diff options
-rw-r--r-- | updates/2013/epa-mit-virenschutzprogramm.md | 148 |
1 files changed, 148 insertions, 0 deletions
diff --git a/updates/2013/epa-mit-virenschutzprogramm.md b/updates/2013/epa-mit-virenschutzprogramm.md new file mode 100644 index 00000000..7a4d276d --- /dev/null +++ b/updates/2013/epa-mit-virenschutzprogramm.md | |||
@@ -0,0 +1,148 @@ | |||
1 | title: Trügerische Sicherheit: Der elektronische Personalausweis | ||
2 | date: 2013-09-15 20:52:00 | ||
3 | updated: 2013-09-16 06:58:37 | ||
4 | author: henning | ||
5 | tags: update, pressemitteilung | ||
6 | |||
7 | Auf die Frage, was uns alle die zwangsweise biometrische Vermessung für von Sicherheitslücken betroffenen Rohrkrepierer "elektronischer Personalausweis" kostet, hat die Bundesregierung nun einige Angaben gemacht. Zu den technischen Details der Antworten nimmt der Chaos Computer Club (CCC) hiermit Stellung. | ||
8 | |||
9 | <!-- TEASER_END --> | ||
10 | |||
11 | Die Marketing-Abteilungen der üblichen Industrie-Verdächtigen haben dem | ||
12 | Bundesministerium des Innern (BMI) einige Stichworte aufgeschrieben, um | ||
13 | kritische Nachfragen des Abgeordneten Jan Korte (Die Linke) zur | ||
14 | Sicherheit und zu den Kosten des elektronischen Ausweises (ePA) zu | ||
15 | parieren. Heraus kamen einige Aussagen, die wir nicht unkommentiert | ||
16 | lassen wollen: | ||
17 | |||
18 | Das BMI behauptet, es gäbe seit der Einführung des ePA "keinerlei | ||
19 | Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm | ||
20 | gespeicherten Daten hervorrufen". Ob Zweifel nicht doch angebracht | ||
21 | wären, sei dahingestellt. \[6\] Daß bisher keine Fälle bekanntgeworden | ||
22 | sind, ist im Umkehrschluß kein Beweis dafür, daß der im ePA verwendete | ||
23 | Chip nicht bereits geöffnet, reverse engineered und geklont worden wäre. | ||
24 | |||
25 | Das Reverse Engineering von Sicherheitschips ist ein ausgesprochen | ||
26 | angesagtes Forschungs- und Interessensgebiet. Daß der im ePA verwendete | ||
27 | Chip dran glauben wird, ist somit nur eine Frage der Zeit. Wohl nur das | ||
28 | Desinteresse von Ausweisbesitzern und Unternehmen, die neuen Funktionen | ||
29 | des ePA zu nutzen, kann erklären, warum bisher keine entsprechenden | ||
30 | Ergebnisse publiziert wurden. | ||
31 | |||
32 | Das unter Internetvollprofi Hans-Peter Friedrich irrlichternde | ||
33 | Ministerium argumentiert außerdem, die vom Ausweis übertragenen | ||
34 | Informationen seien "mit dauerhaft wirksamen \[...\] | ||
35 | Verschlüsselungsverfahren sicher geschützt". Wie "dauerhaft" ein | ||
36 | Verschlüsselungsverfahren Daten sichert, muß nicht nur angesichts der | ||
37 | Snowden-Enthüllungen und der bekanntgewordenen Angriffe verschiedener | ||
38 | Geheimdienste auf die Sicherheit kryptographischer Anwendungen neu | ||
39 | bewertet werden, sondern auch anhand der kryptographischen Forschung. | ||
40 | \[3\] Die Haltbarkeit von Schlüssellängen verschiedener Verfahren erwies | ||
41 | sich in der gesamten Geschichte der Kryptographie stets als wenig | ||
42 | "dauerhaft". | ||
43 | |||
44 | Den Vogel schießt das BMI allerdings mit der Behauptung ab, der Bürger | ||
45 | könne sich doch "durch regelmäßige Aktualisierung des Betriebssystems, | ||
46 | ein aktuelles Virenschutzprogramm sowie eine Firewall schützen". Diese | ||
47 | Behauptung ist nicht nur vielfach widerlegt, \[4\] sondern schiebt die | ||
48 | Verantwortlichkeit einfach auf den Bürger ab – ganz so wie der | ||
49 | Noch-Ministeriumschef statt Maßnahmen gegen NSA und GCHQ lieber zur | ||
50 | Verschlüsselung der eigenen E-Mails rät. | ||
51 | |||
52 | Moderne Schadsoftware wird oft nicht von Antiviren-Programmen und | ||
53 | anderem Snake-Oil erkannt. Und wie eine Firewall gegen einen Keylogger | ||
54 | helfen soll, möge das BMI bitte erst einmal erklären. Daß es aber | ||
55 | möglich ist, unentdeckbare Spionagesoftware – beispielsweise auf dem | ||
56 | Rechner eines Beschuldigten, der mit einem Staatstrojaner ausspioniert | ||
57 | werden soll – zu verankern, sollte das BMI mittlerweile wissen. Immerhin | ||
58 | nimmt es sich selber vor, das "Risiko einer Entdeckung \[des | ||
59 | Staatstrojaners\] durch geeignete technische Maßnahmen so gering wie | ||
60 | möglich" zu halten. \[5\] | ||
61 | |||
62 | Eine bereits entlarvte Desinformation wiederholt das BMI ebenfalls: "Der | ||
63 | Ausweis kann also bei Kenntnis der PIN nur missbraucht werden, wenn er | ||
