Thema: Privatsphäre: Datenschützer kritisiert Biometriepässe

[SiLæncer]

Am späten Dienstag Abend antwortete die Pressestelle des BSI mit folgender Stellungnahme: "Die Medien berichten derzeit von einer vermeintlichen Sicherheitslücke in der Software AusweisApp, die zur Nutzung der eID-Funktion des neuen Personalausweises bereit gestellt wird. Das BSI prüft derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar ist und welche Gegenmaßnahmen gegebenenfalls notwendig sind. Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren."

Quelle : www.heise.de

[SiLæncer]

Derzeit (seit Mittwochnachmittag) ist ein Download der AusweisApp nicht mehr möglich. Eine Erklärung des BSI zu dem Fehler, zum Stopp des Downloads und dem weiteren Vorgehen steht aber weiterhin aus.

Quelle : www.heise.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die aufgedeckte Sicherheitslücke der AusweisApp reagiert, mit der der neue elektronische Personalausweis auf einem PC abgefragt werden kann. In Zusammenarbeit mit den an der Softwareentwicklung beteiligten Firmen Siemens IT Solutions & Services GmbH sowie dem Subunternehmer OpenLimit SignCubes AG soll in Kürze eine neue Version der AusweisApp bereitgestellt werden. Ausweisbesitzer, die bereits die AusweisApp heruntergeladen haben, werden ausdrücklich davor gewarnt, nicht die Update-Funktion dieser Software zu benutzen: Die aufgedeckte Sicherheitslücke betrifft genau die Update-Funktion. Ausnahmslos alle Nutzer der Software müssen eine Neuinstallation durchführen.

In der ausführlichen Stellungnahme des BSI wird die Lücke bestätigt, die der IT-Fachmann Jan Scheijbal von der Piratenpartei Deutschland entdeckt hat und die in den Tests von heise online nachvollzogen werden konnte. Einschränkend wird in der Stellungnahme des BSI von einer "theoretischen Möglichkeit" gesprochen, nicht von einem Fehler mit durchaus praktischen Konsequenzen: "Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen." Als theoretische Möglichkeiten werden in der Security-Welt die Probleme angesehen, wenn eine kryptographische Schwäche die Komplexität einer Sicherheits-Software verringert. Handwerkliche Programmierfehler fallen nicht unter diesen Begriff.

In den Worten des BSI wird die Lücke so dargestellt: "Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die Verwendung der AusweisApp selbst, sondern auf die automatische Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens download.ausweisapp.bund.de zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren."

Dabei legt das BSI Wert auf die Feststellung, dass durch die aufgedeckte Sicherheitslücke die AusweisApp weder angegriffen noch verfälscht werden könne. "Auch beeinflusst dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führt auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden können." Damit tritt das BSI vor allem Presseberichten entgegen, die davon berichtet haben, dass der Personalausweis ein zweites Mal gehackt worden sei. Als erstes Mal gilt ein vom CCC veröffentlichter Ansatz mit einem durch Spyware infizierten PC und einem Basiskartenleser ohne eigene Tastatur.

Wann die neue AusweisApp verfügbar sein wird, steht noch nicht fest. Zum Korrektur-Verfahren selbst äußert sich die Pressemitteilung recht wolkig: "Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitigung implementiert, um auf derartige Probleme kurzfristig reagieren zu können."

Ob die genannten Fehlerbeseitigungsverfahren alleine ausreichen, wird die Zukunft der AusweisApp zeigen müssen. Zumindest die über 100 MByte große Ubuntu-Version der App kippte dem Autor eine Menge Müll auf den Rechner, darunter eine veraltetes JRE und Datenbank-Middleware aus der Zeit, als die AusweisApp noch als "Bürgerclient" für alle Kartenprojekte des Bundes konzipiert war, also auch mit der elektronischen Gesundheitskarte zusammenarbeiten sollte. Nach Informationen von heise online ist die AusweisApp vom BSI zudem auch noch gar nicht zertifiziert worden.

