Getagged : unsicher

Sicherste Technik, die es gibt – wer’s glaubt

Mustermann nPA (neuer Personalausweis ab 1.11.2010) / Bundesministerium des Innern / Genehmigung: §5 (1) UrhG, official work

Nun ist er da, der “sagenumwobene” nPA (neuer elektronischer Personalausweis)!

Und die Befürworter aus Staat und Industrie versuchen trotz des Zwangsstartes dieser Woche diesen in positiven Licht darzustellen. Der erhoffte “Run” auf den neuen Ausweis blieb aber weit hinter den Erwartungen. Speziell in den “neuen” Bundesländern ging der Einführungstermin einher mit auslaufenden alten Ausweisen. Dumm nur, dass im Vergleich zu den regulären Ausweisbeantragungen in der letzten Woche sehr viele noch den guten alten Ausweis in Auftrag gaben, wie es zB. die Piraten in Potsdam in ihrem letzten Wochenrückblick aufzeigen. Sicherlich mag hier der Umstand ebenso geschuldet sein, dass man für ein derartiges Dokument statt 8€ nun 28,80€ auf den Tisch legen muss und viele Leute mit dieser Hyper-Technik nichts am Hut haben.

Dass es hier nicht nur um Sicherheit geht, sondern auch um wirtschaftliche Interessen, zeigt zB. ein Interview vom 01.10.2010 auf Radio1 (interessant ab ca. 4:00). Ein “sicheres“ Bonuspunkte-Programm kann damit abgewickelt werden – soso. Was das bisherige (und in meinen Augen sehr zweifelhafte) Bonuspunkte-Programm des Handels unsicher darstellen lässt, läuft wohl eher dahingehend hinaus, dass man z.B. nicht eindeutig einen Einkauf auf eine Person zurück schließen lassen kann. Mit dem nPA ja alles kein Problem mehr und wird auch noch fertig gebacken dem “Kunden” in naher Zukunft aufgezwungen. Man kann ja dann ohne nPA die tollen Funktionen nicht nutzen und auch nicht mehr “sicher” einkaufen.

Kritik gab es zudem viel – besonders im Zusammenhang mit dem durch die Bundesregierung erworbenen Sicherheitskits, die gratis unters Volk geworfen werden sollten. Speziell diese haben ein eklatantes Sicherheitsproblem, da die 6-stellige PIN via Computer-Tastatur eingegeben werden muss. Der CCC hatte hierzu Sicherheitsmängel aufgezeigt, weil es dadurch mit einfachen Mitteln möglich ist, die PIN bei Eingabe auf dem Computer auszulesen und diese gar automatisiert durch ein Schadprogramm zu nutzen. Ich denke der letzte Satz ist genau der ausschlaggebende Punkt:

Mitlesen der PIN und automatisierte Legitimation

Wohl bemerkt: das alles, wenn der nPA in der Nähe des Lesegerätes sich befindet.

Nun gibt es auf der FAZ seit gestern ein “tolles” Interview mit der IT-Beauftragten der Bundesregierung Cornelia Rogall-Grothe. Dieses Interview zeigt, dass man keine Juristen in die Position des Bundes-CIO hieven sollte. So oft kann man sich nicht an die Stirn schlagen, wie man eigentlich gern wollte (#facepalm).

Aber beginnen wir von vorn … Weiter lesen …

November 2, 2010
von FireFox
0
2

in Ärger, Kommentar, Netz, Politik, Security

De-Menz

War klar, dass das Bürgerportal-Gesetz so schnell intern im Kabinett beschlossen wurde. Und bisher haben sich meine Unkenrufe alle Male bestätigt. Hier ist also die neue De-Menz (Deutsche Email Mit Eingebautem Nachrichtendienst Zugang), ähh ..De-Mail!

Kommen wir also zu den Fakten.

