Neuer Personalausweis bringt Nachteile für Blinde und macht das Internet nicht sicherer
Bremer Informatikprofessor Herbert Kubicek korrigiert ARD-Magazin Plusminus
Das ARD-Magazin Plusminus sorgte gestern (24.8.2010) durch eine Vorabveröffentlichung für Schlagzeilen, indem es den Nachweis von gravierenden Mängeln im Sicherheitssystem des ab November ausgegebenen neuen Personalausweises ankündigte. Für Betrüger sei es problemlos möglich, geheime Daten inklusive der PIN abzufangen. Dies habe ein mit dem Chaos Computer Club durchgeführter Test mit den vorgesehenen Basislesegeräten gezeigt.
In der Sendung buten un binnen vom 24.08.2010 stellte der Bremer Informatikprofessor Herbert Kubicek schon vor der Sendung klar, dass es sich bei dieser angeblichen Sicherheitslücke nicht um ein Problem des neuen Ausweises handelt, sondern um ein generelles Sicherheitsproblem von Online-Transaktionen und dass der Ausweis dieses Problem sehr wohl reduziere. Der von Plusminus gezeigte Test fand mit so genannten Basislesegeräten statt, die keine eigene Tastatur haben. Die PIN, die den Zugriff auf die Daten des Personalausweises freigibt, muss über die Tastatur des Computers eingegeben werden, an den das Lesegerät angeschlossen wird. Im Test wurde gezeigt, dass man mit einem Spionageprogramm die Eingaben der Tastatur und die Darstellungen auf dem Bildschirm abfangen und einsehen kann. Nicht erwähnt wurde, dass dies mit anderen Lesegeräten nicht der Fall ist, dass diese Spionageangriffe auch für die derzeitigen Verfahren des Identifizierens und Einloggens mit Benutzername und Passwort gelten und dass der neue Personalausweis demgegenüber das Missbrauchsrisiko deutlich reduziert.
Kubicek zeigt in buten un binnen neben dem kritisierten Kartenleser der Klasse B (Basic) einen Leser der Klasse S (Standard) mit eigener Tastatur (Foto in der Anlage). Damit wird die PIN direkt an den Server des Dienstleisters übertragen, bei dem man sich identifizieren will. Und selbst wenn die PIN abgefangen wird, so Kubicek, kann der Angreifer damit nichts anfangen, wenn er nicht gleichzeitig auch den Ausweis in seinen Besitz bringt. Denn in den neuen Online-Verfahren wird zunächst eine Verbindung zwischen dem Chip des Ausweises und dem Server hergestellt und dann erst nach der PIN gefragt. Der in der Plusminus-Sendung gemachte Hinweis, der Angreifer könne neben der PIN auch die Adresse des Inhabers in Erfahrung bringen und dann den Ausweis stehlen, erscheint etwas weit hergeholt. Das Risiko, dass auf dem häuslichen Rechner ein Spionageprogramm platziert wird, hält er zudem auch für gering, wenn regelmäßig ein Virenschutzprogramm aktualisiert wird. Wie bisher sollte man auch mit dem neuen Ausweis in fremden Umgebungen keine Online-Transaktionen mit PINs durchführen.
Weniger Sicherheit für Blinde
In der von Plusminus ausgelösten Diskussion wird das Problem inzwischen überwiegend auf die Angreifbarkeit der einfachen Kartenleser reduziert. In ergänzenden Stellungnahmen wirft der Chaos Computer Club dem BMI vor, aus Kostengründen Sicherheitsrisiken in Kauf zu nehmen. Auch der Bundesdatenschutzbeauftragte empfiehlt, die sichereren Kartenleser mit Tastatur einzusetzen. Kubicek weist jedoch auf ein daraus resultierendes Folgeproblem hin: der elektronische Identitätsnachweis muss barrierefrei sein, das heißt, er muss auch von Menschen mit Behinderungen nutzbar sein. Beim Einsatz der einfachen und riskanten Kartenleser erfolgt die Benutzung über die Tastatur und Blinde können ihre Vorleseprogramme, die so genannten Screen Reader, einsetzen. Bei den sichereren Kartenlesern mit eigener Tastatur geht dies nicht. Kubicek, der die Bremer Firma bremen online services dabei berät, den so genannten Bürgerclient, die Software für den elektronische Identitätsnachweis, barrierefrei zu machen, weist auf die Konsequenz hin: Mehr als 1 Mio. Blinde müssten die geschilderten Sicherheitsrisiken in Kauf nehmen, weil es für sie keine Alternative gibt. Er hat das BMI schon vor einem Jahr darauf hingewiesen, dass es bisher nur Kartenleser für Blinde für kontaktbehaftete Chipkarten gibt, aber nicht für kontaktlose RFID-Chips, und entsprechende Anforderungen oder Fördermaßnahmen angeregt.
