Getagged : RFID

in Ärger, Politik, Wirtschaft

eGK noch sicherer vor sich selbst …

Mal ehrlich – ich steh diesem System mehr als skeptisch gegenüber, aber mit den “geplanten Neuerungen” wandelt sich die Skepsis in komplettes Unbehagen.

Ich streite nich ab, dass die eigentliche Idee des Ganzen möglicherweise gut sein könnte. Aber so, wie sie derzeitig realisiert und weiterhin geplant ist, wird das in meinen Augen ein GAU sondergleichen. Wieso?

Ich sprach bereits über die 6-stellige PIN. Da ja vornehmlich ältere Leute dazu neigen, diese zu vergessen, ist geplant, die Karte mit Biometrie zu füttern – Fingerabdrücke. Nun sollte man aber wissen, dass vornehmlich bei Kindern und älteren Menschen die Biometrie nicht mehr zuverlässig funktioniert – Stichwort verändernde Fingerkippen bzw. “Verschleiß” der Oberfläche des Fingers. Sprich die Merkmale zur Identifikation sind/werden ungenauer bzw. verschwinden. Und dieser Sachverhalt ist amtlich und nachgewiesen. Wieso also brauchen wir das dann?

Damit die “Verarbeitung” schneller von statten geht, soll die eGK nun auch RFID erhalten. Meine Bedenken hierzu sollten jedem Leser bekannt sein – wenn nicht, dann sind diese hier gesammelt zu finden. Kurz zusammengefasst: unsicher, ungeschützt aus bis zu 45m auslesbar, geschützt (Aluhülle) aus ca. 40cm, passiv und ohne Kenntnis des Trägers sind die Daten und die Position mit geeigneter Technik feststellbar.

Und wenn ich dann höre, dass eine USB-Schnittstelle angedacht ist, wo ein Großteil aller Botnetz-, Trojaner-, Schadsoftware-kontrollierten Rechner die im vollen Umfang oder zu Teilen auf der eGK befindlichen Daten (nach PIN-Eingabe) auslesen könnten, dann wird mir schwarz vor Augen. Der Anwender ist ahnungslos bezüglich der Infektion, Daten, wie Inhalte, PIN, Gesundheitsverlauf, Verschlüsselungspasswörter von eGK, ePerso oder De-Mail können abgezogen werden und bilden ein noch besseren Überblick darüber, wer was wann wie macht für bestimmte Organisationen. Oder aber der Identitätsdiebstahl ist vorprogrammiert.

Das Projekt eGK läuft noch nicht einmal ansatzfähig in Bruchteilen und viele Punkte sind noch nicht einmal im Ansatz durchgesprochen. Es gibt eine Unmenge an Stellen, wo es massiv hakt und dennoch wird fleißig weiter geplant, welche Ausfallpunkte man noch einbauen könnte. Was bei ePass und ePerso begann, wird auch auf die eGK ausgeweitet. Die Lobby lässt grüßen. Sinn und Zweck? Weitere verschwindbare Datenhalden mit sensiblen Informationen für Staat und Wirtschaft und die Wirtschaft reibt sich die Hände und verdient sich bei erfolgreichem Durchsetzen eine goldene Nase damit und in der Politik wandern die Koffer. Und wir sind die gelackmeierten melkbaren eierlegenden Wollmilchsäue.

in Clips, Hard & Software, Kommentar, Netz, Politik, Security

In Deutschland unmöglich …

Ich hatte bereits geschrieben (Nr. 12), dass es Forschern in den Staaten gelungen ist, RFID-basierte Ausweise aus bis zu 45 Metern Entfernung auszulesen. Ebenso war dies bei geringerer Distanz trotz Alu-Hülle möglich.

Dieses Mal ist es einem Hacker gelungen, mit Hilfe von einfachem Gerät für knappe 250$, unbemerkt Ausweise auszulesen und zu “klonen”. So viel zur Sicherheit ..