De-Mail kostet Porto, denn nach “Berechnungen des Bundesinnenministeriums soll De-Mail jährlich zwischen 1 Milliarden und 1,5 Milliarden Euro einsparen, die sonst für den Versand ausgegeben werden“. Und damit die Einsparungen gegenfinanziert werden können: “Für den Versand und die Bestätigigung muss er Porto bezahlen.”
Geile Logik, muss ich schon sagen! Was machen die mit den von unseren Steuergeldern eingesparten Milliarden, plus den neuen Portogebühren?
De-Mail kostet mindestens Einrichtungsgebühren, wenn nicht sogar Grundgebühren: “Jeder Bürger, der sich eine kostenpflichtige De-Mail-Adresse zulegt, kann vertrauliche und verschlüsselte Mails verschicken und empfangen.“
De-Mail verschlüsselt erst ab dem Provider. Ergo, die vertraulichen und zu verschlüsselnden Daten wandern ungeschützt vom Router zum Mail-Provider. Ist klar, denn sonst könnte man gar nicht bei Straftaten die Daten auswerten. Somit kann immer noch sich eingeklinkt werden. Sei es der Staat oder schadhaftes Gewürm auf den Rechnern von Infizierten – den Schutzlosen! Die Mail muss immerhin vom Rechner bis zum Mailserver des Providers – das ist ein langer Weg. Der Satz sagt eigentlich schon alles: “De-Mail unterliegt den gesetzlichen Rahmenbedingungen der elektronischen Kommunikation. Das heißt, das Mitlesen von Inhalten ist grundsätzlich nur nach entsprechender richterlicher Anordnung möglich, wie es auch bei Papierpost der Fall ist. Ansonsten wird die gesamte Kommunikation und Datenablage standardmäßig vom Provider verschlüsselt.” Also ist Mitlesen möglich und erwünscht. Ich glaube kaum, dass stinknormale Postkarten nachvollziehbar sind .. das nenne ich einmal eine vertrauensvolle Leistungsbeschreibung eines kostenpflichtigen Verschlüsselungsdienstes. Ich kann mir gar nicht ausmalen, wer so blöd sein sollte …
Die privaten Schlüssel zur Signierung und Verschlüsselung liegen nicht in der Hand des Nutzers, sondern in der Hand des Providers und des Staates bzw. der ausführenden und organisierenden Behörde. Insofern kann von gesicherter Vertraulichkeit und Integrität keine Rede sein. Ich bin mal gespannt, wie schnell auf einmal eine dieser verschlüsselten Mails oder Daten von ganz alleine sich entschlüsselt, nur weil ein richterlicher Beschluss in der Luft herumgewedelt wird. Und vor allem: welcher Art richterlicher Beschluss, sprich welcher Straftat, erlaubt es das?
Wer seine De-Mails auf Grund von Internetproviderwechsel, Mailproviderwechsel, Sperrung, Abwesenheit usw. nicht abholt, der verpasst somit auch die verbindlichen Zustellfristen von Rechtsbescheiden, Dokumenten, Behördenbescheiden, Mahnbescheiden, Bußgeldbescheiden, Falschparktickets usw. Bei der Post kann ich jemanden dazu beauftragen, dass jemand in Abwesenheit meiner Person meine Post liest und mich informiert. Wer wird also diese “vertrauliche” Mailadresse anderen zur Einsicht bzw. zur Verfügung stellen, mit der verbindliche Einkäufe, Nachweise und anderes Gedöns angestellt werden können? Na?
Gemäß §25 der Verordnung erhält das BMI in meinen Augen Ermächtigungen, bestimmte Paragraphen umgestalten zu dürfen – unabhängig vom Bundesrat. Ein Schelm, der daran denkt, dass die freiwillige De-Mail auf einmal zur Pflicht werden lässt. Weitere Hintertürchen sind in dem Text nicht nur unscheinbar auffindbar. Wer lesen kann, der ist im Vorteil!
Hat sich schon einmal jemand über die Langzeitarchivierung Gedanken gemacht? jetzt hab ich ein amtliches Papier in einem Ordner im Schrank. Dann habe ich ein Dokument auf der Festplatte. Nur das Dokument ist signiert, der Ausdruck aber nicht. Was passiert beim Datenverlust?

Hab ich noch etwas vergessen? Mit Sicherheit! Aber allein diese Punkte schüren bei mir den inneren Drang ganz weit Abstand vor der De-MenzMail zu nehmen. Da “vertraue” ich ja lieber Google, als den Mist hier.

Mich würde mal wirklich interessieren, wie die Befürworter aus behördlicher Sicht von “damals” jetzt darüber denken. Ist das immer noch eine tolle Sache und verhilft zu weniger Bürokratie? Wenn ja: ist es das wirklich wert? Würdet ihr dafür bezahlen wollen? Wird es Bürokratie einsparen? Wird es Ressourcen einsparen? Wird es auch für Jahrzehnte funktionieren – sprich die Dokumente weiterhin existieren, wie bei Papier inkl. Datensicherheit und Sicherung?

Apropos: Interessant wird es, wenn Trojaner die gültigen De-Mailadressen an Spamschleuder-Server und Botnetze schicken. Die kommen mit Sicherheit an und ich glaube kaum, dass dort Filtermechanismen seitens der Provider arbeiten dürften, denn sonst könnte ja ein wichtiger Bescheid versehentlich als Spam eingestuft werden. Sprich, je mehr ich drüber nachdenke, umso mehr Kritikpunkte an diesem System finde ich – obwohl, zugegebenerweise habe ich bisher kein gutes Haar dran gelassen, weil es kein gutes Haar gibt!

