Kategorie : Security

in Ärger, Kommentar, Politik, Security, Wirtschaft

eID-Akzeptanz im nPA bleibt hinter Erwartungen zurück

Heise berichtete heute, dass bisher 1,1 Millionen neue Personalausweise beantragt worden sind, aber die zur Online-Nutzung benötigte AusweisApp lediglich 29000 Bürger erst heruntergeladen haben. Das entspricht gerade mal einer 3%-Quote über alle Ausweise. Angeblich soll bei jedem zweiten nPA die eID-Funktion aktiviert worden zu sein.

Pannen gab es viele. Die ausgerollten Kartenlesegeräte ohne eigene Tastatur (1 Millionen Stück) und das bis heute daran Festhalten und nicht Ablehnen dieser unsicheren Geräte, störanfällige Terminals in Meldeämtern, erst kürzlich die Schwierigkeiten mit Sonderzeichen im Namen und bis heute das schiere überwältigende Nicht-Angebot von Anwendungen der eID.

Seien wir mal realistisch:

Der gemeine Anwender versteht doch im Groben nicht, was er damit anfangen soll. Oder sagen wir es anders: Wie er es einrichten soll. Selbst bei der buntesten Werbung (wozu muss eigentlich so ein Aufwand und Geld für das Bewerben eines Ausweises betrieben werden?) und Verpackung und euphorisch positiv gestimmten Dokumentation wird eines nicht bedacht – der Anwender.

Auf Grund meiner Erfahrung durch meinen Job kenne ich hunderte von Leuten, die heute noch kapitulieren, wenn sie sich einen Drucker, HBCI-Online-Banking inkl. Software oder ein Mailkonto in einem Mailclient ihrer Wahl einrichten sollen. Das ist nicht abwertend gedacht oder gemeint, sondern hängt von den Spezialisierungen und Interessen der Personen selbst ab. Niemand kann und muss IT-Profi oder Nerd sein. Der eine kann gut mit Prozenten und Taschenrechner arbeiten und wird Steuerberater, der andere kennt sich in Gesetzen total tuffig gut aus und wird Rechtsanwalt. Wiederum andere wissen, wie sie Rohre miteinander verbinden und bieten Sanitärleistungen an. Und eben jene Bürgern sollen auf einmal etwas derart komplexes anwenden? Wie sieht das mit den damit verbundenen Kosten aus, um spezielle Dienste nutzen zu können? War da nicht auch etwas in der Presse – so von wegen unsichere Lesegeräte? Wo am Computer wird es angeschlossen? Treiberinstallation? Anwendungssymbol in der Tray im Auge behalten?

In diesem Kontext sucht man dann Hilfe – meist bei Bekannten, Nachbarn, Freunden oder Verwandten, die entweder ein Tick mehr gefährliches Halbwissen aufweisen oder nur so tun als ob. Ein reger Austausch und Zugriff auf sämtliche sicherheitsrelevante Daten findet statt. Zertifikate, Daten, Pins – alles vor- und rückwärts ausgetestet, kopiert, probiert. Letztendlich, früher oder später, ist der gemeine Anwender gezwungen dafür dann noch mehr Geld als bisher auszugeben, indem er sich Hilfe bei Unternehmen sucht.

Muss man so etwas umsetzen? Ohne nennenswerten und erkennbaren praktischen Nutzen und zudem zu hohen Kosten bei geringerer erkennbarer Sicherheit? Mal ehrlich: was sagt an dieser Stelle das Bauchgefühl? Hmm?

Es ist dennoch schön anzusehen, dass die Erwartungen der Befürworter nicht bestätigt wurden und eID sowohl bei den Bürgern als auch bei den Unternehmen keine grundlegende Rolle spielt. Für mich, wie auch für viele andere Skeptiker und Kritiker ist der nPA als Solches eine Investition in Sondermüll: Plaste ohne sonderlichen Mehrwert, an der sich wenige involvierte Unternehmen scheinbar für Außenstehende gesund stoßen wollen. Über weitere kritische Punkten fange ich jetzt aber nicht an zu schreiben.

Januar 19, 2011
von FireFox
0
4

in Ärger, Politik, Security, Wirtschaft

Sicherste Technik, die es gibt – wer’s glaubt

Mustermann nPA (neuer Personalausweis ab 1.11.2010) / Bundesministerium des Innern / Genehmigung: §5 (1) UrhG, official work

Nun ist er da, der “sagenumwobene” nPA (neuer elektronischer Personalausweis)!