Aber in Deutschland ist das vollkommen unmöglich – denn es ist ja hierzulande verboten!

Hier dazu das Video!

in Ärger, Kommentar, Politik

ePerso sucht Abnehmer

Wie Heise vermeldet, tönen die Befürworter und Initiatoren in vollstem Gedöhns, was man alles mit dem ePerso machen kann. Sie freuen sich, dass nächstes Jahr das Teil eingeführt werden kann – wenn zugestimmt wird. Dazu müssen noch einige Gesetze geändert werden: allen voran das derzeitige Personalausweisgesetz der Bundesrepublik Deutschland.

Mit Hilfe dieser Änderung wird die biometrische Erfassung jedes Einzelnen gesetzlich vorgeschrieben und Weigerung mit Strafe bedroht, da es ja Pflicht ist, einen Ausweis bei sich zu haben. Von den Kosten, die auf das 5-10 fache des derzeitigen Ausweises basieren, rede ich erst gar nicht. Das müssen WIR selbst bezahlen.

Nun mag man von den Features, wie die digitale Signatur, halten, was man will. Ich für meinen Teil erachte dies als höchst gefährlich und wird weitaus mehr Risiken bezüglich Identitätsdiebstahl mit sich bringen, als uns heute bereits lieb ist. RFID ist bisher mehrfach aus großer Entfernung auslesbar, Softwareanwendungen auf dem PC sind fälsch- bzw. umgehbar, eine erneute PIN in 6-stelliger Größe muss sich neben der PIN für die eGK, EC-Karte usw. gemerkt werden.

Viel schlimmer sind Fragen, die bisher nicht beantwortet wurden.

  • Wer besitzt den privaten Schlüssel für die Signatur? Ich, oder irgendein Amt? Denn solange ich nicht selbst meinen privaten Schlüssel für die Karte habe, kann weiß Gott wer das Ganze ausnutzen. 
  • Was passiert, wenn ein Ausweis wegen Diebstahls, Signatur kaputt (Hardwaredefekt) ungültig geworden ist? Dann muss ja irgendwo eine zentrale Stelle im Internet existieren, die abgefragt werden kann. Ohne eine solche Stelle wäre ja der Diebstahl des ePerso für das Online-Banking oder Einkaufen massivstes Gift für einen Selbst. So schnell kann man dann nicht schaun, wie das Konto leer geräumt wird. Mit einer solchen Stelle weiß eben diese Stelle immer, wofür und mit wem gerade ein Handel oder ein Datenaustausch vorgenommen wird, denn die Signaturen müssen dann bei jedem Einsatz erst einmal auf deren Gültigkeit überprüft werden. Logisch, oder?
  • Wer bezahlt das alles, wenn sich Firmen lizensieren, Kartenlesegeräte angeschafft, PINs verwaltet und teuer beantragt werden müssen? Na wir alle – das gutgläubige Wahlvieh.
  • Wer sorgt dafür, dass beim Sammeln der Daten zur Ausstellung der Ausweise nichts passiert? Datenlecks gab es, gibt es und wird es immer wieder geben und irgendwann fliegen die Daten auf DVDs durch die Lande und keiner will es gewesen sein.
  • Wird es einfacher sein, die Daten vom heimischen Rechner aus abzuzweigen? Ich denke ja, wenn Schädlinge sich der im heimischen Hause, am PC angeschlossenen, Auslese-Peripherien bedienen und Sicherheitsvorkehrungen ausschalten können, sind die PIN und die Daten auf dem ePerso bei Leuten, wo man selbst nicht sein möchte.

Es ist nur ein Ausweis? Aber mit beachtlichen, noch optionalen aber sicherheitskritischen “Features”, die kaum einer von uns im vollsten Umfang erahnen kann. Gerät der in falsche Hände, wird er bzw. dessen Daten bzw. unsere Identität missbraucht. Da kann man nicht so einfach sagen: “Ich war es nicht, der Ausweis wurde mir gestohlen!” – es wurde doch alles digital korrekt signiert. Und der Gelackmeierte sind wir – und ein anderer besitzt unser Foto, unseren Fingerabdruck, unsere Daten inkl. PIN.

