Getagged : Biometrie

in Ärger, Clips, Kommentar, Kurioses, Netz, Politik, Security, Tellerrand

Über den Tellerrand Nr. 9

Neue Woche, neues Glück …

  1. Das BDI fordert einen Schnellstart der eGK – endlich wurden wir erhört und es sagt einer der Verzapfer dieses “Machwerkes” worum es bei der eGK wirklich geht: Profit für die beteiligten Unternehmen! War ja klar, denn mit Sicherheit, Prävention und besserer Dienstleistung hat das Ganze überhaupt nichts zu tun
  2. Biometrische Gesichtserkennung in Laptops gehackt – dieses unausgereifte “Kinderspielzeug” Biometrie ersetzt eben nun mal kein gutes und komplexes Passwort. Merke: Biometrie != Sicherheitsgewinn aber Biometrie == Sicherheitsverlust.
  3. Hach die Bahn, die deutsche Bahn. Sie hatte doch schon alles ausgesagt, alle Machenschaften lagen auf dem Tisch und nun das. Was ich nicht ganz verstehe, ist, wieso nach all dem Mist, den Mehdorn verzapft bzw. durchgehen lassen hat, er immer noch im Amt sitzt?
  4. Da wird diskutiert und beraten, Gremien einberufen, Gänseblümchen ihre Blätter gezupft, Götter und Orakel befragt, Gollum gefangen, um den Ring an sich zu reißen, um eine Grundsatzregelung  zum Arbeitnehmer-Datenschutz zu Papier zu bringen. Haben wir nicht ein allgemeines Datenschutzgesetz? Gilt dieses nicht für uns “arme” Arbeitnehmer, oder wie? Wenn doch, wozu brauchen wir ein neues und spezielles Datenschutzgesetz für Arbeitnehmer? Ach ich verstehe – wie es halt immer bei Gesetzen mit Hr. Schäuble & Co. ist – um neue Ausnahmen und Umgehungsmöglichkeiten einzubauen.
  5. Unsere Daten sind wichtig. Unsere Profile sind wichtig. Da kann man so schön wirtschaftlichen Schindluder mit treiben. Und Dollarzeichen in den Augen und Scheine in der Geldbörse gibt es ohne Ende dazu. Kann ja nicht angehen, dass man die Daten, Nachrichten, Verknüpfungen, Profile eines gekündigten Accounts nicht mehr weiternutzen darf. Der Nutzer hat doch eh gekündigt, also braucht er das doch nicht mehr …..
    Abstoßend – und das noch in aller Öffentlichkeit. Deutlicher geht es wirklich nicht mehr – Warnung an alle von mir. 
  6. In dem großen Britannien ist gemäß neuem Gesetz verboten Polizisten zu fotografieren – und jetzt kommt es: es ist ein Anti-Terrorismus-Gesetz. Genial ist der letzte Satz: “Photographers who refuse to stop taking pictures after a warning face arrest, up to 10 years in prison or unspecified fines.”
    Die spinnen, die Briten … so kann man auch ganz schnell Journalisten mundtot machen. Was? Du willst kein Foto von mir machen? Dann sperre ich dich mal ein und behaupte das Gegenteil. Wer wird glaubwürdiger sein, hmm? 
  7. Ohne Worte – Kinder spielten SEK und Nachbar rief das echte SEK! Sensationell auch: “die dort mit offenbar unlauteren Absichten etwas suchten”. Wie weit sind wir schon in diesem Land gekommen? Vermutungen, vage Behauptungen reichen bereits aus ..
  8. Conficker läßt grüßen: nachdem nun alle Welt weiß, dass auf U-Booten der britischen Marine Windows läuft, brauchte es auch nicht lange, dass diese mal so richtig ge”conficked” wurden. Und wer glaubt, dass es nur die Briten traf: nee, unsere ArmeeBundeswehr war ebenso nicht dazu in der Lage sich dagegen zu schützen. “… PATCH EINSPIELEN? SIE WOLL’N MICH WOHL VERARSCHEN, GEFREITER MÜLLER! WIR SIND HIER BEI DER BUNDESWEHR – DA WIRD NICHT GESPIELT!” Jawoll, Herr Oberstabsfeldwebeldingens … hach, wie ich den Verein nicht vermisse … und spätestens jetzt weiß ich auch warum ..