Und die Befürworter aus Staat und Industrie versuchen trotz des Zwangsstartes dieser Woche diesen in positiven Licht darzustellen. Der erhoffte “Run” auf den neuen Ausweis blieb aber weit hinter den Erwartungen. Speziell in den “neuen” Bundesländern ging der Einführungstermin einher mit auslaufenden alten Ausweisen. Dumm nur, dass im Vergleich zu den regulären Ausweisbeantragungen in der letzten Woche sehr viele noch den guten alten Ausweis in Auftrag gaben, wie es zB. die Piraten in Potsdam in ihrem letzten Wochenrückblick aufzeigen. Sicherlich mag hier der Umstand ebenso geschuldet sein, dass man für ein derartiges Dokument statt 8€ nun 28,80€ auf den Tisch legen muss und viele Leute mit dieser Hyper-Technik nichts am Hut haben.

Dass es hier nicht nur um Sicherheit geht, sondern auch um wirtschaftliche Interessen, zeigt zB. ein Interview vom 01.10.2010 auf Radio1 (interessant ab ca. 4:00). Ein “sicheres“ Bonuspunkte-Programm kann damit abgewickelt werden – soso. Was das bisherige (und in meinen Augen sehr zweifelhafte) Bonuspunkte-Programm des Handels unsicher darstellen lässt, läuft wohl eher dahingehend hinaus, dass man z.B. nicht eindeutig einen Einkauf auf eine Person zurück schließen lassen kann. Mit dem nPA ja alles kein Problem mehr und wird auch noch fertig gebacken dem “Kunden” in naher Zukunft aufgezwungen. Man kann ja dann ohne nPA die tollen Funktionen nicht nutzen und auch nicht mehr “sicher” einkaufen.

Kritik gab es zudem viel – besonders im Zusammenhang mit dem durch die Bundesregierung erworbenen Sicherheitskits, die gratis unters Volk geworfen werden sollten. Speziell diese haben ein eklatantes Sicherheitsproblem, da die 6-stellige PIN via Computer-Tastatur eingegeben werden muss. Der CCC hatte hierzu Sicherheitsmängel aufgezeigt, weil es dadurch mit einfachen Mitteln möglich ist, die PIN bei Eingabe auf dem Computer auszulesen und diese gar automatisiert durch ein Schadprogramm zu nutzen. Ich denke der letzte Satz ist genau der ausschlaggebende Punkt:

Mitlesen der PIN und automatisierte Legitimation

Wohl bemerkt: das alles, wenn der nPA in der Nähe des Lesegerätes sich befindet.

Nun gibt es auf der FAZ seit gestern ein “tolles” Interview mit der IT-Beauftragten der Bundesregierung Cornelia Rogall-Grothe. Dieses Interview zeigt, dass man keine Juristen in die Position des Bundes-CIO hieven sollte. So oft kann man sich nicht an die Stirn schlagen, wie man eigentlich gern wollte (#facepalm).

Aber beginnen wir von vorn … Weiter lesen …

November 2, 2010
von FireFox
0
2

in Hard & Software, Hilfe, Mac, Security

Projekt GPGMail mit neuem Ort

Alex, der im neuen Team von GPGMail ist, hat soeben einen Kommentar in meinem alten GPG Artikel hinterlassen und darauf hingewiesen, dass das GPGMail Projekt weiter fortgeführt wird und an einer zentralen Stelle unter www.gpgmail.org zu finden ist.

Es ist schön zu sehen, dass sich einige um das Projekt versammelt haben, um eine störende Lücke zu schließen, sodass man auf einfache Weise PGP unter Mac OS mit Hilfe von Apple Mail nutzen kann.

Danke für den Hinweis im Kommentarbereich und danke für das Engagement für ein Tool, welches ich täglich benutze und heutzutage immer wichtiger denn je wird!

Im Downloadbereich findet sich die aktuelle Version 1.3.0 für Snow Leopard 10.6.4.

Juli 29, 2010
von FireFox
0
0

in Hard & Software, Hilfe, Mac, Security

GPGMail und Snow Leopard 10.6.3

Mir ist das nur unterschwellig aufgefallen, dass seit dem Update auf 10.6.3 das GPGMail Plugin nicht so richtig mehr funktionierte. Wird die verschlüsselte Mail geöffnet (Doppelklick), wird nach Eingabe der Passphrase die Mail entschlüsselt. Lässt man diese aber im Hauptfenster lediglich entschlüsseln, schlägt dieser Vorgang mit folgender Fehlermeldung fehl:

[MimePart getNumberOfAttachments:isSigned:isEncrypted:]: unrecognized selector sent to instance 0×11b200f60

Dies lässt sich mit einer aktuellen Version des GPGMail Plugins beheben und ist hier zum Download angeboten.

