Bremer Informatikprofessor Herbert Kubicek korrigiert ARD-Magazin Plusminus
Das ARD-Magazin Plusminus sorgte gestern (24.8.2010) durch eine Vorabveröffentlichung für Schlagzeilen, indem es den Nachweis von gravierenden Mängeln im Sicherheitssystem des ab November ausgegebenen neuen Personalausweises ankündigte. Für Betrüger sei es problemlos möglich, geheime Daten inklusive der PIN abzufangen. Dies habe ein mit dem Chaos Computer Club durchgeführter Test mit den vorgesehenen Basislesegeräten gezeigt.
In der Sendung buten un binnen vom 24.08.2010 stellte der Bremer Informatikprofessor Herbert Kubicek schon vor der Sendung klar, dass es sich bei dieser angeblichen Sicherheitslücke nicht um ein Problem des neuen Ausweises handelt, sondern um ein generelles Sicherheitsproblem von Online-Transaktionen und dass der Ausweis dieses Problem sehr wohl reduziere. Der von Plusminus gezeigte Test fand mit so genannten Basislesegeräten statt, die keine eigene Tastatur haben. Die PIN, die den Zugriff auf die Daten des Personalausweises freigibt, muss über die Tastatur des Computers eingegeben werden, an den das Lesegerät angeschlossen wird. Im Test wurde gezeigt, dass man mit einem Spionageprogramm die Eingaben der Tastatur und die Darstellungen auf dem Bildschirm abfangen und einsehen kann. Nicht erwähnt wurde, dass dies mit anderen Lesegeräten nicht der Fall ist, dass diese Spionageangriffe auch für die derzeitigen Verfahren des Identifizierens und Einloggens mit Benutzername und Passwort gelten und dass der neue Personalausweis demgegenüber das Missbrauchsrisiko deutlich reduziert.
Kubicek zeigt in buten un binnen neben dem kritisierten Kartenleser der Klasse B (Basic) einen Leser der Klasse S (Standard) mit eigener Tastatur (Foto in der Anlage). Damit wird die PIN direkt an den Server des Dienstleisters übertragen, bei dem man sich identifizieren will. Und selbst wenn die PIN abgefangen wird, so Kubicek, kann der Angreifer damit nichts anfangen, wenn er nicht gleichzeitig auch den Ausweis in seinen Besitz bringt. Denn in den neuen Online-Verfahren wird zunächst eine Verbindung zwischen dem Chip des Ausweises und dem Server hergestellt und dann erst nach der PIN gefragt. Der in der Plusminus-Sendung gemachte Hinweis, der Angreifer könne neben der PIN auch die Adresse des Inhabers in Erfahrung bringen und dann den Ausweis stehlen, erscheint etwas weit hergeholt. Das Risiko, dass auf dem häuslichen Rechner ein Spionageprogramm platziert wird, hält er zudem auch für gering, wenn regelmäßig ein Virenschutzprogramm aktualisiert wird. Wie bisher sollte man auch mit dem neuen Ausweis in fremden Umgebungen keine Online-Transaktionen mit PINs durchführen.
Weniger Sicherheit für Blinde
In der von Plusminus ausgelösten Diskussion wird das Problem inzwischen überwiegend auf die Angreifbarkeit der einfachen Kartenleser reduziert. In ergänzenden Stellungnahmen wirft der Chaos Computer Club dem BMI vor, aus Kostengründen Sicherheitsrisiken in Kauf zu nehmen. Auch der Bundesdatenschutzbeauftragte empfiehlt, die sichereren Kartenleser mit Tastatur einzusetzen. Kubicek weist jedoch auf ein daraus resultierendes Folgeproblem hin: der elektronische Identitätsnachweis muss barrierefrei sein, das heißt, er muss auch von Menschen mit Behinderungen nutzbar sein. Beim Einsatz der einfachen und riskanten Kartenleser erfolgt die Benutzung über die Tastatur und Blinde können ihre Vorleseprogramme, die so genannten Screen Reader, einsetzen. Bei den sichereren Kartenlesern mit eigener Tastatur geht dies nicht. Kubicek, der die Bremer Firma bremen online services dabei berät, den so genannten Bürgerclient, die Software für den elektronische Identitätsnachweis, barrierefrei zu machen, weist auf die Konsequenz hin: Mehr als 1 Mio. Blinde müssten die geschilderten Sicherheitsrisiken in Kauf nehmen, weil es für sie keine Alternative gibt. Er hat das BMI schon vor einem Jahr darauf hingewiesen, dass es bisher nur Kartenleser für Blinde für kontaktbehaftete Chipkarten gibt, aber nicht für kontaktlose RFID-Chips, und entsprechende Anforderungen oder Fördermaßnahmen angeregt.
Sicherer Ausweis macht Internet und Online-Transaktionen nicht generell sicherer
Kubicek wies in buten un binnen auf andere Probleme des neuen Personalausweises hin, die er aus einer gerade abgeschlossenen Studie von sieben ähnlichen Systemen in anderen europäischen Ländern ableitet. Dort habe sich gezeigt, dass die Anbieter von Online-Diensten die bisherigen Formen der Online-Registrierung und des Log-In mit Benutzername/Passwort oder PIN-TAN weiterhin anbieten und die Mehrheit der Nutzerinnen und Nutzer daher keinen Grund sieht, sich einen Kartenleser zuzulegen und die erforderliche Software zu installieren.