Für mich gibt es nur eine Anwendung für den ePerso – als Wurfobjekt für den Papierkorb.

in Ärger, Kommentar, Netz, Politik, Security, Tellerrand

Über den Tellerrand Nr. 5

Dieses Mal gibt es Einiges an zum Nachdenken anregende Informationen in der Kurzfassung zu lesen.

  1. Zensur und Blockade von derzeit KiPo-Inhalten im Internet ist in aller Munde. Weitere Themen werden mit Sicherheit noch folgen. Während in Deutschland noch mit den TK-Anbietern die Feinheiten besprochen werden, zeigt mal wieder Großbritannien, wo die Reise auch für uns hingehen und was alles dabei schiefgehen wird. Wie schnell doch anderweitige Informationen einfach so nicht zugänglich werden ist schon beachtlich. Ob dann auch die Webseiten von Bundesbehörden irgendwann blockiert werden? Wobei mich noch eine andere Frage interessiert - was passiert dann, wenn eine Anzeige bei der Polizei gemacht wird, wenn solches Material irgendwie auftaucht?
    Update:     Offensichtlich war es doch noch nicht so ganz klar, wie die Provider nun “mitspielen” sollen. Woher nehmen die Politiker immer diese Euphorie her? 
    Wieso sollte das BKA in zig Mannstunden akribisch das Web durchsuchen und aus den Milliarden von Webseiten die KiPo-Seiten heraussuchen, damit diese auf eine Liste kommen, die dann von den Providern zu sperren sind? Wieso kann das BKA diese Zeit nicht gleich nutzen, um die Betreiber der Seite dingfest zu machen bzw. zu machen lassen (Interpol und Co)? KiPo ist doch nun fast überall auf der Welt verboten. Ich glaube, der eigentliche Sinn ist ein anderer – aber dazu ein anderes Mal mehr.
  2. Rettungsschirm hin oder her. Wen wir als Steuerzahler so alles finanzieren und wessen Abfindungen für “gelungene” Leistung wir alle bezahlen müssen, möchte ich eigentlich nicht dran denken. Schlimm genug, was uns die freien Finanzmärkte und unsere Regierung, die ja bekanntlich meist im Aufsichtsrat der Banken mit drin saßen und auch noch das Ganze mit abgesegnet hatten, mit ihrem Rettungspaketen so alles einbrockt. Fangt mal an zu sparen oder sucht euch einen besseren Job, damit ihr mehr als 4439 Euro in der Sekunde verdient und dem Staat aushelfen könnt.
  3. Es steht eine neue Novellierung an. Davon hatten wir schon einige, die mitunter ja auch schon vor dem BVerfG sich befinden. Jetzt betrifft es die geplante Novellierung des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Man muss sich mal auf der Zunge zergehen lassen, was die alles dürfen sollen. Da rollt es einem glatt die Fußnägel hoch. Und die Daten und Informationen dürfen selbstverständlich ohne grundlegende Bedingungen an Strafverfolgungsbehörden (zB. BKA) und den Verfassungsschutz geleitet werden. Interessant wird es ebenso, dass der Bundesrechnungshof und das Bundespräsidialamt von diesen Maßnahmen ausgenommen werden soll. Ein Schelm, wer Böses dabei denkt … hat bzw. glaubt noch irgendjemand an die Empfehlungen des BSI für die IT-Sicherheit? Wohl kaum, wenn die Sicherheitslücken in Betriebssystemen und Informationen über Schadprogramme nicht mehr veröffentlicht werden “müssen”.
    Wieder eine Behörde mehr, die sich mit der Verfolgung von imaginären KiPoraubkopierterroristenmördern  beschäftigt.
  4. Völlig untergegangen war eine Anfrage der Linkspartei an die Bundesregierung. Aufpassen: Die Bundesregierung hat zugegeben, dass biometrische Verfahren allenfalls sekundär zur Früherkennung von terrorverdächtigen Personen dienen können. Das ganze taugt kaum zur Terrorabwehr. Komischerweise versuchte uns aber die Regierung das Ganze aber immer anders zu verkaufen. Ich will ja jetzt nicht sagen, dass ich es bereits jedes Mal gesagt habe, aber: Ich habe es mehrmals gesagt!
  5. Achja, obwohl die Rechtsprechung eine andere ist, zeigt uns mitunter die Regierung Niedersachsen als Vorreiter aller, was sie von unserem Grundgesetz halten. Irgendwann werden die Kritiker halt müde, und dann werden sie Erfolg haben. Und je mehr ich mich umsehe, umso mehr Leute verfallen in die Grundstimmung “Kann ja eh nix alleine reißen”. Herzlichen Glückwunsch, die Politiker haben bei denen ihr Ziel bereits erreicht.