Sicherer Ausweis macht Internet und Online-Transaktionen nicht generell sicherer
Kubicek wies in buten un binnen auf andere Probleme des neuen Personalausweises hin, die er aus einer gerade abgeschlossenen Studie von sieben ähnlichen Systemen in anderen europäischen Ländern ableitet. Dort habe sich gezeigt, dass die Anbieter von Online-Diensten die bisherigen Formen der Online-Registrierung und des Log-In mit Benutzername/Passwort oder PIN-TAN weiterhin anbieten und die Mehrheit der Nutzerinnen und Nutzer daher keinen Grund sieht, sich einen Kartenleser zuzulegen und die erforderliche Software zu installieren.
Im Zielkonflikt Sicherheit versus Bequemlichkeit entscheide sich die Mehrheit hier wie auch in vielen anderen Bereichen für die Bequemlichkeit. Auch die im deutschen System vorbildlichen Datenschutzregelungen werden daran nichts ändern. In dem im November erscheinenden Buch mit dem Titel Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich (LIT-Verlag) zeigen Kubicek und sein Co-Autor Torsten Noack an konkreten Zahlen, dass die Verfahren der Online-Authentisierung in Schweden und Estland die höchsten Nutzungsraten bei elektronischen Steuererklärungen haben, jedoch gleichzeitig technisch niedrigere Sicherheitsstufen aufweisen und keine besonderen Datenschutzvorkehrungen beinhalten. Die erfolgreichen elektronischen Identitätsnachweise wurden in Kooperation mit den Banken eingeführt. In Deutschland sieht es derzeit nicht so aus, als würden die Banken den neuen Personalausweis für das Einloggen akzeptieren. Sie setzen auf die mobile TAN. Darin sieht Kubicek eine Quelle für Verunsicherung. Da der elektronische Identitätsnachweis auf dem neuen Personalausweis nur auf Antrag frei geschaltet wird, erwartet er, dass die meisten Personen abwarten und zumindest zunächst darauf verzichten. Erst wenn es attraktive Anwendungen gibt, die man nur mit dem neuen Ausweis nutzen kann, könnte sich das ändern.
Foto: ifib/Norbert Hayduk
Gesendet von Norbert Hayduk
Zuordnungen:
Kommentare •
Nachrichten •
Öffentliche Verwaltung •
E-Government •
(0) Kommentare • Permalink
E-mail
Facebook
Twitter
Google Bookmarks
Del.icio.us
Mister Wong
Veranstaltungsankündigung: IT Service Management für Schulträger
Das ifib veranstaltet gemeinsam mit dem IT Service Management Forum Deutschland e.V. (itSMF) im Rahmen des Forum für ITSM in der öffentlichen Verwaltung (FIT-ÖV) am
23. September 2010
im
Haus der Wissenschaft in Bremen
eine eintägige Fachveranstaltung zum Thema IT Service Management für Schulträger und Bildungsorganisationen aus dem öffentlichen Bereich.
In verschiedenen Fachvorträgen wird Ihnen sowohl aus Sicht von Praxis und Forschung durch
die Landeshauptstadt München,
die Senatorin für Bildung und Wissenschaft Bremen,
die Senatsverwaltung für Bildung, Wissenschaft und Forschung Berlin und
die Universität Bremen (ifib),
als auch aus Sicht von Expert/innen von verschiedenen Hersteller-, Beratungs- und Serviceorganisationen wie
dem Zweckverband Kommunale Datenverarbeitung Oldenburg (KDO),
dem Landesmedienzentrum Baden-Württemberg,
der Univention GmbH und
der ITSM Consulting GmbH,
der Stellenwert und die Herausforderungen des IT Service Managements für Schulträger und Bildungsorganisationen dargestellt und diese Ansätze mit Ihnen diskutiert. Erfolgversprechende Lösungsansätze von Herstellern können Sie neben den Fachvorträgen auch in Gesprächen an den Ständen der begleitenden Fachausstellung vertiefen. Darüber hinaus bietet das Format genügend Raum, um mit Vertreter/innen von anderen Schulträgern und Bildungsorganisationen ins Gespräch zu kommen.
Die Veranstaltung ist für Mitarbeiter/innen aus Einrichtungen der Öffentlichen Verwaltung kostenfrei.