Februar 4, 2009
von FireFox
0
4

in Ärger, Kommentar, Politik

Unsichere Erfassung von Biometrie

Hach ist das schön – langsam gibt es immer mehr Reportagen, Aufdeckungen, Berichte und Erkenntnisse auch aus den Kreisen der “regierungsnahen” Medien über die Unsicherheiten in der Biometrie.

Diesmal ist es das Magazin WISO vom ZDF, die einmal aufzeigen, welche Sicherheitslücken existieren. Und seien wir mal ehrlich: ich glaube nicht einmal ansatzweise, dass die Behördenrechner zu 100% sicher vor Viren, Trojanern oder allgemein Hacker sind – egal, wie gut die Supporter dort auch sein können (ohne Jemanden zu Nahe treten zu wollen).

Schlimm ist es halt, dass derart sensible Informationen per Gesetz erfasst werden, aber bei der Erfassung, Einpflege und Verwaltung diese nicht mit für den derzeitigen Stand der Technik geeigneten Sicherheitsmaßnahmen geschützt werden. Wozu auch, denn erstens sprengt der Kostenaufwand zur Sicherung dieser Daten weit mehr, als was eingespart werden würde und zweitens ist das Ziel ja eh bereits erreicht. Jeder (Staat + Behörden) hat Zugriff darauf!

Februar 2, 2009
von FireFox
0
4

in Ärger, Politik, Privates

RFID in Ausweisdokumenten sicher? Nicht mehr …

Die letzten Wochen und Monate war mir bei dem Thema nicht zum Lachen zu mute. Aber heute konnte ich mir bei dem Bericht der RSA Laboratories, welche für die Homeland Security die neuen Ausweise der Amerikaner überprüfen sollten, beim besten Willen nicht verkneifen.

Irgendwie sehe ich das Gleiche für unseren ePerso kommen – und prognostiziert hatte ich es mehrfach. Nicht alles was technisch machbar ist, sollte auch umgesetzt werden, denn es ist nur Hard- und Software und diese lässt sich immer knacken bzw. umgehen, wenn berechtigtes Interesse existiert. Und es wird existieren, je mehr an Daten, Identität und Nutzeffekte an solch ein Dokument gebunden werden.

Dass das aber von den USA’lern erkannt wurde, dass hätte ich aber nicht erwartet

Oktober 23, 2008
von FireFox
0
0

in Ärger, Politik, Privates

Tolle Sicherheit des ePasses

Gesehen, gelesen und gelacht. So viel zur angeblichen Sicherheit eines ePasses. Wie ich bereits früher schon schrieb – wenn sich der Einsatz der Dinger verbreitet, werden auch Lücken bekannt, die auch ausgenutzt werden können. Kein elektronisches Gerät ist sicher. Und der ePass ist noch unsicherer als der derzeitige, denn es wird ja nur elektronisch (ab und zu Stichproben) kontrolliert. Somit kann sich Hinz & Kunz durchmogeln, was dazu führen wird, dass die Pässe wieder persönlich kontrolliert werden. Wozu brauche ich dann einen derart teuren Pass? Na? Weiß jemand die Antwort?

Aufwachen Leute!

September 30, 2008
von FireFox
0
2

Suchen

Suche nach:

Gezwitscher
- RT @RAStadler: Ich fürchte relativ stark, die Bundesregierung will nur verhindern, dass es morgen tatsächlich zu Massenprotesten kommt. ... 7 hours ago
- @RicoCB @der_mvg Frankfurt/O -> Warschau = 492km - also Auslandsinternet .. Roaming at its best :) 8 hours ago
- RT @qobi: Transparenz lieber Herr Zimmerli, hätte jegliche vermeintlich unnötige Aufregung verhindert. Das ist NICHT Schuld der Medien! 8 hours ago
- @tirsales aber jetzt heißt es erstmal gemeinsam das Ganze kitten :) wir wollen Neue aufnehmen ;) 8 hours ago
- @tirsales nach meinem Sachstand gabs für uns erst Ende 2k11 Infos und Problem war bereits existent im Januar. Es hängt derzeit alles :( 8 hours ago
View more tweets
Archiv
Blogroll
- Artanis
- Datenschutzbeauftragter Online
- Fefe
- Krecki
- Netzpolitik
- Olnigg
- Pixel
- rasehorn.net
- Unkreativ

Getagged : unsicher

Suchen

Gezwitscher

Archiv

Blogroll