Und zum Abschluss des Abends ein Kräuterli … zum Wohl!

in Ärger, Politik, Wirtschaft

eGK noch sicherer vor sich selbst …

Mal ehrlich – ich steh diesem System mehr als skeptisch gegenüber, aber mit den “geplanten Neuerungen” wandelt sich die Skepsis in komplettes Unbehagen.

Ich streite nich ab, dass die eigentliche Idee des Ganzen möglicherweise gut sein könnte. Aber so, wie sie derzeitig realisiert und weiterhin geplant ist, wird das in meinen Augen ein GAU sondergleichen. Wieso?

Ich sprach bereits über die 6-stellige PIN. Da ja vornehmlich ältere Leute dazu neigen, diese zu vergessen, ist geplant, die Karte mit Biometrie zu füttern – Fingerabdrücke. Nun sollte man aber wissen, dass vornehmlich bei Kindern und älteren Menschen die Biometrie nicht mehr zuverlässig funktioniert – Stichwort verändernde Fingerkippen bzw. “Verschleiß” der Oberfläche des Fingers. Sprich die Merkmale zur Identifikation sind/werden ungenauer bzw. verschwinden. Und dieser Sachverhalt ist amtlich und nachgewiesen. Wieso also brauchen wir das dann?

Damit die “Verarbeitung” schneller von statten geht, soll die eGK nun auch RFID erhalten. Meine Bedenken hierzu sollten jedem Leser bekannt sein – wenn nicht, dann sind diese hier gesammelt zu finden. Kurz zusammengefasst: unsicher, ungeschützt aus bis zu 45m auslesbar, geschützt (Aluhülle) aus ca. 40cm, passiv und ohne Kenntnis des Trägers sind die Daten und die Position mit geeigneter Technik feststellbar.

Und wenn ich dann höre, dass eine USB-Schnittstelle angedacht ist, wo ein Großteil aller Botnetz-, Trojaner-, Schadsoftware-kontrollierten Rechner die im vollen Umfang oder zu Teilen auf der eGK befindlichen Daten (nach PIN-Eingabe) auslesen könnten, dann wird mir schwarz vor Augen. Der Anwender ist ahnungslos bezüglich der Infektion, Daten, wie Inhalte, PIN, Gesundheitsverlauf, Verschlüsselungspasswörter von eGK, ePerso oder De-Mail können abgezogen werden und bilden ein noch besseren Überblick darüber, wer was wann wie macht für bestimmte Organisationen. Oder aber der Identitätsdiebstahl ist vorprogrammiert.

Das Projekt eGK läuft noch nicht einmal ansatzfähig in Bruchteilen und viele Punkte sind noch nicht einmal im Ansatz durchgesprochen. Es gibt eine Unmenge an Stellen, wo es massiv hakt und dennoch wird fleißig weiter geplant, welche Ausfallpunkte man noch einbauen könnte. Was bei ePass und ePerso begann, wird auch auf die eGK ausgeweitet. Die Lobby lässt grüßen. Sinn und Zweck? Weitere verschwindbare Datenhalden mit sensiblen Informationen für Staat und Wirtschaft und die Wirtschaft reibt sich die Hände und verdient sich bei erfolgreichem Durchsetzen eine goldene Nase damit und in der Politik wandern die Koffer. Und wir sind die gelackmeierten melkbaren eierlegenden Wollmilchsäue.

in Ärger, Kommentar, Politik

Unsichere Erfassung von Biometrie

Hach ist das schön – langsam gibt es immer mehr Reportagen, Aufdeckungen, Berichte und Erkenntnisse auch aus den Kreisen der “regierungsnahen” Medien über die Unsicherheiten in der Biometrie.