Im Zielkonflikt Sicherheit versus Bequemlichkeit entscheide sich die Mehrheit hier wie auch in vielen anderen Bereichen für die Bequemlichkeit. Auch die im deutschen System vorbildlichen Datenschutzregelungen werden daran nichts ändern. In dem im November erscheinenden Buch mit dem Titel Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich (LIT-Verlag) zeigen Kubicek und sein Co-Autor Torsten Noack an konkreten Zahlen, dass die Verfahren der Online-Authentisierung in Schweden und Estland die höchsten Nutzungsraten bei elektronischen Steuererklärungen haben, jedoch gleichzeitig technisch niedrigere Sicherheitsstufen aufweisen und keine besonderen Datenschutzvorkehrungen beinhalten. Die erfolgreichen elektronischen Identitätsnachweise wurden in Kooperation mit den Banken eingeführt. In Deutschland sieht es derzeit nicht so aus, als würden die Banken den neuen Personalausweis für das Einloggen akzeptieren. Sie setzen auf die mobile TAN. Darin sieht Kubicek eine Quelle für Verunsicherung. Da der elektronische Identitätsnachweis auf dem neuen Personalausweis nur auf Antrag frei geschaltet wird, erwartet er, dass die meisten Personen abwarten und zumindest zunächst darauf verzichten. Erst wenn es attraktive Anwendungen gibt, die man nur mit dem neuen Ausweis nutzen kann, könnte sich das ändern.
Foto: ifib/Norbert Hayduk
Weitere Beiträge zum Thema: E-Government Zuordnung: Kommentare • Nachrichten Adressaten: Öffentliche Verwaltung
(0) Kommentare • Permalink
IMKI und ifib erforschen gemeinsam “mediatisierte Welten”.
Dass sich unsere gegenwärtige Kultur und Gesellschaft mit dem aktuellen Medienwandel durch die Digitalisierung nachhaltig wandelt, erleben wir alle täglich. Doch welche Veränderungen sind dies genau? Und wie sind diese zu bewerten? Dies soll im Schwerpunktprogramm “Mediatisierte Welten: Kommunikation im medialen und gesellschaftlichen Wandel” in den kommenden sechs Jahren untersucht werden. Eingerichtet wurde das Programm von der Deutschen Forschungsgemeinschaft (DFG) auch auf Anregung des IMKI (Institut für Medien, Kommunikation und Information) der Universität Bremen. An der nun beginnenden Forschung des Schwerpunktprogramms ist die Universität Bremen mit zwei Forschungsprojekten im Gesamtumfang von über 450.000 Euro in den kommenden beiden Jahren beteiligt. Erforscht wird die Veränderung des Gemeinschaftslebens von jungen Erwachsenen mit der Verbreitung von Web 2.0 bzw. Handy und der Wandel der Kommunikation mit digitalen Medien in der Schule.
Das von Prof. Dr. Andreas Hepp (IMKI) geleitete Forschungsprojekt “Mediatisierte Alltagswelten translokaler Vergemeinschaftung” befasst sich damit, wie digital natives ortsübergreifend Gemeinschaft erleben. Als digital natives werden Jugendliche und junge Erwachsene bezeichnet, die mit digitalen Medien aufgewachsen sind. Ziel des Projekts ist es, deren alltagsweltliche Vernetzung und Gemeinschaftsbildung durch Medien zu untersuchen. Im Mittelpunkt der Forschung steht folgende Frage: Welche neuen Formen von ortsübergreifender Vergemeinschaftung ermöglichen digitale Medien? Und haben die dabei bestehenden Vergemeinschaftungen wie Autorengruppen von Wikipedia, Fangruppen/Followers in Facebook oder Twitter bzw. ähnliche webbasierte Vergemeinschaftungen wirklich das zivilgesellschaftliche Potenzial, das ihnen immer unterstellt wird?
In dem von Prof. Dr. Andreas Breiter am Institut für Informationsmanagement Bremen (ifib) geleiteten Forschungsprojekt “Mediatisierte Organisationswelten in Schulen” geht es um den möglichen Wandel von Schulen zu Netzwerkorganisationen. Mit der zunehmenden Verbreitung digitaler Medien in der Schule sind große Erwartungen verknüpft, die sich bisher aber nur teilweise erfüllt haben. Ziel des Projektes ist es, die Mediatisierungsprozesse in Schulen zu erforschen. Im Vordergrund stehen dabei Fragen, die sich mit den organisatorischen Rahmenbedingungen in der Schule beschäftigen: Wie verändert sich die Schule, wenn das Kollegium, die Schulverwaltung und die Kommunikation zwischen Lehrenden und Lernenden zunehmend über digitale Medien organisiert ist? Und welche Chancen und Risiken sind damit verbunden?
Mit den beiden geförderten Projekten wird die seit Jahren erfolgreiche Forschung am Institut für Medien, Kommunikation und Information (IMKI) der Universität Bremen und am Institut für Informationsmanagement Bremen (ifib) zum aktuellen Medien- und Kommunikationswandel fortgeführt. Die Beteiligung an der Einrichtung des Schwerpunktprogramms “Mediatisierte Welten” wie auch die nun erfolgreichen Projekteinwerbungen unterstreichen dabei die Qualität der bisher geleisteten Arbeit.
Weitere Beiträge zum Thema: Neue Medien und Schulentwicklung Zuordnung: Nachrichten • Projekte Adressaten: Schulen und Schulträger
(0) Kommentare • Permalink
© 2008 XHTML . CSS .
Powered by ExpressionEngine