Sicherste Technik, die es gibt – wer’s glaubt

Mustermann nPA (neuer Personalausweis ab 1.11.2010) / Bundesministerium des Innern / Genehmigung: §5 (1) UrhG, official work

Mustermann nPA (neuer Personalausweis ab 1.11.2010) / Bundesministerium des Innern / Genehmigung: §5 (1) UrhG, official work

Nun ist er da, der „sagenumwobene“ nPA (neuer elektronischer Personalausweis)!

Und die Bef?rworter aus Staat und Industrie versuchen trotz des Zwangsstartes dieser Woche diesen in positiven Licht darzustellen. Der erhoffte „Run“ auf den neuen Ausweis blieb aber weit hinter den Erwartungen. Speziell in den „neuen“ Bundesländern ging der Einf?hrungstermin einher mit auslaufenden alten Ausweisen. Dumm nur, dass im Vergleich zu den regulären Ausweisbeantragungen in der letzten Woche sehr viele noch den guten alten Ausweis in Auftrag gaben, wie es zB. die Piraten in Potsdam in ihrem letzten Wochenr?ckblick aufzeigen. Sicherlich mag hier der Umstand ebenso geschuldet sein, dass man f?r ein derartiges Dokument statt 8€ nun 28,80€ auf den Tisch legen muss und viele Leute mit dieser Hyper-Technik nichts am Hut haben.

Dass es hier nicht nur um Sicherheit geht, sondern auch um wirtschaftliche Interessen, zeigt zB. ein Interview vom 01.10.2010 auf Radio1 (interessant ab ca. 4:00). Ein „sicheres Bonuspunkte-Programm kann damit abgewickelt werden – soso. Was das bisherige (und in meinen Augen sehr zweifelhafte) Bonuspunkte-Programm des Handels unsicher darstellen lässt, läuft wohl eher dahingehend hinaus, dass man z.B. nicht eindeutig einen Einkauf auf eine Person zur?ck schließen lassen kann. Mit dem nPA ja alles kein Problem mehr und wird auch noch fertig gebacken dem „Kunden“ in naher Zukunft aufgezwungen. Man kann ja dann ohne nPA die tollen Funktionen nicht nutzen und auch nicht mehr „sicher“ einkaufen.

Kritik gab es zudem viel – besonders im Zusammenhang mit dem durch die Bundesregierung erworbenen Sicherheitskits, die gratis unters Volk geworfen werden sollten. Speziell diese haben ein eklatantes Sicherheitsproblem, da die 6-stellige PIN via Computer-Tastatur eingegeben werden muss. Der CCC hatte hierzu Sicherheitsmängel aufgezeigt, weil es dadurch mit einfachen Mitteln möglich ist, die PIN bei Eingabe auf dem Computer auszulesen und diese gar automatisiert durch ein Schadprogramm zu nutzen. Ich denke der letzte Satz ist genau der ausschlaggebende Punkt:

Mitlesen der PIN und automatisierte Legitimation

Wohl bemerkt: das alles, wenn der nPA in der Nähe des Lesegerätes sich befindet.

Nun gibt es auf der FAZ seit gestern ein „tolles“ Interview mit der IT-Beauftragten der Bundesregierung Cornelia Rogall-Grothe. Dieses Interview zeigt, dass man keine Juristen in die Position des Bundes-CIO hieven sollte. So oft kann man sich nicht an die Stirn schlagen, wie man eigentlich gern wollte (#facepalm).

Aber beginnen wir von vorn …

Mittelpunkt des geschilderten Angriffsszenarios ist ein mit Schadsoftware infizierter PC, auf den ein Unbefugter mit Hilfe eines speziellen Hackerangriffs Zugriff erlangt hat. Ist dieser Angriff erfolgreich, kann der Angreifer unabhängig von der genutzten Anwendung heimlich alle Tastatureingaben oder Bildschirmanzeigen mitlesen. Aber das hat nichts mit dem Personalausweis zu tun.

Nun, es ist kein spezieller Hackerangriff, sondern tagtägliche Realität. Es werden täglich unzählige Daten ausgelesen, mitgeloggt, entwendet und was weiß ich alles. Das alles, weil es erstens Systeme gibt, die ideal f?r einen „Angriff“ geschaffen sind – vornehmlich durch deren weite Verbreitung. Hier fallen als erstes Windows-Betriebssysteme auf. Zum anderen eben Bank-Portale. Eine breitere Verwendung des nPA wird auch diesen zum Ziel eines breitflächigen Angriffes machen und so schnell wird der Verschl?sselungsalgorithmus nicht geändert werden können.

Aber weiter im Text:

Ich wiederhole: Das bedeutet nicht, dass der Personalausweis unsicher ist. Es gibt keine Sicherheitsl?cke. Vor Schadsoftware am PC kann sich jeder wirksam sch?tzen, indem er Virenschutzprogramme benutzt und eine Firewall installiert.

