Bremer Informatikprofessor Herbert Kubicek korrigiert ARD-Magazin Plusminus
Das ARD-Magazin Plusminus sorgte gestern (24.8.2010) durch eine Vorabveröffentlichung für Schlagzeilen, indem es den Nachweis von gravierenden Mängeln im Sicherheitssystem des ab November ausgegebenen neuen Personalausweises ankündigte. Für Betrüger sei es problemlos möglich, geheime Daten inklusive der PIN abzufangen. Dies habe ein mit dem Chaos Computer Club durchgeführter Test mit den vorgesehenen Basislesegeräten gezeigt.
In der Sendung buten un binnen vom 24.08.2010 stellte der Bremer Informatikprofessor Herbert Kubicek schon vor der Sendung klar, dass es sich bei dieser angeblichen Sicherheitslücke nicht um ein Problem des neuen Ausweises handelt, sondern um ein generelles Sicherheitsproblem von Online-Transaktionen und dass der Ausweis dieses Problem sehr wohl reduziere. Der von Plusminus gezeigte Test fand mit so genannten Basislesegeräten statt, die keine eigene Tastatur haben. Die PIN, die den Zugriff auf die Daten des Personalausweises freigibt, muss über die Tastatur des Computers eingegeben werden, an den das Lesegerät angeschlossen wird. Im Test wurde gezeigt, dass man mit einem Spionageprogramm die Eingaben der Tastatur und die Darstellungen auf dem Bildschirm abfangen und einsehen kann. Nicht erwähnt wurde, dass dies mit anderen Lesegeräten nicht der Fall ist, dass diese Spionageangriffe auch für die derzeitigen Verfahren des Identifizierens und Einloggens mit Benutzername und Passwort gelten und dass der neue Personalausweis demgegenüber das Missbrauchsrisiko deutlich reduziert.
Kubicek zeigt in buten un binnen neben dem kritisierten Kartenleser der Klasse B (Basic) einen Leser der Klasse S (Standard) mit eigener Tastatur (Foto in der Anlage). Damit wird die PIN direkt an den Server des Dienstleisters übertragen, bei dem man sich identifizieren will. Und selbst wenn die PIN abgefangen wird, so Kubicek, kann der Angreifer damit nichts anfangen, wenn er nicht gleichzeitig auch den Ausweis in seinen Besitz bringt. Denn in den neuen Online-Verfahren wird zunächst eine Verbindung zwischen dem Chip des Ausweises und dem Server hergestellt und dann erst nach der PIN gefragt. Der in der Plusminus-Sendung gemachte Hinweis, der Angreifer könne neben der PIN auch die Adresse des Inhabers in Erfahrung bringen und dann den Ausweis stehlen, erscheint etwas weit hergeholt. Das Risiko, dass auf dem häuslichen Rechner ein Spionageprogramm platziert wird, hält er zudem auch für gering, wenn regelmäßig ein Virenschutzprogramm aktualisiert wird. Wie bisher sollte man auch mit dem neuen Ausweis in fremden Umgebungen keine Online-Transaktionen mit PINs durchführen.
Weniger Sicherheit für Blinde
In der von Plusminus ausgelösten Diskussion wird das Problem inzwischen überwiegend auf die Angreifbarkeit der einfachen Kartenleser reduziert. In ergänzenden Stellungnahmen wirft der Chaos Computer Club dem BMI vor, aus Kostengründen Sicherheitsrisiken in Kauf zu nehmen. Auch der Bundesdatenschutzbeauftragte empfiehlt, die sichereren Kartenleser mit Tastatur einzusetzen. Kubicek weist jedoch auf ein daraus resultierendes Folgeproblem hin: der elektronische Identitätsnachweis muss barrierefrei sein, das heißt, er muss auch von Menschen mit Behinderungen nutzbar sein. Beim Einsatz der einfachen und riskanten Kartenleser erfolgt die Benutzung über die Tastatur und Blinde können ihre Vorleseprogramme, die so genannten Screen Reader, einsetzen. Bei den sichereren Kartenlesern mit eigener Tastatur geht dies nicht. Kubicek, der die Bremer Firma bremen online services dabei berät, den so genannten Bürgerclient, die Software für den elektronische Identitätsnachweis, barrierefrei zu machen, weist auf die Konsequenz hin: Mehr als 1 Mio. Blinde müssten die geschilderten Sicherheitsrisiken in Kauf nehmen, weil es für sie keine Alternative gibt. Er hat das BMI schon vor einem Jahr darauf hingewiesen, dass es bisher nur Kartenleser für Blinde für kontaktbehaftete Chipkarten gibt, aber nicht für kontaktlose RFID-Chips, und entsprechende Anforderungen oder Fördermaßnahmen angeregt.