Diesmal ist es das Magazin WISO vom ZDF, die einmal aufzeigen, welche Sicherheitslücken existieren. Und seien wir mal ehrlich: ich glaube nicht einmal ansatzweise, dass die Behördenrechner zu 100% sicher vor Viren, Trojanern oder allgemein Hacker sind – egal, wie gut die Supporter dort auch sein können (ohne Jemanden zu Nahe treten zu wollen).

Schlimm ist es halt, dass derart sensible Informationen per Gesetz erfasst werden, aber bei der Erfassung, Einpflege und Verwaltung diese nicht mit für den derzeitigen Stand der Technik geeigneten Sicherheitsmaßnahmen geschützt werden. Wozu auch, denn erstens sprengt der Kostenaufwand zur Sicherung dieser Daten weit mehr, als was eingespart werden würde und zweitens ist das Ziel ja eh bereits erreicht. Jeder (Staat + Behörden) hat Zugriff darauf!

in Ärger, Kommentar, Politik

ePerso sucht Abnehmer

Wie Heise vermeldet, tönen die Befürworter und Initiatoren in vollstem Gedöhns, was man alles mit dem ePerso machen kann. Sie freuen sich, dass nächstes Jahr das Teil eingeführt werden kann – wenn zugestimmt wird. Dazu müssen noch einige Gesetze geändert werden: allen voran das derzeitige Personalausweisgesetz der Bundesrepublik Deutschland.

Mit Hilfe dieser Änderung wird die biometrische Erfassung jedes Einzelnen gesetzlich vorgeschrieben und Weigerung mit Strafe bedroht, da es ja Pflicht ist, einen Ausweis bei sich zu haben. Von den Kosten, die auf das 5-10 fache des derzeitigen Ausweises basieren, rede ich erst gar nicht. Das müssen WIR selbst bezahlen.

Nun mag man von den Features, wie die digitale Signatur, halten, was man will. Ich für meinen Teil erachte dies als höchst gefährlich und wird weitaus mehr Risiken bezüglich Identitätsdiebstahl mit sich bringen, als uns heute bereits lieb ist. RFID ist bisher mehrfach aus großer Entfernung auslesbar, Softwareanwendungen auf dem PC sind fälsch- bzw. umgehbar, eine erneute PIN in 6-stelliger Größe muss sich neben der PIN für die eGK, EC-Karte usw. gemerkt werden.

Viel schlimmer sind Fragen, die bisher nicht beantwortet wurden.

  • Wer besitzt den privaten Schlüssel für die Signatur? Ich, oder irgendein Amt? Denn solange ich nicht selbst meinen privaten Schlüssel für die Karte habe, kann weiß Gott wer das Ganze ausnutzen. 
  • Was passiert, wenn ein Ausweis wegen Diebstahls, Signatur kaputt (Hardwaredefekt) ungültig geworden ist? Dann muss ja irgendwo eine zentrale Stelle im Internet existieren, die abgefragt werden kann. Ohne eine solche Stelle wäre ja der Diebstahl des ePerso für das Online-Banking oder Einkaufen massivstes Gift für einen Selbst. So schnell kann man dann nicht schaun, wie das Konto leer geräumt wird. Mit einer solchen Stelle weiß eben diese Stelle immer, wofür und mit wem gerade ein Handel oder ein Datenaustausch vorgenommen wird, denn die Signaturen müssen dann bei jedem Einsatz erst einmal auf deren Gültigkeit überprüft werden. Logisch, oder?
  • Wer bezahlt das alles, wenn sich Firmen lizensieren, Kartenlesegeräte angeschafft, PINs verwaltet und teuer beantragt werden müssen? Na wir alle – das gutgläubige Wahlvieh.
  • Wer sorgt dafür, dass beim Sammeln der Daten zur Ausstellung der Ausweise nichts passiert? Datenlecks gab es, gibt es und wird es immer wieder geben und irgendwann fliegen die Daten auf DVDs durch die Lande und keiner will es gewesen sein.
  • Wird es einfacher sein, die Daten vom heimischen Rechner aus abzuzweigen? Ich denke ja, wenn Schädlinge sich der im heimischen Hause, am PC angeschlossenen, Auslese-Peripherien bedienen und Sicherheitsvorkehrungen ausschalten können, sind die PIN und die Daten auf dem ePerso bei Leuten, wo man selbst nicht sein möchte.