Quelle : www.heise.de

[SiLæncer]

Erst erwiesen sich die Basislesegeräte ohne eigene Tastatur als unsicher, nun wurde die AusweisApp gehackt. Jan Korte fordert deshalb, das ganze Projekt E-Personalausweis sofort zu beenden.

Der Innenexperte der Linken, Jan Korte, forderte nach dem Hack der AusweisApp heute das Bundesinnenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf, "die Ausgabe der neuen Ausweise umgehend zu stoppen".

Wer noch gültige Ausweisdokumente habe, sollte aus Sicherheitsgründen von der Beantragung des "Pfusch-Persos" absehen. "Durch das gefährliche Experiment einer Kombination von Pflichtdokumenten mit unsicheren Identitätsschlüsseln für Internet und E-Government werden alle Bürger zu Versuchskaninchen", sagte Korte.

Die AusweisApp, die das Bundesinnenministerium seit kurzem für den neuen E-Personalausweis zum Download anbot, hatte eine Sicherheitslücke. Die AusweisApp holt sich ihre Updates von einem per SSL gesicherten Server und überprüft, ob ein gültiges SSL-Zertifikat vorliegt, aber nicht, ob dieses auch zum Server passt. Um das auszunutzen, müsste ein Angreifer den Client auf einen anderen Server lenken, beispielsweise über einen manipulierten DNS-Server. Der Fehler ist für die Entwickler der AusweisApp jedoch leicht zu korrigieren. "Die beteiligten Firmen Openlimit, Signcubes und Siemens IT Solutions and Services werden in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt", hatte das BSI mitgeteilt. FDP-Fraktionssprecher Marc Jungnickel hatte erklärt, die Auslieferung der wenigen ersten Ausweise beginne "erst dieser Tage, so dass bislang kein Schaden entstehen konnte".

Doch das reicht für Korte nicht aus: "Da die Technik ganz offensichtlich nicht ausgereift ist, ist die übereilte Einführung des elektronischen Personalausweises fahrlässig und geht auf die Kappe des Bundesinnenministers." Erst hätten sich die bislang verfügbaren Lesegeräte als unsicher erwiesen und jetzt auch die nötige Onlinesoftware. Tests des Chaos Computer Clubs und des ARD-Magazins Plusminus hatten ergeben, dass die Basislesegeräte ohne eigene Tastatur, die die Bundesregierung ausgeben wird, keinen Schutz bieten, wenn der Computer des Anwenders durch einen Keylogger verseucht ist.

Quelle : www.golem.de

[SiLæncer]

Die Pannenserie beim neuen elektronischen Personalausweis reißt offenbar nicht ab. Das ARD-Magazin Monitor berichtet, dass die neue Software der Bundesdruckerei keinen Rufnamen mehr anzeigt, wenn ein Mensch mehrere Vornamen hat. Die Bundesdruckerei verweist auf das Innenministerium.

Durch eine Änderung in der Software wird im neuen elektronischen Personalausweis der Rufname in der maschinenlesbaren Zone für Ämter und Behörden offenbar nicht mehr aufgeführt. Das Problem tritt nur auf, wenn ein Mensch mehrere Vornamen hat. "Für die Betroffenen kann das zu massiven Problemen vor allem bei Banken, Kfz-Zulassungsbehörden oder Fernreisen führen. Erste Fälle gibt es bereits", erklärte die Monitor-Redaktion. Bundesdruckerei-Sprecherin Antonia Voerste sagte Golem.de, dass es sich bei den Softwareeinstellungen zum Rufnamen "um eine Vorgabe des Bundesministerium des Innern handelt".

Das Bundesinnenministerium rechtfertigte die Änderung gegenüber Monitor mit Empfehlungen der internationalen Organisation für zivile Luftfahrt und lehnte neuerliche Änderungen an der Software ab.