Details zur Veranstaltung, zum Programm und Anmeldung finden Sie unter http://www.fit-oev.de/bremen.html.
Wir würden uns freuen, Sie am 23.09.2010 in Bremen begrüßen zu können.
Gesendet von B. E. Stolpmann
Zuordnungen:
Veranstaltungen •
Öffentliche Verwaltung •
Schulen und Schulträger •
IT-Management •
Neue Medien und Schulentwicklung •
Regionale Kooperationen •
(0) Kommentare • Permalink
B. Lippa: 13.07.2010
Gute Noten für das Bremische Informationsfreiheitsgesetz
Herbert Kubicek und Barbara Lippa haben am 5. Juli auf der Tagung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Informationsfreiheit die nächste Generation im Schweriner Schloss die Ergebnisse ihrer Evaluation des Bremischen Informationsfreiheitsgesetzes vor mehr als 100 Fachleuten, darunter der Bundesbeauftragte für Informationsfreiheit sowie viele Landesbeauftragte, präsentiert.
Das ifib hat die im zunächst befristeten BremIFG vorgesehene Evaluation von Oktober 2009 bis Februar 2010 im Auftrag der Senatorin für Finanzen und in enger Abstimmung mit der Landesbeauftragten für Datenschutz und Informationsfreiheit durchgeführt. Dazu wurden sowohl die betroffenen Behörden befragt als auch Bürgerinnen und Bürger in einer repräsentativen telefonischen Bevölkerungsumfrage sowie die Nutzer des IFG-Portals und des zentralen Informationsregisters.
Die Bewertung ist überwiegend positiv ausgefallen. Es wird eine unbefristete Fortführung mit einigen Verbesserungen empfohlen. Bemerkenswert ist als Ergebnis der Bevölkerungsumfrage, dass mehr Menschen das zentrale Informationsregister kennen als das ihm zugrunde liegende Informationsfreiheitsgesetz, und dass sehr viel mehr Menschen bereits das Register zum Herunterladen von Informationen nutzen als einen Antrag nach dem IFG gestellt haben. Daher wird empfohlen, die proaktive Veröffentlichungspflicht auszuweiten und so die Transparenz der Verwaltung gezielt zu fördern und zu fordern, indem die Behörden halbjährlich bestimmte Veröffentlichungsschwerpunkte festlegen und die entsprechenden Dokumente öffentlich machen. Denn bisher gibt es noch einige Vollzugsdefizite bei der Erfüllung der gegenwärtigen Veröffentlichungspflichten. Der Vorschlag für eine Verpflichtung zur Planung von Veröffentlichungsschwerpunkten beruht auf der Annahme, dass Transparenz der Verwaltung sich nicht darauf beschränken darf zu warten, bis jemand kommt, der etwas wissen will, sondern eine Bringschuld der Verwaltung ist. Da die zu veröffentlichenden Dokumente auf etwaige Kollisionen mit Rechten von Betroffenen geprüft und ggf. bearbeitet werden müssen, bietet sich ein schrittweises themenbezogenes Vorgehen an.
Die Senatorin für Finanzen hat den Evaluationsbericht des ifib mit einer eigenen Stellungnahme inzwischen an die Bremische Bürgerschaft weitergeleitet. Dort wird nach der Sommerpause auf dieser Grundlage eine eigene Evaluation vorgenommen, und dann soll bis Ende des Jahres, auf jeden Fall noch in dieser Legislaturperiode, die Novellierung erfolgen.
Noch nicht in der schriftlichen Evaluation angesprochen, aber in den bevorstehenden Beratungen zu klären ist, ob die Forderung der Open-Data-Bewegung (so z.B. das Open Data Network e.V.) nach Lieferung von Informationen in weiter verarbeitbaren Formaten einer besonderen gesetzlichen Erwähnung bedarf oder durch die bestehenden Formulierungen abgedeckt ist und eventuell in der Verordnung zur Veröffentlichungspflicht zu konkretisieren ist. Vielfach entsteht der gesellschaftliche Nutzen von Informationen erst durch Aufbereitung und Verknüpfung, die die Verwaltung selbst nicht leisten kann, andere Organisationen jedoch sehr wohl. Eine weitere in diesem Zusammenhang noch zu klärende Frage betrifft das Verhältnis zwischen dem BremIFG und dem Informationsweiterverwendungsgesetz des Bundes.
