownloads oder Erotikangebote betreiben.

Dagegen zeichnet sich ab, dass die elektronische Identifikation im Versicherungssektor nachhaltig gezündet hat. Der Fülle von Versicherungsangeboten stehen auffallend wenige Banken gegenüber. Dies deutet darauf hin, dass die Banken mit den von ihnen angebotenen verschiedenen TAN-Verfahren offenbar eine ausreichend sichere Verbindung zum Kunden haben und ihnen die gesicherte Identifikation eines Neukunden nicht attraktiv genug scheint.

Dies könne ein Signal sein, meinen Herbert Kubicek und Torsten Noack in ihrem Buch Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis?. Die Wissenschaftler haben mit einem internationalen Team von Politologen und Informatikern untersucht, wie die elektronische Identifikation in anderen europäischen Ländern funktioniert und ob sie von den Bürgern akzeptiert wird. Sie kommen zu dem Schluss, dass die eID nur dort eine echte Verbreitung gefunden hat, wo Banken an der Entwicklung beteiligt waren und die eID beim Online-Banking eingesetzt werden kann.

Besonders aufschlussreich sind die Ergebnisse der Wissenschaftler aus Spanien und Belgien, die eID-Ausweise schon am längsten haben und gerade die zweite Generation der Ausweise ins Feld schicken – mit Ausnahme von Deutschland sind alle übrigen europäischen Ausweise nur fünf Jahre lang gültig. In Spanien hat man 256 Ausgabestellen auf Polizeistationen eingerichtet, wo die Ausweisproduktion inklusive Fingerabdrucke und Bildeinspeisung an einem Automaten abläuft, der in 15 Minuten einen Ausweis druckt. Die Ausweise werden hier nicht nur zur Authentifizierung gegenüber den Behörden eingesetzt: die eID erfreut sich bei Restaurantreservierungen größerer Beliebtheit.

Belgien ist erwähnenswert, weil mit der allgemeinen Nutzung der eID-Funktion erkannt wurde, dass Viele eine eID brauchen, die keinen Ausweis haben können: 2007 wurde deshalb eine Karte für Ausländer und EU-Bürger eingeführt, die in Belgien wohnen, 2009 kam eine nicht obligatorische Kinderkarte für Kinder zwischen 0 und 12 hinzu. Bei ihr ist die elektronische Authentifizierung freilich erst ab 6 Jahren aktiviert, da in diesem Alter die Internetnutzung beginnt.

Dem deutschen System stellen die Autoren übrigens keine guten Noten aus. Es ist im europäischen Vergleich zu kompliziert. Allgemein kritisieren sie jedoch alle europäischen eID-Ansätze wegen ihre Weltfremdheit: "Die IT-Sicherheitsexperten arbeiten jedoch mit der Fiktion eines Menschen, der alle Sicherheitsempfehlungen streng befolgt. Man könnte analog zum Homo Oeconomicus als Fiktion der Wirtschaftswissenschaft von der Annahme des Idealtypus eines Homo Securitis sprechen." Leider lebe dieser Menschentyp nur in Gedankenspielen, aber nicht auf der Erde.

Quelle : www.heise.de

[SiLæncer]

Der Software zum neuen Personalausweis ist kein guter Start beschieden: Am gestrigen Montagabend wurde die AusweisApp freigegeben; am heutigen Dienstagmorgen veröffentlichte Jan Schejbal von der Piratenpartei Deutschland in seinem Blog bereits einen Exploit, der zwei Designfehler der Update-Routine nutzt. Dadurch wird zwar nicht der Personalausweis angegriffen, aber es lässt sich Software auf dem PC einschleusen, auf dem die AusweisApp läuft.

Die AusweisApp baut zunächst eine SSL-Verbindung zu dem Server auf, der die Updates liefert. Dabei begeht sie den ersten Fehler: Sie überprüft zwar, ob das Zertifikat gültig ist, aber nicht, ob es auch auf den Namen des regulären Update-Servers ausgestellt ist. Gelingt es also durch eine DNS-Manipulation, Zugriffe auf www.ausweisapp.bund.de und download.ausweisapp.bund.de zu einem beliebigen Server mit gültigem SSL-Zertifikat umzulenken, versucht die AusweisApp ihre Updates von dort zu laden.

Durch die Update-Funktion der AusweisApp können unerwünschte Dateien auf den PC des Anwenders gelangen.

Der Server des Angreifers kann nun die Update-Funktion mit einer manipulierten Antwort dazu bringen, eine beliebiges ZIP-Archiv herunterzuladen und zu entpacken. Eine darin enthaltene Installationsdatei wird allerdings nur ausgeführt, wenn sie eine korrekte Signatur besitzt. Doch schon das Entpacken des Archivs stellt ein Sicherheitsrisiko dar, da dabei über relative Pfade unerwünschte Dateien auf dem PC des Ausweisinhabers platziert werden können.

