Internet-Law

Onlinerecht und Bürgerrechte 2.0

22.9.10

Sicherheitsprobleme beim neuen Personalausweis

Der CCC hat massive Sicherheitsprobleme des neuen elektronischen Personalausweises aufgezeigt und dem Innenminister fällt nicht mehr ein als in der Tagesschau zu sagen:

„Irgendwelche Hacker mögen immer irgendwas hacken können, aber, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage“

Wer derartig die Fakten ignoriert, dem wird hoffentlich bald ein öffentlicher Tornado ins Gesichts blasen. Man sollte zum Thema die Berichterstattung bei Heise, ZEIT ONLINE und Fefe gelesen haben. Auch der WDR (heute 21:55 Uhr) wird sich mit dem Thema befassen und kündigt einen Bericht an, in dem dargelegt wird, dass selbst die elektronische Unterschrift auf dem neuen Dokument fälschbar ist.

Wenn die Datensicherheit nicht gewährleistet ist, dann darf dieser neue Personalausweis auch nicht eingeführt werden.

posted by Stadler at 18:20  

9 Comments

  1. Soweit ich das verstanden habe, gibt es nur Probleme, wenn ein unsicherer Computer verwendet wird. Sollte ein Computer Schadsoftware enthalten, kann auch e-banking zum Albtraum werden. Deswegen weiss ich nicht so recht, was ich davon halten soll… ist es Panikmache?

    Comment by SJ — 22.09, 2010 @ 18:44

  2. Ich glaube, Panikmache trifft es ganz gut. Der Hinweis, dass die Basis-Lesegeräte die PIN nicht schützen können, ist sicher berechtigt (und es ist auch gut, wenn das bei den Benutzern ankommt), aber für jeden der auch nur Grundkenntnisse in IT-Sicherheit hat, auch selbstverständlich.
    Was den Ausweis selbst angeht, hat das BSI sehr solide Arbeit geleistet, die Konzepte sind durchdacht. In der Implementierung können natürlich trotzdem Fehler passiert sein. Und ja, beim Einsatz in einer unsicheren Umgebung bestehen Risiken. Aus den gegebenen Rahmenbedingungen hat das BSI aber m.E. trotzdem das Beste gemacht.
    Zu der Kritik, ein signiertes Dokument werde u.U. dem Nutzer gar nicht richtig dargestellt: Das stimmt, ist aber nicht auf den nPA beschränkt; wenn Sie mal nach „Präsentationsproblem“ googlen, werden Sie dazu schätzungsweise 10 Jahre alte Veröffentlichungen finden.
    Kurz gesagt: Natürlich ist das Ding nicht perfekt, aber doch besser als so ziemlich alles, was wir momentan an Online-Authentifizierungsverfahren haben.

    Comment by Christoph — 22.09, 2010 @ 20:58

  3. Ich bin auch nicht, dass man da einfach blind drauf vertrauen sollte… wenn der Computer mit dem Lesegerät mit Schadsoftware infiziert worden ist, dann ist e-banking ebenfalls ein Risiko… wer überprüft denn schon das Routing zu den Server, checkt die SSL Zertifikate, überprüft Proxy Einstellungen…

    Sicher ist definitiv nichts ausser, dass wir eines Tages sterben werden. Aber mit gewissen Vorsichtsmassnahmen kann das allfällige Risiko eines Missbrauchs doch erheblich gesenkt werden.

    Comment by SJ — 22.09, 2010 @ 21:05

  4. Es ist eine irrige Fehlannahme, dass man bereits von vornherein verloren hätte, wenn dem Computer nicht vertraut werden kann. Wer sich die Studien mal genauer anschaut wird erkennen, dass der Bund sich in seinem Streben nach schneller Akzeptanz mit den Pin-Feld-losen Lesegeräten selbst in den Fuß geschossen hat. Ein erheblicher Teil der Angriffsszenarien basiert allein auf der Unzulänglichkeit des Konzepts dieser Lesegeräte.
    Das Präsentationsproblem ließe sich hingegen wirksam durch funktionierende Dokumentensignaturen umgehen (zumindest nach mir bekanntem Forschungsstand). Auch hier wurde Aufwand und Mühe gescheut, um das Konzept schneller auf die Beine stellen und unter die Leute bringen zu können.