Sorry, aber hier muss ich schmunzeln und spreche aus Erfahrung: kein System – ich wiederhole KEIN SYSTEM – ist wirksam gesch?tzt bzw. kann wirksam gesch?tzt werden. Kein Virenschutzprogramm und keine Firewall kann dies realisieren, denn selbst diese wird immer umgangen. Ich habe täglich derartige Systeme auf dem Tisch, wo sich Schadprogramme an aktualisierten Schutzmaßnahmen vorbeimogeln konnten. Und größtenteils bekommen es die Anwender nicht einmal mit, sondern werden erst nach Tagen stutzig, da das eine oder andere Verhalten des PCs doch seltsam erscheint oder gar der Internetanbieter nette Faxe schickt, in dem mit Abschaltung des Internetanschlusses gedroht wird, wenn Spam-Versand und andere Aktivitäten nicht unterbunden werden.

Die Speicherung von Fingerabdr?cken ist fakultativ, also nicht zwingend.

Fragt sich wie lange dies so bleibt?

Drittens die Signaturfunktion, die eine Unterschrift ersetzt, auch sie ist freiwillig. Letztere ist nichts Neues, es gibt schon länger Signaturkarten und die qualifizierte elektronische Signatur.

F?r mich ist die QES eine Art Totgeburt. Anfänglich stringent behandelt und nun immer mehr vernachlässigt worden – auch im Handel bei elektronischen Dokumenten, wie Rechnungen (eigene Erfahrung). Die laufenden Kosten tragen sich f?r viele Unternehmen einfach nicht.

Die gesamte Technik ist sicher. Wenn man den Ausweis einsetzt, findet das immer in einem Umfeld statt, das man im Blick haben muss. Es gelten dieselben Sorgfaltspflichten, die bereits heute bei Internetanwendungen – etwa beim Online-Banking – zum Tragen kommen. Dazu gehört eine sichere Computerumgebung.

Merke: Technik ist nie sicher. Sie war es nie (anfängliche Verschl?sselungsverfahren) und wird es nie sein. Technik ist anfällig, Software erst recht. Aus diesem Grund kann eine Computerumgebung auch niemals sicher sein. Wer behauptet, dass die Technik (egal wo) sicher sei, der weiß in meinen Augen absolut nicht, wovon er spricht, oder aber versucht den Gegen?ber ?bers Ohr zu hauen.

Selbst wenn ein PC infiziert ist und die PIN mit einem Keylogger ausgelesen werden könnte, hilft das dem Betr?ger nur wenig. Er muss ja auch den Ausweis haben. Wir empfehlen daher, den Ausweis nur f?r die Dauer der Nutzung auf dem Lesegerät liegen zu lassen.

Das Schadprogramm ist doch die ganze Zeit aktiv. Wenn es erst einmal die PIN hat, dann kann es auch bei dem Basis-Lesegerät im Hintergund Transaktionen zeichnen lassen, ohne dass der Anwender etwas davon mitbekommt. Wieviele Transaktionen, Einkäufe, Überweisungen, Vertragsabschl?sse usw. schafft man im Hintergrund laufend, wenn der nPA f?r ein paar Sekunden am Lesegerät liegt? 10? 20? Oder noch mehr?

Ich bin auf die Vertragsabschl?sse gespannt, die selbstverständlich durch die „Eingabe“ der PIN des Anwenders rechtlich legitimiert wurden. Ein neues Terrain f?r Abo-Fallen?

Das Starterkit heißt ?brigens IT-Sicherheitskit, weil es ein deutliches Plus an Sicherheit liefert.

Ich lache mal ganz laut … ROFL!

Ja, denn wir verwenden eine Technik, die eine solche Emulation ausschließt. Hier geht es um Hardware-Sicherheit. Emulieren kann man nur, wenn man die Geheimnisse aus dem Chip auslesen könnte. Das können Sie aber nicht, weil die Schl?ssel nur in einem sicherheitsevaluierten Chip vorhanden sind. Das Klonen eines Personalausweis-Chips ist daher unmöglich.

Emulation ausgeschlossen? Das glaube ich erst, wenn ich es „sehe“. Vor zig Jahren hatte man Emulation von C64, Amiga, PC, Konsolen usw. auch ausgeschlossen – ja auch andere Prozessorarchitekturen oder Hardware. Was heute an Hardware in Virtualisierungslösungen emuliert wird, ist Wahnsinn. Und was sollte ein Chip ein Mehr an Sicherheit bringen, nur weil man dessen Aufbau JETZT noch nicht kennt? Ein Leak des Hardware-Designs reicht aus, oder er wird analyisiert. Bei hoher Verbreitung ist eine tiefergreifende Analyse nicht ausgeschlossen. Bereits im Studium vor 10 Jahren habe ich Software-Techniken kennen gelernt, mit denen ich Hardware nachbilden und simulieren kann – einfach durch Programmieren von Logikgattern und das dadurch resultierende Darstellen von elektronischen Schaltungen nebst Programmen.