Der Exploit, den Schejbal zum Download anbietet, enthält ein abgelaufenes SSL-Zertifikat, das funktioniert, wenn man das Systemdatum von Windows zurückstellt. Es sind zwei Windows-PCs nötig, ein Client mit der AusweisApp und ein Server, auf dem Python 2.6 und Nmap installiert sein sollte. Leitet man auf dem Client die Zugriffe auf die beiden oben genannten Server zum eigenen um (durch Ändern der Windows\system32\drivers\etc\hosts) und passt die IP-Adresse in der Antwortdatei an, landet beim nächsten Update der AusweisApp eine Datei im Autostart-Ordner des Clients. Das funktionierte in der Redaktion sowohl unter Windows XP wie unter Windows 7.

Obschon die Sicherheit des Personalausweises nicht direkt gefährdet wird, sind diese beiden einfachen Fehler (fehlende Prüfung des SSL-Zertifikats sowie das Auspacken des empfangenen Archivs vor dem Prüfen der Signatur) in einer vom BSI geprüften Software sehr überraschend. Wir haben beim BSI eine Stellungnahme angefragt, doch die Prüfung des Sachverhalts ist dort noch nicht abgeschlossen.

Quelle : www.heise.de

[SiLæncer]

Die ersten Mitbürger erhielten ihren beantragten Personalausweis - und die ersten Sicherheitslücken bei der AusweisApp wurden bekannt. Für diejenigen, die sich dafür entschieden haben, die elektronische Identifikation (eID) zu nutzen, beginnt ein neuer Umgang mit dem Dokument, das als Eigentum der Bundesrepublik Deutschland sorgsam behandelt werden muss. Wir stellen die wichtigsten Regeln vor.

Der 24-jährige Dresdener Dominik Volke ist der erste Bundesbürger, der seinen neuen Personalausweis bekommen hat. Er will ihn mit einem Basis-Lesegerät vor allem für Bestellungen im Internet benutzen. Volke hat sich für die Nutzung des Ausweises mit eID-Funktion entschieden und dabei auch freiwillig seine Fingerabdrücke speichern lassen. Bislang haben 1400 Dresdener einen neuen Ausweis beantragt.

Mit dem Start der Ausweisausgabe hat das Bundesinneministerium in den VZ-Netzwerken die Werbekampagne Erika hat nen Neuen gestartet, die "junge internetaffine Menschen mit vielen Sozialkontakten" über den neuen Ausweis aufklären soll. Die VZ-Netzwerker sind dabei aufgefordert, ihr "verrücktestes Passfoto" hochzuladen. Erika spielt auf Erika Mustermann an, eine Werbefigur, deren "Edelprofil" als "Musterdeutsche" das Ministerium nutzen will. Ob die Kampagne gelingt, junge Menschen den Umgang mit Kartenleser und der vom Start weg umstrittenen, da mit Sicherheitslücken behafteten AusweisApp nahezubringen, wird sich zeigen müssen.

Ob jung oder alt, jeder Bürger, der einen neuen Personalausweis beantragt hat, hat auch ein Merkheft bekommen, in dem auf seine besonderen Sorgfaltspflicht hingewiesen wird: "Ihr Beitrag zum sicheren Umgang mit der Online-Ausweisfunktion" fasst die wichtigsten Regeln zusammen, die sich aus dem geänderten Personalausweisgesetz ergeben. Dort sind die Pflichten in §27 festgelegt, wenn es heißt: "Der Personalausweisinhaber hat zumutbare Maßnahmen zu treffen, damit keine andere Person Kenntnis von der Geheimnummer erlangt. Die Geheimnummer darf insbesondere nicht auf dem Personalausweis vermerkt oder in anderer Weise zusammen mit diesem aufbewahrt werden. Ist dem Personalausweisinhaber bekannt, dass die Geheimnummer Dritten zur Kenntnis gelangt ist, soll er diese unverzüglich ändern oder die Funktion des elektronischen Identitätsnachweises ausschalten lassen."

Mindestens ebenso wichtig wie die unbedingt einzuhaltende Trennung von Besitz (Personalausweis) und Wissen (PIN) ist die Pflicht, den Ausweis nur "in einer Umgebung einzusetzen, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist." Im Zweifelsfall ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Behörde, die den Stand der Technik definiert. Der Bürger soll "insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden." Ein regelmäßiger Besuch der entsprechenden Webseite des BSI mit den Sicherheitstipps gehört damit zum guten Ton. Dort finden sich derzeit drei Verhaltensregeln, die bei der Nutzung vorausgesetzt werden:

    * Virenschutz und Firewall müssen auf dem jeweils aktuellen Stand der Technik sein, alle Updates müssen regelmäßig eingespielt werden.
    * Nur zertifizierte Kartenlesegeräte und zertifizierte Software für die Kommunikation mit dem Kartenleser darf eingesetzt werden. Als zertifizierte Software für die Kommunikation wird hier die AusweisApp genannt – bei der ja nun gerade die ersten Sicherheitslücken auftauchten.
    * Der Ausweis soll nur kurz zum Zwecke der Authentifizierung auf den Kartenleser gelegt werden und muss danach entfernt werden.