    Der digitale Perso war an sich schon eine dumme Idee. Die derzeitige Umsetzung ist dagegen auch noch schlampig, fahrlässig fehlerhaft und bekanntermaßen unsicher. Die Haftungsrisiken werden dabei auch noch elegant auf den Bürger abgewälzt (anders als früher, siehe Gültigkeit von gefälschten Unterschriften). Darüber den Bürger im Unklaren zu lassen und unehrlich und mMn schon bösartig. Das BSI macht hier auch keinen soliden Job (von der Fachabteilung abgesehen), sondern beteiligt sich in Form seiner Presseabteilung an Fehlinformation und Abwiegelung. Dabei hat die Fachabteilung längst festgestellt, dass der ePa/nPa den Sicherheitsbestimmungen für elektronische Signatur nicht genügt.

    Dass der Bund dann nicht nur unsichere Lesegeräte zulässt sondern auch noch in Millionenstückzahl selbst beschafft, ist nur die Krone auf dem Gipfel der Unverschämtheit.

    Comment by Kommentator — 23.09, 2010 @ 11:51

  5. Zu dem Zitat von de Maiziere frage ich mich, was wohl passieren würde, wenn ein Bankenchef sagen würde:
    „Irgendwelche Einbrecher mögen immer irgendwie einbrechen können, aber, die Zuverlässigkeit und Sicherheit des neuen Geldsafes steht nicht in Frage“.
    Sicher ist, dass nichts sicher ist …

    Comment by Oliver — 23.09, 2010 @ 12:10

  6. Gegenüber einer fahrlässigen Verletzung von Sorgfaltspflcihten einer Bank habe ich vertragliche und deliktische Ansprüche auf Schadensersatz. Gegen wen gehe ich aber vor, wenn die eID des Neuen Personalausweises nicht die beworbene „absolut sichere“ Identifizierung bringt, sondern durch einfachen Missbrauch finanziellen Schaden verursacht? Viel Spaß beim Amtshaftungsprozess.
    Wer braucht denn diesen NPA überhaupt?

    Comment by Peter Hense — 23.09, 2010 @ 14:47

  7. „Wenn die Datensicherheit nicht gewährleistet ist, dann darf dieser neue Personalausweis auch nicht eingeführt werden.“

    Ist das als Hoffnung, oder Meinung zu werten? Würde mich natürlich über letzteres freuen, über ersteres aber nicht wundern.

    LG

    Comment by Seb — 23.09, 2010 @ 17:23

  8. Steffen Kraft schreibt beim „Freitag“ ( http://www.freitag.de/politik/1035-beste-karten-f-r-den-innenminister ) diese Sicherheitsdiskussion lenke uns davon ab, dass der E-sonalausweis ein weiteres Puzzleteil zur lückenlosen Überwachung werden könnte. Bedenkenswert, wie ich finde.

    Comment by Robert Hase — 23.09, 2010 @ 22:44

  9. Sollte es mit meinem neuen Perso zum Mißbrauch kommen, und ich bin der Geschädigte dann muß ich meine Unschuld beweisen. Denn beim Perso ist die politische Vorgabe dass dieser zu hundert Prozent sicher ist, daran wird sich dann auch jedes Gericht halten. Wenn ich also nicht einige Zehntausend Euro für unabhängige Gutachter und Prozesse übrig habe um alle Instanzen zu durchlaufen dann werde ich keine Chance haben zu beweisen dass ich mich völlig korrekt verhalten habe. Tja und da ich nicht soviel Knete muß ich auf eine Gerichtskostenbeihilfe hoffen. Die gibt es jedoch nur für Prozesse mit Erfolgsaussicht aber die sind aus politischen Gründen natürlich nicht vorhanden.

    Comment by Impuras — 2.11, 2010 @ 18:40

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.