Sicherer Ausweis macht Internet und Online-Transaktionen nicht generell sicherer
Kubicek wies in buten un binnen auf andere Probleme des neuen Personalausweises hin, die er aus einer gerade abgeschlossenen Studie von sieben ähnlichen Systemen in anderen europäischen Ländern ableitet. Dort habe sich gezeigt, dass die Anbieter von Online-Diensten die bisherigen Formen der Online-Registrierung und des Log-In mit Benutzername/Passwort oder PIN-TAN weiterhin anbieten und die Mehrheit der Nutzerinnen und Nutzer daher keinen Grund sieht, sich einen Kartenleser zuzulegen und die erforderliche Software zu installieren.
Im Zielkonflikt Sicherheit versus Bequemlichkeit entscheide sich die Mehrheit hier wie auch in vielen anderen Bereichen für die Bequemlichkeit. Auch die im deutschen System vorbildlichen Datenschutzregelungen werden daran nichts ändern. In dem im November erscheinenden Buch mit dem Titel „Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich“ (LIT-Verlag) zeigen Kubicek und sein Co-Autor Torsten Noack an konkreten Zahlen, dass die Verfahren der Online-Authentisierung in Schweden und Estland die höchsten Nutzungsraten bei elektronischen Steuererklärungen haben, jedoch gleichzeitig technisch niedrigere Sicherheitsstufen aufweisen und keine besonderen Datenschutzvorkehrungen beinhalten. Die erfolgreichen elektronischen Identitätsnachweise wurden in Kooperation mit den Banken eingeführt. In Deutschland sieht es derzeit nicht so aus, als würden die Banken den neuen Personalausweis für das Einloggen akzeptieren. Sie setzen auf die mobile TAN. Darin sieht Kubicek eine Quelle für Verunsicherung. Da der elektronische Identitätsnachweis auf dem neuen Personalausweis nur auf Antrag frei geschaltet wird, erwartet er, dass die meisten Personen abwarten und zumindest zunächst darauf verzichten. Erst wenn es attraktive Anwendungen gibt, die man nur mit dem neuen Ausweis nutzen kann, könnte sich das ändern.
Foto: ifib/Norbert Hayduk
Als ich vor einigen Tagen über Bemühungen des Open Data Network e.V. zur Befreiung deutscher Behördendaten berichtete, habe ich es versäumt, einige Worte zum Stand der Dinge in Bremen anzufügen. Das möchte ich kurz nachholen.
Die Freie Hansestadt Bremen ist dank des zentralen Informationsregisters für Bremen und Bremerhaven (http://www.informationsregister.bremen.de) anderen Verwaltungen in Sachen Informationsfreiheit einen großen Schritt voraus. In diesem Register werden amtliche Dokumente bereitgestellt, die nach dem Bremer Informationsfreiheitsgesetz (BremIFG) freigegeben sind. Mir wurde durch die Landesbeauftragte für Datenschutz und Informationsfreiheit und bremen.online bestätigt, dass sich der urheberrechtliche Schutz an den IFG-Dokumenten auf ein Änderungsverbot und die Pflicht zur Namensnennung der Behörde beschränkt (wohl Behandlung als “amtliche Werke, die im amtlichen Interesse zur allgemeinen Kenntnisnahme veröffentlicht worden sind” gemäß § 5 UrhG).