Der neue Personalausweis beinhaltet einen Chip, auf dem das digitale Lichtbild sowie die Informationen abgespeichert sind, die auf dem Dokument sichtbar sind. Das sind Familien- und Geburtsname, Vornamen, Doktorgrad, Tag und Ort der Geburt, Foto, Anschrift, Staatsangehörigkeit, Seriennummer sowie Ordens- oder Künstlername. Zudem ist möglich, bei der Beantragung auch zwei Fingerabdrücke auf dem Chip hinterlegen zu lassen. Auf Wunsch können im Chip zusätzlich die Zertifikatsinformationen zur Nutzung einer Qualifizierten Elektronischen Signatur (QES) gespeichert werden.

Das Rufnamenproblem ist bereits die dritte Panne beim Start des E-Personalausweises. Erst hatten sich die derzeit verfügbaren Lesegeräte als unsicher erwiesen, wenn Computer mit Trojanern verseucht waren. Dann musste die Anwendungssoftware für den Ausweis, die AusweisApp, die eine verschlüsselte Verbindung zwischen dem neuen Personalausweis und dem eID-Server herstellt und die Zertifikats- und Authentizitätsprüfung vornimmt, wegen einer Sicherheitslücke zurückgezogen werden.

Quelle : www.golem.de

[SiLæncer]

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) heute mitteilt, haben OpenLimit SignCubes und Siemens IT Solutions and Services eine neue Version der Software zur Nutzung des neuen Personalausweises fertig gestellt. Das BSI teste die AusweisApp derzeit ausführlich. Nach Abschluss dieser Tests werde die Software zum Download bereitgestellt. Ein genauer Termin wird nicht genannt.

Seit einer Woche warten Besitzer des neuen Personalausweises vergeblich auf die Software. Die erste Version der AusweisApp wurde nach Bekanntwerden eines Sicherheitsproblems vom Downloadserver entfernt und das BSI versprach, "in Kürze" eine neue Version zum Download bereitzustellen.

Um künftig von Nutzern und Diensteanbietern gemeldete Probleme "schnellstmöglich" auswerten und Updates liefern zu können, hat das BSI nach eigenen Angaben die mit dem Update-Verfahren verbundenen Prozesse einer eingehenden Prüfung unterzogen. Das Bundesamt will außerdem zu regelmäßigen Terminen kumulierte Updates zum Download bereitstellen.

Die heutige Mitteilung enthält auch eine Art Erklärung zu den Startproblemen: "Die AusweisApp wurde bereits im Vorfeld der Einführung des neuen Personalausweises von einer Vielzahl von Diensteanbietern und Nutzern getestet, im Rahmen von Begleitforschungsprojekten untersucht und dabei ständig weiterentwickelt. Trotzdem kann nicht ausgeschlossen werden, dass bei einer erstmaligen Bereitstellung einer komplexen Software, die für eine Vielzahl von Nutzern bei unterschiedlichsten Gerätekonfigurationen einsetzbar sein muss, weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind. Auch das Bekanntwerden von Sicherheitsproblemen ist insbesondere während des Einführungszeitraums ein Phänomen, von dem nicht nur die AusweisApp betroffen ist."

Das BSI begrüße außerdem Vorschläge, Anregungen und Kommentierungen von Nutzern, die dazu beitragen, den Bedienungskomfort, die Leistungsfähigkeit und die Sicherheit der AusweisApp kontinuierlich zu verbessern. Vorschläge nimmt das Bundesamt per E-Mail an ePA@bsi.bund.de oder im Internet entgegen.

Quelle : www.heise.de

[SiLæncer]

Am 3. Dezember bekommt Bundesinnenminister Thomas de Maizière in Berlin seinen neuen Personalausweis. Ein schöner Bildtermin, der vergessen machen soll, dass der Ausweis seine Startschwierigkeiten hat. Produktionsprobleme des Ausweises wie Probleme mit der AusweisApp behindern die Einführung. Alle Beteiligten an dieser Einführung treffen sich in Berlin zu einem Krisengespräch.

