Neuer Personalausweis bringt Nachteile für Blinde und macht das Internet nicht sicherer
Bremer Informatikprofessor Herbert Kubicek korrigiert ARD-Magazin Plusminus
Das ARD-Magazin Plusminus sorgte gestern (24.8.2010) durch eine Vorabveröffentlichung für Schlagzeilen, indem es den Nachweis von gravierenden Mängeln im Sicherheitssystem des ab November ausgegebenen neuen Personalausweises ankündigte. Für Betrüger sei es problemlos möglich, geheime Daten inklusive der PIN abzufangen. Dies habe ein mit dem Chaos Computer Club durchgeführter Test mit den vorgesehenen Basislesegeräten gezeigt.
In der Sendung buten un binnen vom 24.08.2010 stellte der Bremer Informatikprofessor Herbert Kubicek schon vor der Sendung klar, dass es sich bei dieser angeblichen Sicherheitslücke nicht um ein Problem des neuen Ausweises handelt, sondern um ein generelles Sicherheitsproblem von Online-Transaktionen und dass der Ausweis dieses Problem sehr wohl reduziere. Der von Plusminus gezeigte Test fand mit so genannten Basislesegeräten statt, die keine eigene Tastatur haben. Die PIN, die den Zugriff auf die Daten des Personalausweises freigibt, muss über die Tastatur des Computers eingegeben werden, an den das Lesegerät angeschlossen wird. Im Test wurde gezeigt, dass man mit einem Spionageprogramm die Eingaben der Tastatur und die Darstellungen auf dem Bildschirm abfangen und einsehen kann. Nicht erwähnt wurde, dass dies mit anderen Lesegeräten nicht der Fall ist, dass diese Spionageangriffe auch für die derzeitigen Verfahren des Identifizierens und Einloggens mit Benutzername und Passwort gelten und dass der neue Personalausweis demgegenüber das Missbrauchsrisiko deutlich reduziert.
Kubicek zeigt in buten un binnen neben dem kritisierten Kartenleser der Klasse B (Basic) einen Leser der Klasse S (Standard) mit eigener Tastatur (Foto in der Anlage). Damit wird die PIN direkt an den Server des Dienstleisters übertragen, bei dem man sich identifizieren will. Und selbst wenn die PIN abgefangen wird, so Kubicek, kann der Angreifer damit nichts anfangen, wenn er nicht gleichzeitig auch den Ausweis in seinen Besitz bringt. Denn in den neuen Online-Verfahren wird zunächst eine Verbindung zwischen dem Chip des Ausweises und dem Server hergestellt und dann erst nach der PIN gefragt. Der in der Plusminus-Sendung gemachte Hinweis, der Angreifer könne neben der PIN auch die Adresse des Inhabers in Erfahrung bringen und dann den Ausweis stehlen, erscheint etwas weit hergeholt. Das Risiko, dass auf dem häuslichen Rechner ein Spionageprogramm platziert wird, hält er zudem auch für gering, wenn regelmäßig ein Virenschutzprogramm aktualisiert wird. Wie bisher sollte man auch mit dem neuen Ausweis in fremden Umgebungen keine Online-Transaktionen mit PINs durchführen.
Weniger Sicherheit für Blinde
In der von Plusminus ausgelösten Diskussion wird das Problem inzwischen überwiegend auf die Angreifbarkeit der einfachen Kartenleser reduziert. In ergänzenden Stellungnahmen wirft der Chaos Computer Club dem BMI vor, aus Kostengründen Sicherheitsrisiken in Kauf zu nehmen. Auch der Bundesdatenschutzbeauftragte empfiehlt, die sichereren Kartenleser mit Tastatur einzusetzen. Kubicek weist jedoch auf ein daraus resultierendes Folgeproblem hin: der elektronische Identitätsnachweis muss barrierefrei sein, das heißt, er muss auch von Menschen mit Behinderungen nutzbar sein. Beim Einsatz der einfachen und riskanten Kartenleser erfolgt die Benutzung über die Tastatur und Blinde können ihre Vorleseprogramme, die so genannten Screen Reader, einsetzen. Bei den sichereren Kartenlesern mit eigener Tastatur geht dies nicht. Kubicek, der die Bremer Firma bremen online services dabei berät, den so genannten Bürgerclient, die Software für den elektronische Identitätsnachweis, barrierefrei zu machen, weist auf die Konsequenz hin: Mehr als 1 Mio. Blinde müssten die geschilderten Sicherheitsrisiken in Kauf nehmen, weil es für sie keine Alternative gibt. Er hat das BMI schon vor einem Jahr darauf hingewiesen, dass es bisher nur Kartenleser für Blinde für kontaktbehaftete Chipkarten gibt, aber nicht für kontaktlose RFID-Chips, und entsprechende Anforderungen oder Fördermaßnahmen angeregt.