April 4, 2010
von FireFox
0
2

in Ärger, Netz, Politik, Security

Update: Ein falscher Klick

Mich hat es heute früh aus den Socken gehauen, als ich die Meldung von Fefe und den Link auf die FAZ vernommen habe. Mal im ernst: wie oft muss man den Leuten sagen, dass sie mit solchen verquirlten Forderungen – welche auch noch einstimmig abgesegnet wurde – Tür und Tor für Missbrauch eines Jeden öffnet? Worauf nicht nur ich speziell anspiele?

Eingebettete und versteckte iFrames, die auf zB. KiPo verlinken, reichen aus, um gemäß dieser geplanten Grundlage mit Handschellen das Haus verlassen zu müssen. Cross Site Scripting wird, wie Fefe auch korrekterweise sagt, zu einer gefährlichen Sicherheitslücke. Und die letzten Wochen haben gezeigt, wie anfällig bestimmte Webseiten sind (Schäuble Hack, Deutsche Kinderhilfe usw.). Man denkt, man ist auf einer seriösen Seite und wenige Minuten später bimmelt es grün an der Tür.

Dieses ganze Problem KiPo wird immer intransparenter und anscheinend hat man in der Politik die ultimative Keule gefunden, um fast alles durch das Dorf prügeln zu können. Natürlich wird es mit Sicherheit so argumentiert werden, dass Otto-Normalinternetter, der zufällig darauf kommt, nicht unter Strafe stehen soll – nur wird der Gesetzestext, wie immer, eine andere Sprache sprechen.

Warum nicht gleich die Nutzung des Internet verbieten?

Update: Mir ist das jetzt erst aufgefallen. Unter anderem soll auch Jugendpornographie darunter fallen – sprich jede Ü30-Jährige Tante mit Zöpfchen, die eins auf Schuldmädchen macht …

Juni 26, 2009
von FireFox
0
1

in Hard & Software, Netz, Politik, Security, Wirtschaft

ePerso macht das Leben einfacher und sicherer ohne Kontrollen

Ich bin kein Freund des ePerso – ganz ehrlich. Wenn ich dann noch Dinge lese, wie derzeit auf Heise, dass Microsoft mal flugs zeigt, wie man mit dem ePerso Flüge sicher und zertifiziert buchen kann, dann bin ich noch weniger ein Freund davon. Der Sinn des ganzen erschließt sich mir nicht einmal ansatzweise und dieser Gedankengang wird in der dünnen Argumentationskette pro nur noch bestärkt. So heißt es, als Pro-Argument:

Nach der Abfrage freier Plätze einer bestimmten Verbindung über den Internet Explorer kann der Anwender den Flug buchen und seine Identität mit dem elektronischen Personalausweis bestätigen. Dieses Verfahren soll künftig die Flugbuchungen noch sicherer machen, bei denen ansonsten eine ID-Kontrolle erst am Flughafen erfolgt.

Erstens – Einsatz hier mit Hilfe des Internet Explorers. Da wird bestimmt eine Art ActiveX-Komponente dann eingesetzt, die die Schnittstelle zum Lesegerät auslesen kann. Dieses ActiveX wird garantiert wie jedes andere auch frei von Fehlern und Lücken sein.

Zweitens wird suggeriert, dass man mit dem ePerso nicht mehr an einem Flughafen ausweisen braucht, weil man es ja bereits getan hat. Ohne ePerso muss ich mich am Flughafen kontrollieren lassen, Ahja … meine letzten Flugerfahrungen haben bezüglich der Beurkundung meiner Person dem Flughafenpersonal gegenüber beim Einchecken keinerlei Zeitverlust gebracht. Koffer hingestellt, Ausweis raus, lieb gelächelt und fertig! Wo ist jetzt also der Nutzeffekt für das Ganze, für das Geld verschlingende Monster? Was macht das Ganze sicherer und einfacher?

Vielleicht kann mich mal Jemand aufklären – vielleicht denke ich ja auch nur eindimensional!

Juni 24, 2009
von FireFox
0
2

Suchen

Suche nach:

Gezwitscher
- Ich sag mal so ... 11 minutes ago
- @RicoCB ruppin TV sollte man mal schauen 41 minutes ago
- @RicoCB ok :) ich tummle sicherlich irgendwo da rum - der RBB hatte nur via Inforadio mich interviewt - TV den RV Vorstand 42 minutes ago
- @RicoCB war iO ja? Hab vergessen aufzuzeichnen - mache das für die nächste Sendung 22 Uhr 44 minutes ago
- Heil in BRB angekommen und @almoostNightt auf dem Weg heim - hoffe die Schlüsselsache findet sich ein ;) 2 hours ago
View more tweets
Archiv
Blogroll
- Artanis
- Datenschutzbeauftragter Online
- Fefe
- Krecki
- Netzpolitik
- Olnigg
- Pixel
- rasehorn.net
- Unkreativ

Kategorie : Security

Suchen

Gezwitscher

Archiv

Blogroll