Der neue Personalausweis soll alle Bürger mit einem modernen Identifikationssystem für das Internet-Zeitalter versorgen. Außerdem soll seine Einführung ein Beweis für die Fähigkeit von Staat und Wirtschaft sein, ein modernes IT-Projekt zum Abschluss zu bringen. In dieser Hinsicht ist der Personalausweis das Gegenstück zur elektronischen Gesundheitskarte, deren Einführung weit hinter den ursprünglichen Planungen hinterherhinkt und nun unter Androhung von Mittelkürzungen im Jahre 2011 erfolgen soll. Nach den Planungen des Bundesinnenministeriums sollten noch in diesem Jahr rund 360.000 Ausweise ausgegeben werden, nach Schätzungen von IT-Experten sind bisher aber nur 60.000 Ausweise produziert worden. Obendrein gibt es Berichte, dass fehlerhafte Personalausweise ausgeliefert wurden.

Verglichen mit der elektronischen Gesundheitskarte ist der neue Personalausweis ein kleines, überschaubares IT-Projekt. Das machen schon die Zahlen deutlich, die das Bundesinnenministerium nach einer Kleinen Anfrage der Linksfraktion (PDF-Datei) vorgelegt hat. Danach kostete die Einführung des Ausweises in diesem Jahr 4.992.149,66 Euro, zu denen 10.261.313,53 Euro für allgemeine IT-Investitionen der Behörden gerechnet werden müssen. In dieser Summe sind nicht die Mittel für die Ausgabe von "IT-Sicherheitspaketen" enthalten, die sich auf 24 Millionen Euro belaufen und mit denen 230.000 Standard- und Komfort-Lesegeräte sowie 1.237.000 Basisleser ausgeliefert werden. Auch die Mittel für die Entwicklung der AusweisApp als Open Source-Anwendung für 800.000 Euro sind in der Aufstellung des Bundesinnenministeriums getrennt aufgeführt.

Damit der neue Ausweis abseits der Startschweirigkeiten von den Bürgern angenommen wird, müssen vor allem sinnvolle Angebote für seine Nutzung abseits der staatlichen Identifizierungsfunktion vorhanden sein. In der kommenden Woche will der Bundesverband des deutschen Versandhandels passend zum IT-Gipfel 2010 in Dresden erste Lösungen vorstellen, wie mit dem Personalausweis Waren online geordert werden können. Eine weitere Maßnahme spricht direkt die an IT interessierten Bürger an und wird offiziell auf besagtem IT-Gipfel vorgestellt: Alle Bürger, die einen neuen Ausweis besitzen und die elektronische Identifikation auf ihrem Ausweis freigeschaltet haben, können kostenlos die CeBIT 2011 besuchen. Dieses Angebot soll die Möglichkeiten des Ausweises "fassbar" machen, heißt es in der Meldung der Messe AG in Hannover.

Quelle : www.heise.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ankündigt, dass die AusweisApp am 3. Januar 2011 unter diesem Link zur Verfügung stehen wird. Zuvor soll die Software für das Auslesen von elektronischen Identifikationsdaten aus dem neuen Personalausweis von den Teilnehmern des Anwendungstests eingehend geprüft werden.

Die für den neuen Personalausweis so wichtige AusweisApp wurde vom Netz genommen, als eine Sicherheitslücke in der Update-Routine entdeckt wurde. Nun soll dieses Problem behoben sein. Die neue Version der AusweisApp ist dem BSI zufolge "soweit fortgeschritten, dass den am Anwendungstest beteiligten Firmen eine Vorabversion der Software zur Entwicklung und zum Test ihrer jeweiligen Dienstangebote bereitgestellt werden kann". Rund 30 Firmen und Behörden aus dem Anwendungstest sollen die AusweisApp einer genauen Prüfung unterziehen. Ihre Rückmeldungen zur Brauchbarkeit der Software sollen in die Version einfließen, die am 3. Januar 2011 erscheinen soll. Bis dahin wird es für Inhaber des neuen Personalausweises mit freigeschalteter eID-Funktion keine Möglichkeit geben, sich elektronisch zu identifizieren.