  6. Reisepass gefällig? Wir sollten “dankbar” sein, dass nun (unsere) Kinder erst ab 12 Jahren ihre Fingerabdrücke und biometrischen Passbilder abgeben müssen, wenn sie einen Reisepass beantragen wollen/müssen. So kommt man mit der Vollerfassung aller Bürger immer schneller zum Ziel. Und natürlich wird alles schön fein säuberlich in Datenbanken gesammelt werden. Ich verweise dazu gern auf Punkt 4 dieses Tellerrandes. Und wenn ich das Wort Zweckbindung lese oder höre, dann regt sich meine Galle mitunter vergnügt gen Himmel. Zweckbindung und das Wort eng sind sehr dehnbare Begriffe.
    Ich selbst fordere den Rosettenabdruck für den Reisepass – jawoll ja. 
  7. Willkommen in der Gesinnungsjustiz. ’33 hatten wir so etwas schon und heute wird es wieder kommen. Schonmal Gedanken gemacht, an welchen Gesetzen und anderen Beständen herumgefummelt wird? Im Bereich Staatsschutzrecht werden neue Straftatbestände eingeführt. Ausgeklüngelt haben sich das unter heftigsten Debatten die Frau Zypries und mein Freund Herr Schäuble. Natürlich wird der Download aus “Neugier” nicht bestraft. Kann man ja auch überwachenderweise einfach feststellen. Ebenso wenig werden Diejenigen bestraft, die das beruflich brauchen. Also zum Beispiel Behörden. 
  8. Wie gut man sich auf ehrenvolle, hilfsbereite, freundliche, überlegte Menschen bei der Polizei verlassen kann. Die Polizei, dein Freund und Helfer. Kein einziger von denen würde niemals nie nicht im Leben unüberlegt oder willkürliche Dinge tun. Da können wir uns alle darauf verlassen. 1000%ig sicher und machen keine Fehler.
  9. Das erste Testszenario für die eGK geht online. Ich empfehle keinerlei Unfälle mit Bewusstseinsausfall, denn bis der Schwester/dem Arzt klar geworden ist, wie sie euch ohne PIN-Eingabe behandeln sollen, könnte es bereits zu spät sein. Es muss ja nur eine 6-stellige PIN eingegeben werden. Warum nicht gleich einen Venenscanner? Dann könnte auch bei einen nicht mehr ansprechbaren Patienten der Arzt “korrekt” behandeln und die Krankheitsvorgeschichte öffnen. Interessant ist, dass da schon Systeme gezeigt und genutzt werden, wo es doch noch keine Spezifikation und Rahmen dafür gibt. Und kompatibel mit den geplanten Systemen ist es auch nicht, aber dafür sind sie Erster: unsere Spezialisten und Freunde von SieNehmens und Telekom. Und wer sichert die Daten? BKA-sicher und vor Beschlagnahmung gefeit: die Telekom. Sie hat ja gelernt, wie man Daten verstecken und sichern muss.
  10. Hmm, wieso wollte Schäuble damals Stasi-Unterlagen vernichten lassen? Wegen der 100000 DM oder wegen der anderen dubiosen Dinge und Personen in der CDU?
  11. Schon interessant, mit welchen Mitteln und, in meinen Augen, mit welchen Einschüchterungsversuchen Personen DNA-Material von der Polizei abgezogen wird. Welche gesetzliche Grundlage gibt denen das Recht dazu? DNA-Tests sind keine normalen Ermittlungsmethoden. Wo kommen wir da hin, wenn ich mich bei jeder allgemeinen Kontrolle ohne triftigen Grund oder fundierten Verdachtes bis aufs Hemd und DNA ausziehen muss? Und wer etwas in Rhetorik aufgepasst hat, merkt, dass da nichts gelöscht wird. Clever formuliert, würd ich sagen.
  12. Und zum Abschluss mal wieder RFID und Ausweise. Ich sprach mal von 20 Metern – jetzt sind es schon erreichte 45 Meter, aus denen man RFID-Chips auslesen kann. Bemerkenswert ist die Argumentation der Befürworter und deren Sicherheitsvorschläge. Es dauert nicht lange und die EU bzw. die deutsche Regierung wird Ähnliches verlauten lassen. 
    Aber es ist ja vom Staat her als illegal eingestuft, Ausweise derart auszulesen oder zu zerstören. Na dann bin ich ja beruhigt, denn wenn es verboten ist, dann macht es auch keiner! 
in Ärger, Politik, Privates