Gesendet von B. Lippa
Zuordnungen:
Studien •
Vorträge •
Öffentliche Verwaltung •
E-Democracy •
E-Government •
Informationsfreiheit •
(0) Kommentare • Permalink
Bremens befreite Behördendaten
Als ich vor einigen Tagen über Bemühungen des Open Data Network e.V. zur Befreiung deutscher Behördendaten berichtete, habe ich es versäumt, einige Worte zum Stand der Dinge in Bremen anzufügen. Das möchte ich kurz nachholen.
Die Freie Hansestadt Bremen ist dank des zentralen Informationsregisters für Bremen und Bremerhaven (http://www.informationsregister.bremen.de) anderen Verwaltungen in Sachen Informationsfreiheit einen großen Schritt voraus. In diesem Register werden amtliche Dokumente bereitgestellt, die nach dem Bremer Informationsfreiheitsgesetz (BremIFG) freigegeben sind. Mir wurde durch die Landesbeauftragte für Datenschutz und Informationsfreiheit und bremen.online bestätigt, dass sich der urheberrechtliche Schutz an den IFG-Dokumenten auf ein Änderungsverbot und die Pflicht zur Namensnennung der Behörde beschränkt (wohl Behandlung als “amtliche Werke, die im amtlichen Interesse zur allgemeinen Kenntnisnahme veröffentlicht worden sind” gemäß § 5 UrhG).
Gesetze, Verordnungen und Verwaltungsvorschriften, auf die im Informationsregister verwiesen wird, stehen leider nur unter restriktiveren Bedingungen im Gesetzesportal bereit, da die konsolidierten Fassungen durch den Verlag C.H. Beck erstellt werden.
Unter den Dokumenten im Register sind mehr als 1.000 PDFs aus Senat, Deputation und Ausschüssen. Die Veröffentlichung von elektronischen Dokumenten im Informationsregister ist in Bremen heute nichts Ungewöhnliches mehr (der Senator für Umwelt, Bau, Verkehr und Europa, die Senatorin für Finanzen und die SAFGJS - sind bisher die größten Inhaltslieferanten).
Dreißig im Register aufgeführte Geschäftsverteilungs-, Organisations- und Aktenpläne liegen nur in Papierform vor und lassen sich in der entsprechenden Behörde vor Ort einsehen.
Das Informationsregister ist eine großartige Quellensammlung für Journalisten, Wissenschaftler und Personen, die sich für detaillierte Verwaltungsinformationen zu einem bestimmten Thema interessieren.
Das Informationsfreiheitsgesetz könnte in einem nächsten Schritt als Katalysator für die offene Bereitstellung von Verwaltungsdaten wirken.
Bisher werden im IFG-Register überwiegend zum Lesen aufbereitete PDFs veröffentlicht, deren Inhalte teilweise nicht ohne Texterkennungs-Einsatz für Rechner auslesbar sind (es wurden zahlreiche Scans in Faxqualität eingestellt).
In Dokumenten enthaltene Daten sind derzeit nicht mit Zusatzinformationen zum maschinellen Auslesen und Verlinkungen versehen. Daher ist eine strukturierte Zusammenstellung enthaltener Daten - etwa zur Darstellung in einem neuen Kontext - und eine Weiterverwendung in Datenbanken wie CKAN (Comprehensive Knowledge Archive Network) unmöglich.
Die offene Bereitstellung von Daten mit Geobezug ist für verknüpfende Anwendungen besonders spannend und sollte vorangetrieben werden. (Als positives Beispiel kann ein Dokument mit Gauss-Krüger-Koordinaten für Fluglärmschutzzonen im Informationsregister genannt werden.)
Zudem sollte geprüft werden, wie die Datenbanken des Statistischen Landesamts Bremen sich mit den IFG-Informationen zusammenbringen lassen.
Vielleicht kann ja der eine oder andere dieser Gedanken noch im Rahmen der aktuellen Evaluierung des BremIFG eine Rolle spielen. A propos: Aktuelle Informationen zur IFG-Evaluierung gibt es am 5.7. in Schwerin, Anmeldungen beim Veranstalter sind noch bis zum 24.6.2010 möglich.
Foto: C. Hanken unter CC by-3.0-de - “Transparenz”
Update: Dieser Artikel ist am 13.08.2010 - mit Anpassungen - auch im Open Data Blog erschienen. http://opendata-network.org/2010/08/freier-informationszugang-in-bremen/
Gesendet von C. Hanken
Zuordnungen:
Kommentare •
Öffentliche Verwaltung •
E-Government •
(0) Kommentare • Permalink
ifib begleitet PC-Standardisierung in der bremischen Verwaltung
Auf Basis eines Senatsbeschlusses aus dem Jahr 2009 sollen die Büroarbeitsplätze der bremischen Verwaltung mit einem standardisierten Verwaltungs-PC ausgestattet werden.