Gesetze, Verordnungen und Verwaltungsvorschriften, auf die im Informationsregister verwiesen wird, stehen leider nur unter restriktiveren Bedingungen im Gesetzesportal bereit, da die konsolidierten Fassungen durch den Verlag C.H. Beck erstellt werden.
Unter den Dokumenten im Register sind mehr als 1.000 PDFs aus Senat, Deputation und Ausschüssen. Die Veröffentlichung von elektronischen Dokumenten im Informationsregister ist in Bremen heute nichts Ungewöhnliches mehr (der Senator für Umwelt, Bau, Verkehr und Europa, die Senatorin für Finanzen und die SAFGJS - sind bisher die größten Inhaltslieferanten).
Dreißig im Register aufgeführte Geschäftsverteilungs-, Organisations- und Aktenpläne liegen nur in Papierform vor und lassen sich in der entsprechenden Behörde vor Ort einsehen.
Das Informationsregister ist eine großartige Quellensammlung für Journalisten, Wissenschaftler und Personen, die sich für detaillierte Verwaltungsinformationen zu einem bestimmten Thema interessieren.
Das Informationsfreiheitsgesetz könnte in einem nächsten Schritt als Katalysator für die offene Bereitstellung von Verwaltungsdaten wirken.
Bisher werden im IFG-Register überwiegend zum Lesen aufbereitete PDFs veröffentlicht, deren Inhalte teilweise nicht ohne Texterkennungs-Einsatz für Rechner auslesbar sind (es wurden zahlreiche Scans in Faxqualität eingestellt).
In Dokumenten enthaltene Daten sind derzeit nicht mit Zusatzinformationen zum maschinellen Auslesen und Verlinkungen versehen. Daher ist eine strukturierte Zusammenstellung enthaltener Daten - etwa zur Darstellung in einem neuen Kontext - und eine Weiterverwendung in Datenbanken wie CKAN (Comprehensive Knowledge Archive Network) unmöglich.
Die offene Bereitstellung von Daten mit Geobezug ist für verknüpfende Anwendungen besonders spannend und sollte vorangetrieben werden. (Als positives Beispiel kann ein Dokument mit Gauss-Krüger-Koordinaten für Fluglärmschutzzonen im Informationsregister genannt werden.)
Zudem sollte geprüft werden, wie die Datenbanken des Statistischen Landesamts Bremen sich mit den IFG-Informationen zusammenbringen lassen.
Vielleicht kann ja der eine oder andere dieser Gedanken noch im Rahmen der aktuellen Evaluierung des BremIFG eine Rolle spielen. A propos: Aktuelle Informationen zur IFG-Evaluierung gibt es am 5.7. in Schwerin, Anmeldungen beim Veranstalter sind noch bis zum 24.6.2010 möglich.
Foto: C. Hanken unter CC by-3.0-de - “Transparenz”
Update: Dieser Artikel ist am 13.08.2010 - mit Anpassungen - auch im Open Data Blog erschienen. http://opendata-network.org/2010/08/freier-informationszugang-in-bremen/
Am Wochenende konnte ich am ersten OpenData Hackday in Berlin teilnehmen. Das vom Open Data Network e.V. organisierte barcampartige Event am Veranstaltungsort der re:publica und re:campaign (Kalkscheune in Berlin) sollte Akteure zusammenführen, die daran interessiert sind, den Zugang zu offenen und gemeinfreien Verwaltungsinformationen zu verbessern. Die Veranstaltung richtete sich insbesondere an Programmierer, die sich damit beschäftigen, Verwaltungsdaten durch eigene Anwendungen und Visualisierungen für Bürger zu erschließen und in Form von Mashups neue Nutzungsmöglichkeiten auszuloten.