RFID in Ausweisdokumenten sicher? Nicht mehr …

Die letzten Wochen und Monate war mir bei dem Thema nicht zum Lachen zu mute. Aber heute konnte ich mir bei dem Bericht der RSA Laboratories, welche für die Homeland Security die neuen Ausweise der Amerikaner überprüfen sollten, beim besten Willen nicht verkneifen.

Irgendwie sehe ich das Gleiche für unseren ePerso kommen – und prognostiziert hatte ich es mehrfach. Nicht alles was technisch machbar ist, sollte auch umgesetzt werden, denn es ist nur Hard- und Software und diese lässt sich immer knacken bzw. umgehen, wenn berechtigtes Interesse existiert. Und es wird existieren, je mehr an Daten, Identität und Nutzeffekte an solch ein Dokument gebunden werden.

Dass das aber von den USA’lern erkannt wurde, dass hätte ich aber nicht erwartet ;-)  

in Ärger, Politik, Privates

Anonyme Fortbewegung und Reisen

Reisen per Flugzeug = Vollerfassung, Vollerfassung
Reisen per Bahn = Vollerfassung
Reisen per Bus/U-/S-Bahn = Vollerfassung
Reisen per Schiff = Vollerfassung
Reisen per Auto – auf Autobahnen (Maut), Tunneln, Grenzen und wo sonst Kameras aus dem Boden sprießen  = Vollerfassung

Fehlt nur noch ein Chip im Fahrrad, Motorrad und anderem Gefährt (Beine) und alle Welt (Obrigkeit) weiß, dass wir nicht nur ins Ausland außerhalb, sondern auch innerhalb der EU nebst im eigenen Land unterwegs sind. Was für ein Spaß. Da kommt bei mir richtig Freude auf!

PS: Es war mir sowas von klar, dass es bei den Passagierdaten außerhalb der EU nicht bleiben wird. Wer  hatte  eigentlich behauptet, ich sehe viel zu Vieles schwarz und neige zur extremen Übertreibung? Hat schon Jemand mal gemerkt, wie sich langsam von “Nur gegen terroristische Aktivitäten” hin zu “auch Straftaten, die einen Haftbefehl nach sich ziehen” der Wind dreht?

PPS: Die Anonymität des Einzelnen in der Gesellschaft als Ganzes ist eine Grundvorrausetzung der Demokratie!