Neben diesen Richtlinien enthält das Merkheft der Meldebehörden einen weiteren Hinweis, der unter Sicherheitsexperten umstritten ist, aber juristisch von einiger Bedeutung sein kann. Was macht ein Bürger, der sich nicht sicher ist, einen sicheren Rechner vor sich zu haben? Diese Frage ist besonders dann wichtig, wenn das Kartenlesegerät keine eigene Tastatur hat. "Wenn Sie ein Basis-Kartenlesegerät ohne eigene Tastatur in Verbindung mit der AusweisApp verwenden und sich nicht sicher sind, ob Ihr Computer frei von Schadsoftware ist, nutzen Sie zur Eingabe der PIN die in der AusweisApp integrierte Bildschirmtastatur." Auch wenn die Zahlen der Bildschirmtastatur jedesmal neu angeordnet sind, erhöht dies nicht unbedingt die Sicherheit, dass die PIN geheim bleibt: erinnert sei an Spyware, die bei jedem Mausklick einen Screenshot des Bildschirms anfertigt.

Im alltäglichen Umgang mit dem neuen Personalausweis müssen Bürger und Unternehmen lernen, dass mit dem elektronischen Ausweis zumindest in Deutschland ein Hinterlegungsverbot verbunden ist, wenn es im Ausweisgesetz heißt: "Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben." Hotels, Fitnessstudios oder ganz allgemein Unternehmen, die von Besuchern beim Zutritt des Werksgeländes den Personalausweis kassieren, müssen umdenken und auf andere Verfahren umsatteln. Denkbar wäre, die Identifizierung vorab auf einer Webseite zur Online-Anmeldung durchzuführen, die die elektronische Identifikationsfunktion ausnutze, heißt es dazu aus dem Bundesinnenministerium.

Einen Schritt weiter in die falsche Richtung geht die Praxis, vom Ausweis eine Fotokopie anzufertigen. Dies ist eigentlich nur in besonderen Fällen erlaubt, die gesetzlich geregelt sind, etwa bei der Eröffnung eines Bankkontos. Zum Umgang mit dem Fotokopierunwesen, das nicht von § 14 des Personalausweisgesetzes gedeckt ist, heißt es in der Gesetzesbegründung des Innenministeriums ausdrücklich:

"§ 14 stellt klar, dass die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises künftig nur über die dafür vorgesehenen Wege erfolgen darf. Dies sind für nichtöffentliche und öffentliche Stellen der elektronische Identitätsnachweis und für zur hoheitlichen Identitätsfeststellung berechtigte Behörden der Abruf der elektronisch gespeicherten Daten einschließlich der biometrischen Daten. Weitere Verfahren z.B. über die optoelektronische Erfassung ("scannen") von Ausweisdaten oder den maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden."

In einer heise online vorliegenden ergänzenden "Stellungnahme des Bundesinnenministeriums zur Vervielfältigung von Ausweisdokumenten" wird diese Gesetzesbegründung noch genauer erläutert: "Diese Klarstellung war u.a. deshalb erforderlich, weil im Falle einer künftigen Vervielfältigung des neuen Personalausweises zusätzliche Sicherheitsprobleme entstünden. Denn auf dem neuen Personalausweis ist die Berechtigungs-Nummer abgedruckt. Diese soll grundsätzlich nur dem Ausweisinhaber bekannt sein, könnte durch Kopieren des Ausweises aber in Umlauf geraten."

Nach so vielen Verboten und Geboten sollte schließlich der Hinweis nicht fehlen, was dem Inhaber des neuen Personalausweises gestattet ist: Wie bei der Computersoftware hat er das Recht, eine "Sicherungskopie" von seinem Ausweis z.B. für Auslandsreisen anzufertigen, freilich "unter der Prämisse, dass die Kopie nur im Falle des Diebstahls/Verlusts des Originaldokuments verwendet wird und umgehend ein neues Ausweisdokument beantragt wird." Die vor allem in lateinamerikanischen Ländern übliche Praxis, nur Fotokopien von Dokumenten bei sich zu tragen, wird nicht akzeptiert: "Die zunehmende Verwendung von Ausweiskopien als Ersatz für die Originaldokumente stellt damit eine potentielle Gefährdung des Rechtsverkehrs dar und könnte mit zunehmenden Missbrauchsfällen mittelbar dazu führen, dass das Vertrauen in deutsche Ausweisdokumente sinkt", so die Stellungnahme des Bundesinnenministeriums.

Quelle : www.heise.de