Da es in der Regel keinen direkten Zugang auf die bei Behörden gespeicherten Rohdaten gibt, müssen sich Anwendungen derzeit häufig mit dem Auslesen von Inhalten aus Webseiten behelfen (screen scraping auf Präsentationsebene). Ein solches Vorgehen kann jedoch in Konflikt mit dem Urheber- und Datenbankrecht stehen (Hören, Skriptum Internetrecht, Februar 2010, S. 124 ff.; Schulzki-Haddouti, KoopTech, 2008, Abschnitt 3.1.3.3) und ist - verglichen mit der Datenübergabe über vereinbarte Schnittstellen - fehleranfällig.
Die Arbeit mit Verwaltungsinformationen wäre deutlich einfacher, wenn mehr Behörden einige der folgenden Anregungen für die Veröffentlichung von Informationen aufgreifen würden (ähnlich auch Eaves, 2009):
- Gemeinfreie Inhalte der Öffentlichkeit bereitstellen,
- bei der Auftragsvergabe Veröffentlichung unter freien Lizenzen einfordern,
- bei der Veröffentlichung Probleme mit Rechten Dritter ausräumen,
- Rohdaten frei bereitstellen,
- strukturierte Datenformate nutzen und
- freie APIs zu Verfügung stellen.
Mittelfristig wünschenswert wäre sicherlich ein offizielles Datenportal der öffentlichen Verwaltungen in Deutschland auf Bundes-, Landes- und kommunaler Ebene. Planungen für ein solches Portal dürften in den Aufgabenbereich des IT-Planungsrats fallen.
Auf dem Hackday wurden bereits viele spannende Projekte vorgestellt und weiterentwickelt:
- Offene Daten (http://offenedaten.de - offene Daten der öffentlichen Verwaltung),
- Deutschland API (http://deutschland-api.de - Daten strukturiert und maschinenlesbar zur Verfügung stellen),
- Frankfurt gestalten (http://frankfurt-gestalten.de - lokale Partizipation in FFM),
- Mapnificent (http://mapnificent.de - Datenvisualisierung auf der Berliner Stadtkarte),
- Bundestagger (http://bundestagger.de - Dokumente des Deutschen Bundestags mit Zusatzinformationen anreichern) - und
- SteuernSteuern (http://steuernsteuern.org - interaktiver Bundeshaushalt),
um nur Beispiele herauszugreifen.
Auf den Weg gebracht wurde darüber hinaus der erste deutsche Apps4Democracy-Wettbewerb, der den Wettstreit um bürgerfreundliche Anwendungen vorantreiben soll. Der Wettbewerb der Ideen soll im Mai eröffnet werden.
Nebenbei nehmen meine Planungen für einen Sammelband zum Thema “Offene und freie Verwaltungs-Inhalte in Deutschland” konkrete Formen an. Weitere Anregungen nehme ich gern auf.
Seit einiger Zeit engagiert sich das eine oder andere Mitglied des ifib-Teams bei Barcamps oder bei Veranstaltungen, die an dieses Format angelehnt sind (u.a. IdentityCampBremen 2008, E-Government 2.0 Camp Berlin, SocialCamp, Socialbar Bremen). Was ist ein Barcamp? Ich möchte jetzt nicht auf die Herkunft des Namens eingehen (lässt sich bei Wikipedia nachlesen: http://de.wikipedia.org/wiki/BarCamp). Wichtiger ist es, einige wesentliche Merkmale dieser Veranstaltungsform zu skizzieren. Typischerweise werden auf einem Barcamp Themen aus dem Bereich Social Software (landläufig auch Web 2.0) behandelt. Es lassen sich Analogien zur Entwicklung freier, quelloffener Software ziehen. Ein Barcamp lebt von der Partizipation möglichst vieler engagierter Teilnehmerinnen und Teilnehmer. Die Trennung zwischen Publikum und Vortragenden soll - soweit möglich - aufgelöst werden. Die Initiatoren einer solchen offenen Veranstaltung setzen im Idealfall nur einen groben Rahmen und geben Anstöße für die Erledigung von organisatorischen Teilaufgaben durch andere Beteiligte. Es existiert kein Veranstaltungsprogramm, das monatelang vorher festgelegt wurde, vielmehr wird das Programm unter Beteiligung aller Teilnehmer im Netz vorbereitet (mit Hilfe eines Wikis) und ist selbst am Veranstaltungstag noch beweglich. Gemeinsam ist den Barcamps, dass Social-Media-Fachleute und -Begeisterte mit Fachleuten aus einem bestimmten Bereich nutzenbringend zusammengebracht werden sollen.