Es ist nur ein Ausweis? Aber mit beachtlichen, noch optionalen aber sicherheitskritischen “Features”, die kaum einer von uns im vollsten Umfang erahnen kann. Gerät der in falsche Hände, wird er bzw. dessen Daten bzw. unsere Identität missbraucht. Da kann man nicht so einfach sagen: “Ich war es nicht, der Ausweis wurde mir gestohlen!” – es wurde doch alles digital korrekt signiert. Und der Gelackmeierte sind wir – und ein anderer besitzt unser Foto, unseren Fingerabdruck, unsere Daten inkl. PIN.

Für mich gibt es nur eine Anwendung für den ePerso – als Wurfobjekt für den Papierkorb.

in Ärger, Kommentar, Netz, Politik, Security, Tellerrand

Über den Tellerrand Nr. 5

Dieses Mal gibt es Einiges an zum Nachdenken anregende Informationen in der Kurzfassung zu lesen.

  1. Zensur und Blockade von derzeit KiPo-Inhalten im Internet ist in aller Munde. Weitere Themen werden mit Sicherheit noch folgen. Während in Deutschland noch mit den TK-Anbietern die Feinheiten besprochen werden, zeigt mal wieder Großbritannien, wo die Reise auch für uns hingehen und was alles dabei schiefgehen wird. Wie schnell doch anderweitige Informationen einfach so nicht zugänglich werden ist schon beachtlich. Ob dann auch die Webseiten von Bundesbehörden irgendwann blockiert werden? Wobei mich noch eine andere Frage interessiert - was passiert dann, wenn eine Anzeige bei der Polizei gemacht wird, wenn solches Material irgendwie auftaucht?
    Update:     Offensichtlich war es doch noch nicht so ganz klar, wie die Provider nun “mitspielen” sollen. Woher nehmen die Politiker immer diese Euphorie her? 
    Wieso sollte das BKA in zig Mannstunden akribisch das Web durchsuchen und aus den Milliarden von Webseiten die KiPo-Seiten heraussuchen, damit diese auf eine Liste kommen, die dann von den Providern zu sperren sind? Wieso kann das BKA diese Zeit nicht gleich nutzen, um die Betreiber der Seite dingfest zu machen bzw. zu machen lassen (Interpol und Co)? KiPo ist doch nun fast überall auf der Welt verboten. Ich glaube, der eigentliche Sinn ist ein anderer – aber dazu ein anderes Mal mehr.
  2. Rettungsschirm hin oder her. Wen wir als Steuerzahler so alles finanzieren und wessen Abfindungen für “gelungene” Leistung wir alle bezahlen müssen, möchte ich eigentlich nicht dran denken. Schlimm genug, was uns die freien Finanzmärkte und unsere Regierung, die ja bekanntlich meist im Aufsichtsrat der Banken mit drin saßen und auch noch das Ganze mit abgesegnet hatten, mit ihrem Rettungspaketen so alles einbrockt. Fangt mal an zu sparen oder sucht euch einen besseren Job, damit ihr mehr als 4439 Euro in der Sekunde verdient und dem Staat aushelfen könnt.
  3. Es steht eine neue Novellierung an. Davon hatten wir schon einige, die mitunter ja auch schon vor dem BVerfG sich befinden. Jetzt betrifft es die geplante Novellierung des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Man muss sich mal auf der Zunge zergehen lassen, was die alles dürfen sollen. Da rollt es einem glatt die Fußnägel hoch. Und die Daten und Informationen dürfen selbstverständlich ohne grundlegende Bedingungen an Strafverfolgungsbehörden (zB. BKA) und den Verfassungsschutz geleitet werden. Interessant wird es ebenso, dass der Bundesrechnungshof und das Bundespräsidialamt von diesen Maßnahmen ausgenommen werden soll. Ein Schelm, wer Böses dabei denkt … hat bzw. glaubt noch irgendjemand an die Empfehlungen des BSI für die IT-Sicherheit? Wohl kaum, wenn die Sicherheitslücken in Betriebssystemen und Informationen über Schadprogramme nicht mehr veröffentlicht werden “müssen”.