Wie viele Bürger überhaupt den beantragten neuen Personalausweis seit dem Start am 1. November bekommen haben, darüber gibt es unterschiedliche Angaben. Die Schätzung von IT-Experten, dass etwa 60.000 Ausweise in den Portemonnaies der Bürger stecken, wird von der Bundesdruckerei ausdrücklich widersprochen. Nach ihren Angaben wurden 250.000 Ausweise ausgeliefert. "Dabei hielten sich die bei derart umfangreichen Projekten üblichen Verzögerungen in Grenzen", heißt es in einer Mitteilung. "Lediglich bei einem Bruchteil der Beantragungen benötigte der Ausweis eine längere Lieferfrist als geplant. Damit konnte die erste Phase der Einführung mit Erfolg abgeschlossen werden." Da die Produktion sukzessiv anlaufe, könne es für einzelne Bürger zu verlängerten Wartezeiten kommen.

Quelle : www.heise.de

[SiLæncer]

Ist der neue Personalausweis bei der Behörde, der PIN/PUK-Brief aber nicht eingetroffen, so kann dennoch die elektronische Identifikation (eID) freigeschaltet werden. Darauf wies der für die Ausweis-Einführung zuständige BMI-Referatsleiter Andreas Reisen am Rande einer Tagung über den neuen Personalausweis hin.

Andreas Reisen hatte als regelmäßiger Leser des c't-Blogs den Bericht unseres Kollegen Axel Kossel gesehen. Dieser gehört zu der Gruppe von Bürgern, bei denen der PIN/PUK-Brief der Bundesdruckerei zur Meldebehörde geschickt werden sollte. Als die Nachricht kam, dass der Ausweis abgeholt werden kann, fehlte der Brief aber. Sicherheitshalber wurde deshalb die eID-Funktion des Ausweises gesperrt. Denn falls jemand den Brief abgefangen habe und gezielt auch noch den dazugehörigen Ausweis stehle, könne er die eID missbräuchlich verwenden, hatte man Kossel erklärt.

Nach Darstellung von Andreas Reisen ist dieses Verfahren unnötig und eine Lösung in den behördlichen Unterlagen behandelt. Erklärt ein Bürger gegenüber der Behörde, den PIN/PUK-Brief nicht erhalten zu haben, kann die Behörde die eID des Ausweises am Änderungsterminal (ÄNTE) kurz scharf stellen und die PIN-Änderungsfunktion aufrufen. Zahlt der Bürger 6 Euro in die Gemeindekasse, darf er dann sofort eine neue PIN eingeben. Will er die 6 Euro nicht bezahlen, bleibt die eID gesperrt und der Bürger muss warten, bis der PIN/PUK-Brief auftaucht. Dies war beim Betroffenen genau einen Tag später der Fall. Das Entsperren der Funktion erfolgte in diesem Fall dann kostenlos.

Außer den Kosten hat das Ersatzverfahren noch den Nachteil, dass der Bürger keine PUK hat, mit der er die gesperrte eID-Funktion nach dreimal falsch eingegebener PIN selbst entsperren kann. Doch auch eine solche PUK kann bei der zuständigen Behörde nachgekauft werden, da die PUK des Ausweises nach zehnmaliger Nutzung gesperrt wird.

Quelle : www.heise.de

[SiLæncer]

Aus einem Bericht des Mitteldeutschen Rundfunks (MDR) geht hervor, dass bei dem neuen elektronischen Personalausweis eine weitere Panne ausfindig gemacht wurde. Dabei soll es sich um Produktionsschwierigkeiten handeln.

Angeblich wurde der elektronische Personalausweis teilweise mit leeren Datenchips hergestellt, so der MDR. Wie viele der 650.000 Antragsteller konkret von dieser Problematik betroffen sind, konnte ein Sprecher des Bundesinnenministeriums nicht konkret beziffern.

Abgesehen davon spricht der 'MDR' von vereinzelten Problemen mit dem Sperrkennwort und Lieferengpässen. In einer offiziellen Stellungnahme ist diesbezüglich die Rede von Schwierigkeiten in einer Umstellungsphase.