Das unter anderem vom ifib unterstützte Government 2.0 Camp in Berlin am 28.08.2009 kann als ein erfolgreicher Versuch angesehen werden, die Barcamp-Grundlagen auf eine Veranstaltung mit Vertretern aus Regierung und Behörden in Deutschland zu übertragen. Meiner Ansicht nach wurde ein guter Weg gefunden, partizipative Elemente in die Veranstaltungsorganisation einzubringen, ohne dabei die Gepflogenheiten im Umgang mit Verwaltungsvertretern völlig über Bord zu werfen. Dieser Kompromiss war notwendig, um nicht nur Social-Media-Fachleute und -Begeisterte in Berlin zu versammeln, sondern etwa auch das BMI für die Veranstaltung zu gewinnen. Das ausgewogene Mischungsverhältnis zwischen IT- bzw. Web-2.0-Spezialisten und Teilnehmern aus Behörden bildete eine gute Basis für Vernetzung und Austausch. Die spürbare Zutat Vertriebspersonal sehe ich als unvermeidbare Nebenerscheinung an, einen Ausverkauf des BarCamp-Formats kann ich hierin nicht erkennen. Es ist bemerkenswert, dass der Anteil von Teilnehmern aus der öffentlichen Verwaltung in Berlin größer war, als beim Government BarCamp in Washington 2008 (http://gov20camp.eventbrite.com), bei dem Teilnehmer vom “Capitol Hill” eher die Ausnahme waren (siehe Dokumentation bei IBM).
Auch wenn die Teilnehmer aus der öffentlichen Verwaltung sich häufig deutlich kritisch geäußert haben (etwa: “das käme ja einer Revolution gleich” oder “wenn wir die bewährten Strukturen übergehen, können die Kontrollmechanismen nicht mehr greifen") sind doch Samen für eine neue Verwaltungskultur gestreut worden. Die meisten Teilnehmer waren sich darüber einig, dass die Einführung neuer technischer Hilfsmittel sinnlos ist, solange sich nicht das Selbstverständnis der Verwaltung ändert.
Aus der großen Zahl der spannenden Sessions möchte ich das Thema “Kommunalverwaltung 2.0, Bürgerbeteiligung und die Rolle von Nonprofit-Organisationen auf kommunaler Ebene” herausgreifen (Folien bei Slideshare). Frau Dr. Brigitte Reiser, die sich seit längerem intensiv mit diesem Themenfeld befasst, hat deutlich gemacht, dass auch zivilgesellschaftliche Organisationen erheblich von den Beteiligungs- und Vernetzungpotentialen neuer technikgestützter Partizipationsmodelle profitieren können. Tatsächlich ist es unausweichlich, dass NGOs und NPOs ihre Verbindung zur Mitgliedsbasis verbessern und themenbezogene Kooperationen mit anderen Organisationen suchen, um zukunftsfähig zu bleiben. Ich habe diese Session herausgegriffen, da sie nahtlos zum Socialcamp am 3. und 4. Oktober in Berlin (http://www.socialcamp-berlin.de) überleitet. Hier sollen nicht Behörden, sondern gemeinnützige Organisationen im Mittelpunkt des Barcamps stehen.