    Wieder eine Behörde mehr, die sich mit der Verfolgung von imaginären KiPoraubkopierterroristenmördern  beschäftigt.
  4. Völlig untergegangen war eine Anfrage der Linkspartei an die Bundesregierung. Aufpassen: Die Bundesregierung hat zugegeben, dass biometrische Verfahren allenfalls sekundär zur Früherkennung von terrorverdächtigen Personen dienen können. Das ganze taugt kaum zur Terrorabwehr. Komischerweise versuchte uns aber die Regierung das Ganze aber immer anders zu verkaufen. Ich will ja jetzt nicht sagen, dass ich es bereits jedes Mal gesagt habe, aber: Ich habe es mehrmals gesagt!
  5. Achja, obwohl die Rechtsprechung eine andere ist, zeigt uns mitunter die Regierung Niedersachsen als Vorreiter aller, was sie von unserem Grundgesetz halten. Irgendwann werden die Kritiker halt müde, und dann werden sie Erfolg haben. Und je mehr ich mich umsehe, umso mehr Leute verfallen in die Grundstimmung “Kann ja eh nix alleine reißen”. Herzlichen Glückwunsch, die Politiker haben bei denen ihr Ziel bereits erreicht.
  6. Reisepass gefällig? Wir sollten “dankbar” sein, dass nun (unsere) Kinder erst ab 12 Jahren ihre Fingerabdrücke und biometrischen Passbilder abgeben müssen, wenn sie einen Reisepass beantragen wollen/müssen. So kommt man mit der Vollerfassung aller Bürger immer schneller zum Ziel. Und natürlich wird alles schön fein säuberlich in Datenbanken gesammelt werden. Ich verweise dazu gern auf Punkt 4 dieses Tellerrandes. Und wenn ich das Wort Zweckbindung lese oder höre, dann regt sich meine Galle mitunter vergnügt gen Himmel. Zweckbindung und das Wort eng sind sehr dehnbare Begriffe.
    Ich selbst fordere den Rosettenabdruck für den Reisepass – jawoll ja. 
  7. Willkommen in der Gesinnungsjustiz. ’33 hatten wir so etwas schon und heute wird es wieder kommen. Schonmal Gedanken gemacht, an welchen Gesetzen und anderen Beständen herumgefummelt wird? Im Bereich Staatsschutzrecht werden neue Straftatbestände eingeführt. Ausgeklüngelt haben sich das unter heftigsten Debatten die Frau Zypries und mein Freund Herr Schäuble. Natürlich wird der Download aus “Neugier” nicht bestraft. Kann man ja auch überwachenderweise einfach feststellen. Ebenso wenig werden Diejenigen bestraft, die das beruflich brauchen. Also zum Beispiel Behörden. 
  8. Wie gut man sich auf ehrenvolle, hilfsbereite, freundliche, überlegte Menschen bei der Polizei verlassen kann. Die Polizei, dein Freund und Helfer. Kein einziger von denen würde niemals nie nicht im Leben unüberlegt oder willkürliche Dinge tun. Da können wir uns alle darauf verlassen. 1000%ig sicher und machen keine Fehler.