Sich allein dahinter zu verstecken, dass es „unmöglich“ sei, ist mehr als blauäugig oder aber … man will den Gegen?ber verschaukeln. Pay-TV Verschl?sselung hat mehrfach gezeigt, dass auch immer stärkere Schutzmethoden geknackt werden können. Und so weit ich vernommen habe, liegen der Chip des nPA und der von Pay-TV-Anbietern auf fast ähnlichem Niveau in der Sicherheitseinstufung.

Ja, das ist richtig und betrifft die aktive Komponente, also das Ansprechen durch Lesegeräte. F?r das Mitlesen Unberechtigter ist man im Bereich von rund 2,70 Meter. Wir setzen aber starke Kryptographie ein. Die Sicherheit dieser kryptographischen Verfahren ist mathematisch nachgewiesen und bestätigt. Ein Mitlesen ist also nicht möglich.

Schenkelklopfer: ich selbst habe schon mehrfach in meinen Gefilden darauf hingewiesen, dass der Chip auch aus mehr als wenigen Zentimetern möglich ist. Hier wird sogar eine Zahl von 2,70m genannt, wo ich mich zudem frage, ob eine eindeutige Kennung (verschl?sselt oder nicht) dennoch auslesbar ist und somit an zentralen Orten in einem Gebiet Scanner aufgestellt werden könnten (Ampeln, Reklametafeln, Gebäude).

Was heißt zudem „starke Kryptographie„? Niemals knackbar? Wer’s glaubt … es ist nur eine Frage der aufgewendeten Zeit und Rechenleistung, um zu entschl?sseln oder gar Schwachstellen (wie bei WLAN Verschl?sselung mittels WEP usw) aufzusp?ren und auszunutzen.

Nichts ist unmöglich – weder bei der Entschl?sselung, noch bei Emulation …

Einen Nachbau des Geräts halte ich f?r ein abenteuerliches Szenario. Wir setzen Hardware ein, die vom Bundesamt f?r Sicherheit in der Informationstechnik sicherheitsevaluiert ist. Bei Stromlosigkeit wird das Schl?sselmaterial deaktiviert. Mit einem Gerät, das verlorengegangen ist oder gestohlen wurde, können Sie dann nicht mehr auf Personalausweise zugreifen.

Werden die Geräte der Polizei bereits per Akku betrieben ausgeliefert? Das glaube ich persönlich weniger. Und wenn das Nachladen vergessen wurde? Wie hoch, wenn das wirklich so sein sollte, sind die Kosten f?r das Aktivieren? oder braucht es dann ein neues Gerät?

Sie unterstellen Sicherheitsl?cken, die es nicht gibt.

Ist sie sich da wirklich 100%-ig sicher, dass es keine Sicherheitsl?cken gibt? Ich möchte die Person oder Firma sehen, die mit Recht behaupten kann, dass es keine Sicherheitsl?cken im Produkt oder einer Software gibt. Wer meldet sich freiwillig?

Die qualifizierte elektronische Signatur hat sich bislang nicht so durchgesetzt, wie man sich das erhofft hat.

Ach sieh an .. deckt sich ja meine Erfahrung aus der Realität – Totgeburt halt.

Die Wirtschaft begr?ßt die Signaturfunktion des neuen Personalausweises. Insgesamt gibt es rund 600 Anwendungen, die jetzt schon getestet werden, darunter auch viele, die die Signaturfunktion nutzen. Die Wirtschaft wartet geradezu auf den 1. November, damit von den neuen Möglichkeiten Gebrauch gemacht werden kann.

Also doch Wirtschaftsinteressen? Unbeachtet der Freigabemöglichkeit von Datenfeldern meinerseits ist eine Zuordnung eines Services oder Einkaufs zum nPA viel leichter und einfacher möglich. Was wohl Person X tolles gekauft hat?

Die Kommunen sind zum Start des neuen Personalausweises mit der notwendigen Infrastruktur ausgestattet. Wir verfolgen und pr?fen diese Ausstattung regelmäßig.

Hmm – da habe ich aber andere Informationen – und es gibt noch weitaus mehr …

Jeder IT-Verantwortliche wäre bei solchen Statements und Umsetzungen schon längst in der freien Wirtschaft gefeuert worden. Und eine Person mit solchen Aussagen in dieser Position wird von unseren Steuergeldern bezahlt? Meine Kritik am nPA bleibt bestehen und eines bleibt voll und ganz sicher: ich werde mit den mir möglichen Mitteln die Leute ?ber den nPA informieren und selbst den nPA boykottieren.

Es gibt kein Mehr an Sicherheit – zumindest nicht f?r den Anwender!

Das könnte Dich auch interessieren...

2 Antworten

  1. jensbernau sagt:

    nicht der Ausweis direkt aber die Software dazu:http://www.heise.de/newsticker/meldung/Neuer-Personalausweis-AusweisApp-mit-Luecken-1133376.html
    Mal sehen wie lange es dauert bis der Ausweis selbst auch gecrackt ist

  2. M. Klose sagt:

    Nur gut, dass mein alter Ausweis noch lange gültig ist. Mir graut es vor dem neuen Ausweis. Ich bin gespannt wann sich die ersten Geschädigten melden…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.