Um den Austausch zwischen Internetexperten und Vertretern gemeinnütziger Organisationen lokal zu fördern, werden als Tochterveranstaltungen des Socialcamps so genannte Socialbars organisiert. Eine solche offene Veranstaltung im kleineren Rahmen bringt einen gewissen Stammtisch-Charakter mit sich. Es wird nicht vom Podium aus doziert, sondern die Teilnehmerinnen und Teilnehmer können - soweit möglich - gleichberechtigt interessante Social Software, Projekte, Kampagnen oder Kooperationsvorhaben vorstellen. Die erste Socialbar Bremen - http://www.socialbar-bremen.de - findet am 1. Oktober 2009 im Alten Fundamt, Auf der Kuhlen 1a, 28203 Bremen, statt. Vielleicht sind auch Sie dabei?
Logo: Socialbar Bremen unter CC
Themenbezogene ifib Publikationen:
Lippa / Trénel: E-Petitionen. Ein altes Recht im neuen Gewand
http://www.ifib.de/publikationsdateien/E-Petitionen_gov2.0_BarCamp_Lippa_Trenel.pdf
Hanken: E-Government 2.0, Freie Lizenzen und Informationsfreiheit
http://www.ifib.de/publikationsdateien/2009_09_Hanken_ifib.pdf
In seinem Blog verweist Hermann Hill von der Hochschule für Verwaltungswissenschaften in Speyer auf den Beitrag, den Daniela Berger, IT-Leiterin der Stadt Oldenburg, und ich kürzlich in Ausgabe 1/2009 der Schweizer Zeitschrift “eGov Präsenz” veröffentlicht haben. Darin haben wir unter anderem auf die Ergebnisse eines Workshops der Virtuellen Region Nordwest hingewiesen, bei dem sich gezeigt hat, dass Themen zum Wissensmanagement gegewärtig wieder steigende Bedeutung zugewiesen wird - auch wenn dieser Begriff angesichts mancher Enttäuschungen aus der Vergangenheit heute vielleicht nicht mehr so gerne gewählt wird. Hermann Hill geht in seinem Beitrag davon aus, dass die Erfahrungen mit dem einheitlichen Behördenruf D115, neue Formen der Bürgerpartizipation und auch die Bewältigung des demografischen Wandels für weitere Impulse in diese Richtung sorgen werden.
Nun gehören die Oldenburger Kolleginnen und Kollegen ja zu den ersten Kommunen, die sich dem D115-Verbund angeschlossen haben. Möglich war dies nur, weil sie bereits 2006 mit den Vorarbeiten für ihr Call Center, dort “ServiceCenter” genannt, begonnen haben. Seit Februar 2007 lief die Umsetzungsphase, im Sommer 2008 war das ServiceCenter schließlich einsatzbereit und konnte sich kurze Zeit später in den gerade startenden D115-Verbund integrieren. Die Oldenburger Erfahrungen sind äußerst lehrreich und zeigen einmal mehr, dass der Aufbau eines zentralen Call Centers in der Verwaltung mit einem tief greifenden Kulturwandel einhergehen muss. Wohltuend realistisch hat vor einiger Zeit der Leiter des Oldenburger ServiceCenters, Ingo Tulodetzki, bei einer Präsentation für interessierte Mitglieder der Virtuellen Region Nordwest darauf hingewiesen, dass nicht der Rummel um D115, sondern der Wunsch nach besserem Service und nach Prozessoptimierung Auslöser für die Einrichtung eines solchen ServiceCenters sein sollte. Werden die damit verbundenen Herausforderungen bewältigt, könne sich eine Kommune auch an D115 beteiligen.
Diese Sichtweise kann gar nicht oft und deutlich genug betont werden. Denn in der Praxis ist nur allzu oft die Tendenz anzutreffen, sich an publicityträchtigen Großprojekten zu beteiligen und die mühsame Veränderungsarbeit vor Ort zu vernachlässigen. Das gilt auch und gerade für das Thema Wissensmanagement.
Seite 1 von 4 1 2 3 > Letzte »