Wenige Tage nach dem Start wurde ein kritischer Fehler in der so genannten AusweisApp, der zugehörigen Software für den elektronischen Personalausweis, von Jan Schejbal entdeckt. Wegen einer Sicherheitslücke bei der eingebauten Update-Funktion könnte ein Angreifer unter Umständen Daten auf die Festplatte der Anwender einschleusen, heißt es.

Die insgesamt 5300 zuständigen Behörden in Deutschland geben seit dem 1. November nur noch den neuen elektronisch lesbaren Personalausweis aus.

Quelle : http://winfuture.de

[SiLæncer]

Ohne Worte: anschauen und lachen oder weinen. Je nach Einstellung

Für die Onlinefunktion des neuen Persos brauchen Sie nur ein Lesegerät, Anti-Viren-Programme, eine Firewall, diverse Updates und PINs – Ein Film von Alexander Lehmann.

[SiLæncer]

Die Einführung des neuen Personalausweises (nPA) ist ein Hindernis-Parcours. Nachdem die Bundesdruckerei offenbar die Produktion der neuen Ausweise in Gang gebracht hat und den 500.000ten Ausweis melden konnte, sorgen die Änderungsterminals (ÄNTE) auf den Behörden für Ärger. Die Beamten kämpfen mit Verbindungsabbrüchen der Terminals, die sich jeden Morgen bei den nPA-Servern der Bundesdruckerei anmelden müssen.

Für viele Bundesbürger, die frühzeitig den neuen Personalausweis beantragt haben, wird "meine wichtigste Karte" nicht unter dem Weihnachtsbaum liegen. Nach einer Übersicht der Nachrichtenagentur dpa warten die Bürger entweder auf den Ausweis oder auf den PIN/PUK-Brief, der zum neuen Ausweis gehört. Gegenüber dem Stern erklärte ein Sprecher des Bundesinnenministeriums, es sei ärgerlich, dass es beim Ausweis Verzögerungen gegeben habe.

Auch für die Bürger, die bereits den PIN/PUK-Brief erhalten haben und den Ausweis auf ihrer Behörde abholen wollten, droht in einigen Städten und Gemeinden Ungemach. Vor allem in Kommunen mit ländlichem Internet-Zugang, die mit dem Citrix Terminal Server oder der Citrix XenApp arbeiten, funktionierte die Kommunikation mit den ÄNTE-Geräten nicht, wenn kein 6000er DSL-Anschluss vorhanden war. Hier haben die Techniker der Bundesdruckerei in aller Eile einen Patch entwickelt, mit dem das Timeout-Verhalten den ländlichen Gegebenheiten angepasst werden konnte. Die Arbeit mit Virtualisierungslösungen wurde relativ spät ins Pflichtenheft zum neuen Personalausweis aufgenommen: Bis zum Oktober galt die Annahme, dass Virtualisierung in Verbindung mit der Ausweistechnik nicht akzeptiert wird, was auf massiven Protest der Kommunen hin geändert wurde.

ÄNTE-Timeouts sorgen weiterhin dort für Probleme, wenn morgens die Zugangskarten der ÄNTE aus dem Safe geholt werden und viele Geräte gleichzeitig das Login-Prozedere auf den nPA-Servern starten. Hier rät die Bundesdruckerei, die Geräte nacheinander anzustellen. Ohne funktionierende ÄNTE können die Besitzer eines neuen nPA keine eigene PIN setzen oder die Nutzung der elektronischen Identifikation (eID) sperren lassen. Die Behörden können wiederum keine Adressenänderung nach einem Umzug in den Ausweischip schreiben.

Die Grünen kritisieren derweil das ehemalige rot-grüne Prestigeprojekt, das Anfang 2004 gestartet wurde: Der komplizierte Start befördere die Verunsicherung der Bürger und schaffe kein Vertrauen in die Technik.