  9. Das erste Testszenario für die eGK geht online. Ich empfehle keinerlei Unfälle mit Bewusstseinsausfall, denn bis der Schwester/dem Arzt klar geworden ist, wie sie euch ohne PIN-Eingabe behandeln sollen, könnte es bereits zu spät sein. Es muss ja nur eine 6-stellige PIN eingegeben werden. Warum nicht gleich einen Venenscanner? Dann könnte auch bei einen nicht mehr ansprechbaren Patienten der Arzt “korrekt” behandeln und die Krankheitsvorgeschichte öffnen. Interessant ist, dass da schon Systeme gezeigt und genutzt werden, wo es doch noch keine Spezifikation und Rahmen dafür gibt. Und kompatibel mit den geplanten Systemen ist es auch nicht, aber dafür sind sie Erster: unsere Spezialisten und Freunde von SieNehmens und Telekom. Und wer sichert die Daten? BKA-sicher und vor Beschlagnahmung gefeit: die Telekom. Sie hat ja gelernt, wie man Daten verstecken und sichern muss.
  10. Hmm, wieso wollte Schäuble damals Stasi-Unterlagen vernichten lassen? Wegen der 100000 DM oder wegen der anderen dubiosen Dinge und Personen in der CDU?
  11. Schon interessant, mit welchen Mitteln und, in meinen Augen, mit welchen Einschüchterungsversuchen Personen DNA-Material von der Polizei abgezogen wird. Welche gesetzliche Grundlage gibt denen das Recht dazu? DNA-Tests sind keine normalen Ermittlungsmethoden. Wo kommen wir da hin, wenn ich mich bei jeder allgemeinen Kontrolle ohne triftigen Grund oder fundierten Verdachtes bis aufs Hemd und DNA ausziehen muss? Und wer etwas in Rhetorik aufgepasst hat, merkt, dass da nichts gelöscht wird. Clever formuliert, würd ich sagen.
  12. Und zum Abschluss mal wieder RFID und Ausweise. Ich sprach mal von 20 Metern – jetzt sind es schon erreichte 45 Meter, aus denen man RFID-Chips auslesen kann. Bemerkenswert ist die Argumentation der Befürworter und deren Sicherheitsvorschläge. Es dauert nicht lange und die EU bzw. die deutsche Regierung wird Ähnliches verlauten lassen. 
    Aber es ist ja vom Staat her als illegal eingestuft, Ausweise derart auszulesen oder zu zerstören. Na dann bin ich ja beruhigt, denn wenn es verboten ist, dann macht es auch keiner! 
in Ärger, Kommentar, Politik

Interessantes gegen den ePerso

Es wurde oft von mir berichtet, welche Folgen und Probleme mit dem ePerso, den Fingerabdrücken und den biometrischen Passbildern kommen können.

Wer es nicht scheut, der möge sich mal den Antrag der Grünen (PDF) gegen die “Sicherheitsmechanismen” im ePerso durchlesen. Interessant ist mitunter die Anmerkung, dass durch weitere Gesetzesvorhaben der Zugriff auf die Fingerabdrücke, Fotos, Signaturdaten usw. für andere Zwecke ermöglicht gemacht werden kann/soll. Aber man hat ja nichts zu verbergen. Sollte man sich durch (noch wahlfrei, später – gemäß PDF – auch Pflicht) die Abgabe der Fingerabdrücke nicht wie ein Straftäter vorkommen?

Der ePerso ist zwar jetzt schon im Bundestag durchgewunken worden (ich sag nur Große Koalition), aber ich hoffe auf Aktionen dagegen. Ein weiterer Baustein des gesamten Konstruktes – aber “wir” haben ja nichts zu verbergen, oder? Die Liste der Beschlüsse, Kompetenzen und Befugnisse (mitunter gegen uns alle) wird immer länger und ich verweise immer gern auf dieses Informations- und Linksammelsurium