Sicherer Ausweis macht Internet und Online-Transaktionen nicht generell sicherer
Kubicek wies in buten un binnen auf andere Probleme des neuen Personalausweises hin, die er aus einer gerade abgeschlossenen Studie von sieben ähnlichen Systemen in anderen europäischen Ländern ableitet. Dort habe sich gezeigt, dass die Anbieter von Online-Diensten die bisherigen Formen der Online-Registrierung und des Log-In mit Benutzername/Passwort oder PIN-TAN weiterhin anbieten und die Mehrheit der Nutzerinnen und Nutzer daher keinen Grund sieht, sich einen Kartenleser zuzulegen und die erforderliche Software zu installieren.
Im Zielkonflikt Sicherheit versus Bequemlichkeit entscheide sich die Mehrheit hier wie auch in vielen anderen Bereichen für die Bequemlichkeit. Auch die im deutschen System vorbildlichen Datenschutzregelungen werden daran nichts ändern. In dem im November erscheinenden Buch mit dem Titel Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich (LIT-Verlag) zeigen Kubicek und sein Co-Autor Torsten Noack an konkreten Zahlen, dass die Verfahren der Online-Authentisierung in Schweden und Estland die höchsten Nutzungsraten bei elektronischen Steuererklärungen haben, jedoch gleichzeitig technisch niedrigere Sicherheitsstufen aufweisen und keine besonderen Datenschutzvorkehrungen beinhalten. Die erfolgreichen elektronischen Identitätsnachweise wurden in Kooperation mit den Banken eingeführt. In Deutschland sieht es derzeit nicht so aus, als würden die Banken den neuen Personalausweis für das Einloggen akzeptieren. Sie setzen auf die mobile TAN. Darin sieht Kubicek eine Quelle für Verunsicherung. Da der elektronische Identitätsnachweis auf dem neuen Personalausweis nur auf Antrag frei geschaltet wird, erwartet er, dass die meisten Personen abwarten und zumindest zunächst darauf verzichten. Erst wenn es attraktive Anwendungen gibt, die man nur mit dem neuen Ausweis nutzen kann, könnte sich das ändern.
Foto: ifib/Norbert Hayduk
Gesendet von Norbert Hayduk
Zuordnungen:
Kommentare •
Nachrichten •
Öffentliche Verwaltung •
E-Government •
(0) Kommentare • Permalink
E-mail
Facebook
Twitter
Google Bookmarks
Del.icio.us
Mister WongSuche
Letzte Einträge
- Beteiligung am Dialog der Kanzlerin über die Zukunft der Bürgerbeteiligung
- DeLFI 2011 & LOG IN: Organisationslücken bei der Implementierung von E-Learning in Schulen
- ifib consult an Dataport-Rahmenvertrag für E-Government im Norden beteiligt
- e2democracy-Projekt auf internationaler Konferenz „Nachhaltiger Konsum“
- IT-Innovationen bewegen Schulträger
Kategorien
Archiv
Weiterverbreitung der Inhalte
Die im Weblog veröffentlichten Inhalte stehen, soweit nicht anders gekennzeichnet, unter der Creative Commons Lizenz Namensnennung-NichtKommerziell-KeineBearbeitung 3.0 Deutschland.Der zu nennende Name ist ifib GmbH.
Zum Webauftritt des ifib
© 2008 XHTML . CSS .
Powered by ExpressionEngine
ifib: Institut für Informationsmanagement Bremen GmbH
Am Fallturm 1, 28359 Bremen
Tel: 0421 218-56590, Fax: 0421 218-56599, info@ifib.de