Über die Festtage und den Jahreswechsel hinweg haben die am nPA beteiligten Programmierer Zeit, die Terminal- und Software-Probleme zu beheben. Ähnliches gilt auch für die AusweisApp, ohne die der neue Ausweis nicht bei der eID funktioniert. Sie soll am 3. Januar zum Download zur Verfügung stehen.

Quelle : www.heise.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 1.0.2 der AusweisApp zum Download freigegeben. Die vorerst nur in der Windows-Variante verfügbare Software zum Zugriff auf den neuen Personalausweis (nPA) kann über das AusweisApp-Portal geladen werden. Varianten für Linux und Mac OS sollen demnächst folgen.

Nach Angaben des BSI wurde die neue Version der AusweisApp von den Firmen OpenLimit SignCubes und Siemens Solutions and Services überarbeitet und vom BSI getestet. Die erste Version der AusweisApp wurde von den Servern genommen, nachdem eine Sicherheitslücke in der für Hotfixes wichtigen Update-Routine entdeckt worden war. In Zukunft sollen kumulierte Updates der AusweisApp bereit gestellt werden. Beim Auftreten besonders kritischer Sicherheitslücken sollen Hotfixes die Aktualisierung der Software besorgen.

Das BSI hat zwischen den Jahren auch an den Lesegeräten für den neuen Personalausweis gearbeitet. Am 29. Dezember hat mit dem CyberJack RFID Standard von Reiner SCT der erste Standardleser die Zertifizierung für den nPA erhalten. Die Zertifizierung weiterer Geräte von Kobil und SCM Microsystems ist im Gange. Standardleser besitzen eine eigene Tastatur für die PIN-Eingabe, sind aber nicht für das Nachladen und den Umgang mit der qualifizierten elektronischen Signatur (QES) geeignet. Die "Mittelklasse" unter den nPA-Lesegeräten soll zum Einsatz kommen, wenn nPA-Besitzer den Ausweis "außer Haus" einsetzen, etwa bei dem automatischen Ausfüllen des Meldebogens im Hotel.

Quelle : www.heise.de

[SiLæncer]

In einigen Meldeämtern soll die Software für die Registrierung bereits gedruckter neuer Personalausweise abstürzen, wenn der Name des Ausweisinhabers diakritische Zeichen enthält. Dies meldete die Frankfurter Rundschau. Demgegenüber betont die Bundesdruckerei, dass diese Zeichen bei der Ausweisproduktion keine Probleme bereiten: Bundesinnenminister de Maizière, einer der ersten Empfänger eines neuen Personalausweises, kann trotz des accent grave auf einen korrekt gedruckten Namen verweisen. Nur in der maschinenlesbaren Zone (MRZ) auf der Rückseite, die nach ICAO-Norm nur Großbuchstaben kennt, fallen diakritische Zeichen weg.

Das in Deutschland geltende Prinzip des Föderalismus ist in der Datenverarbeitung nicht unbedingt förderlich. Bund, Länder und Kommunen setzen höchst unterschiedliche Software für ihre Verwaltungsaufgaben ein. Beim neuen Personalausweis kommt ein Dutzend Frontends zum Einsatz, die von den Anbietern kommunaler Software geschrieben wurde. Dazu kommen von Bundesland zu Bundesland unterschiedliche Verfahren, wie die Änderungsterminals (ÄNTE) mit den Servern der Bundesdruckerei kommunizieren. Nach anfänglichen Problemen mit Citrix-Systemen mit langsamer Internet-Anbindung auf dem Lande sorgen nun diakritische Zeichen dafür, dass es bei der Ausgabe produzierter Ausweise Probleme gibt. Laut dem Zeitungsbericht sind offenbar die Berliner Bezirksämter von diesem Fehler betroffen, in denen Thin Clients und TerminalServer eingesetzt und vom IT-Dienstleistungszentrum betreut werden. Die Fehlersuche dauert zurzeit an.