Am 12. März 2010 wurde zur Umsetzung dieses Vorhabens ein Pilotprojekt mit drei senatorischen Behörden, dem IT-Dienstleister Dataport und dem ifib gestartet. Zunächst sollen mit drei Pilotbehörden die technischen und organisatorischen Rahmenbedingungen für die Umstellung auf den Verwaltungs-PC festgestellt und Migrationskonzepte erarbeitet werden. Auf Grundlage dieser Konzepte will die Freie Hansestadt Bremen eine Entscheidung über die Umsetzung der Migration in den Pilotbehörden sowie die Übertragbarkeit auf die mehr als 8.000 Verwaltungsarbeitsplätze der bremischen Verwaltung treffen.
Das Institut für Informationsmanagement Bremen war an der vorausgehenden Untersuchung und Konzeptualisierung beteiligt. In der Hauptuntersuchungsphase unterstützt das ifib in erster Linie das Referat “Zentrales IT-Management und E-Government” bei der Senatorin für Finanzen und begleitet das Projekt wissenschaftlich. Zu den ifib-Arbeitsbereichen zählen hierbei insbesondere Wirtschaftlichkeit, nachhaltige IT-Personalentwicklung und IT-Management.
An der Auftakt-Sitzung des Projektes (“Kickoff”) nahmen u. a. die Staatsräte Henning Lühr und Wolfgang Golasowski, die IT-Direktorin Gisela Schwellach, die Dataport-Vorstände Matthias Kammer und Andreas Reichel sowie die Landesbeauftragte für Datenschutz und Informationsfreiheit Dr. Imke Sommer teil.
In ihren Vorträgen wurde deutlich, dass die Einsparpotenziale der IT am Arbeitsplatz noch nicht komplett erschlossen sind und durch eine länderübergreifende Zusammenarbeit mit einem gemeinsamen IT-Dienstleister Synergien geschaffen werden können. Ebenso deutlich wurde herausgestellt, dass die Auslagerung von IT-Aufgaben auf einen zentralen Dienstleister umfangreiche Personalentwicklungskonzepte für die IT-Mitarbeiter der bremischen Verwaltung erfordern.
Der standardisierte Verwaltungs-PC Bremen soll auf dem BASIS-Standard (BASIS: Büroarbeitsplatz Standard Infrastruktur Service) der Freien und Hansestadt Hamburg aufbauen. Durch diesen Standard wird eine gemeinsame Ausgangsplattform für die bremische Verwaltung ermöglicht.
Quelle: Bild ifib (ch) / Wappen bremen.de
Mehr zur wissenschaftlichen Begleitung und Unterstützung der Realisierung effizienter E-Government-Dienste in der Freien Hansestadt Bremen durch das ifib:
- Wirtschaftlichkeitsanalyse zu Office-Anwendungen
- Kundenzufriedenheit mit der IT in der Bremer Verwaltung
- E-Rechnung in der Freien Hansestadt Bremen
Gesendet von B. E. Stolpmann
Zuordnungen:
Nachrichten •
Projekte •
Öffentliche Verwaltung •
E-Government •
IT-Management •
(0) Kommentare • Permalink
Suche
Letzte Einträge
- Beteiligung am Dialog der Kanzlerin über die Zukunft der Bürgerbeteiligung
- DeLFI 2011 & LOG IN: Organisationslücken bei der Implementierung von E-Learning in Schulen
- ifib consult an Dataport-Rahmenvertrag für E-Government im Norden beteiligt
- e2democracy-Projekt auf internationaler Konferenz „Nachhaltiger Konsum“
- IT-Innovationen bewegen Schulträger
Kategorien
Archiv
Weiterverbreitung der Inhalte
Die im Weblog veröffentlichten Inhalte stehen, soweit nicht anders gekennzeichnet, unter der Creative Commons Lizenz Namensnennung-NichtKommerziell-KeineBearbeitung 3.0 Deutschland.Der zu nennende Name ist ifib GmbH.
Zum Webauftritt des ifib
© 2008 XHTML . CSS .
Powered by ExpressionEngine
ifib: Institut für Informationsmanagement Bremen GmbH
Am Fallturm 1, 28359 Bremen
Tel: 0421 218-56590, Fax: 0421 218-56599, info@ifib.de