Auch bei der neuen AusweisApp läuft noch nicht alles, was laufen soll. So funktioniert die AusweisApp zwar unter Windows, doch selbst der Funktionstest eines Ausweises ist noch nicht möglich. Korrespondierend ist das aktuelle Angebot an Nutzungsmöglichkeiten beim nPA eine ziemliche Enttäuschung. Nach Angaben von Jens Fromm vom Fraunhofer Fokus, das die Einführung des Ausweises betreut, ist das Angebot der SCHUFA derzeit das einzige Projekt mit funktionierender nPA-Integration. Tests der Redaktion wurden jedoch auch hier mit Fehlern quittiert.

Wie im Personalausweis-Blog berichtet gibt es unter Blinden Unmut darüber, dass die neue AusweisApp die Zusammenarbeit mit Screenreadern verweigert. Was in der ursprünglichen Version der Software barrierefrei funktionierte, wurde vorerst gestoppt, weil die Techniker beim Code Review eine Sicherheitslücke in der "Java Access Bridge" fanden, die zur Ansteuerung der Screenreader benötigt wird. Diese Sicherheitslücke soll mittlerweile geschlossen worden sein. In der nächsten Version der AusweisApp wird die Unterstützung von Screenreadern wieder aktiviert sein, erklärte Peer Dietrich vom "Arbeitskreis Barrierefreiheit Personalausweis".

Quelle : www.heise.de

[SiLæncer]

Die PIN des neuen Personalausweises lässt sich auch ohne Malware leicht stehlen, meint Jan Schejbal und zeigt einen einfachen Angriff. Nach einem Hinweis Schejbals auf eine Sicherheitslücke in der Updatefunktion der AusweisApp war diese zuvor zurückgezogen worden.

Schejbal zeigt unter fsk18.piratenpartei.de einen Weg, um an die Ausweis-PIN eines Nutzers zu gelangen. Er nutzt keine technische Schwachstelle, sondern setzt auf einen sorglosen Umgang der Nutzer mit ihrer Software.

Die Website verspricht, eine Altersprüfung vorzunehmen und fordert dazu auf, einem Link zu folgen. Dieser zeigt dann im Browserfenster eine Grafik an, mit der vorgetäuscht wird, dass die AusweisApp geöffnet worden ist. Der Nutzer wird zur Eingabe seiner PIN aufgefordert. Da die Eingabe in ein Webformular erfolgt, das lediglich aussieht wie die AusweisApp, erhält der Websitebetreiber Zugriff auf die PIN.

Schejbals Angriff setzt also auf Phishing, die Sicherheitstechnik des neuen Personalausweises wird nicht ausgehebelt. Dabei sollte nicht vergessen werden, dass eine der größten Schwachstellen in solchen Sicherheitssystem eben vor dem Bildschirm sitzt.

Die AusweisApp-Simulation von Schejbal ist recht primitiv und soll nur die Gefahr aufzeigen. So lässt sich das angezeigte Fenster der AusweisApp nicht verschieben, was Nutzer stutzig machen sollte. Denkbar wäre aber durchaus, mit Javascript dafür zu sorgen, dass das vermeintliche Applikationsfenster zumindest innerhalb des Browserfensters verschiebbar ist. Auch ließe sich die Optik anhand der Browserkennung an des jeweilige Betriebssystem anpassen. Und auch eine Bildschirmtastatur ließe sich simulieren, so Schejbal.

"Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll – aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?", fragt Schejbal.

Darüber hinaus signalisiert die AusweisApp, wenn sie bei aufgelegtem Ausweis aktiv ist. Dann wechselt das in der Taskleiste angezeigte Chipsymbol von grün zu blau. Auch daran wäre der Angriff leicht als solcher zu erkennen, sagt Schejbal.

Um die Identität des Ausweisbesitzers zu missbrauchen, reicht die PIN unterdessen nicht aus. Auf dem Chaos Communication Congress Ende 2010 (27C3) zeigten allerdings Frank Morgner und Dominik Oepen, was sich mit einer PIN anstellen lässt.

Quelle : www.golem.de