64 | selber zur Verfügung stünde (z. B. gestohlen wird) und die eID noch | ||
65 | nicht im Sperrregister gesperrt wurde." Zwar ist derzeit noch kein | ||
66 | Verfahren publiziert, wie ein ePA-Chip (zerstörungsfrei) geklont werden | ||
67 | kann. Allerdings ignoriert des BMI folgendes praktisches Szenario: Ein | ||
68 | Angreifer kann den kompletten Kartenleser inklusive des daraufliegenden | ||
69 | ePA aus der Ferne übernehmen. \[4\], \[7\] Es mag sein, daß die | ||
70 | Voraussetzungen für einen erfolgreichen breiten Angriff nur | ||
71 | eingeschränkt vorhanden sind. Dennoch bestehen diese Risiken und sollten | ||
72 | den ePA-Nutzern nicht weiterhin verschwiegen werden. | ||
73 | |||
74 | Das BMI erspart uns auch nicht den Blümschen Imperativ: "Die | ||
75 | Online-Ausweisfunktion ist sicher." Das Ministerium attestiert dem | ||
76 | System weiterreichende Sicherheit als das bloße Verwenden veränderbarer | ||
77 | Paßwörter. In Wahrheit wird aber gerade keine Rechtssicherheit | ||
78 | hergestellt, obwohl mit dem ePA autorisierte Transaktionen rechtlich | ||
79 | bindend sein sollen. Immerhin soll die Online-Ausweisfunktion gerade | ||
80 | davor schützen, was Botnetze zehntausendfach ausnutzen: Nach der | ||
81 | Übernahme der Kontrolle eines Rechners ist dieser prinzipiell nicht mehr | ||
82 | vertrauenswürdig. Auch bei den Angriffen gegen das Online-Banking werden | ||
83 | oft nicht die Paßwörter geklaut, sondern die Transaktionen im Browser | ||
84 | manipuliert. Gegen solche in Echtzeit durchgeführten Angriffe während | ||
85 | elektronischer Transaktionen schützt der ePA eben gerade nicht. | ||
86 | Schlimmer noch: Der Benutzer wägt sich in trügerischer Sicherheit. | ||
87 | |||
88 | Daß der Schutz gegen den "zunehmenden Identitätsdiebstahl im Internet", | ||
89 | wie die Antwort des BMI behauptet, "wirksam" sei, ließe sich widerlegen, | ||
90 | wenn die Technologie tatsächlich mal für irgendwas Relevantes genutzt | ||
91 | würde. Im Rahmen einer Anhörung \[2\] der Internet-Enquête des Deutschen | ||
92 | Bundestages attestierte der geladene Sachverständige des CCC, Thorsten | ||
93 | Schröder, dem System, daß es den Identitätsdiebstahl erst begünstige. | ||
94 | Zuvor hatte Kriminalhauptkommissar Mirko Manske (BKA) ausgeführt, daß | ||
95 | insbesondere der Identitätsdiebstahl eine besonders große Rolle in der | ||
96 | Internet-Kriminalität spiele. Manske bestätigte Schröders Ausführungen | ||
97 | und bemerkte zur Manipulation von Transaktionen in Echtzeit, daß sich | ||
98 | nicht mehr die Frage stelle, ob jemand eine Transaktion durchgeführt | ||
99 | habe, sondern ob die getätigte Transaktion wirklich die gewesen sei, die | ||
100 | er auslösen wollte. Durch die einmalige Identifizierung werde | ||
101 | fälschlicherweise eine Sicherheit vorgegaukelt, so Manske. | ||
102 | |||
103 | Die Gefahr durch die Einführung des ePA (im Behördenslang: nPA) besteht | ||
104 | nicht durch die zugrundeliegende Technik selbst, sondern durch die | ||
105 | mangelhafte Aufklärung und Sensibilisierung der Nutzer durch das BMI | ||
106 | hinsichtlich der Risiken, die durch diese Verfahren unausweichlich | ||
107 | vorhanden sind. Anstatt sich der Problematik zu stellen und die Risiken | ||
108 | durch Aufklärung zu minimieren, setzt das BMI offenbar auf staatlich | ||
109 | behauptete IT-Sicherheit und erklärt dem Trend der Zeit folgend das | ||
110 | ePA-Sicherheitsproblem für beendet. | ||
111 | |||
112 | Allein die Einführung des elektronischen Ausweises hat bis Ende 2011 | ||
113 | über 16 Millionen Euro gekostet, zusätzlich zu den 41 Millionen Euro für | ||
114 | das irreführende Online-Ausweis-Marketing. Ende des Jahres dürfen wir | ||
115 | vielleicht erfahren, was die Gesamtkosten des ePA-Experiments sind: Am | ||
116 | 30. Dezember soll der Rechnungsprüfungsausschuß über die Ausgaben | ||
117 | informiert werden. | ||
118 | |||
119 | Anders als beim biometrischen Gesichtsbild ist die Abgabe der | ||
120 | Finderabdrücke für den ePA freiwillig, genauso wie das Aktivieren der | ||
121 | Online-Ausweisfunktion. Ein einfaches Nein genügt. | ||
122 | |||
123 | Links: | ||
124 | |||
125 | - \[1\] [Antwort des Bundesministeriums des Innern auf die | ||
126 | schriftliche Frage des Abgeordneten Jan Korte (Die Linke) vom 9. | ||
127 | September](http://ccc.de/system/uploads/137/original/ePA-antwort.pdf) | ||
128 | (pdf) | ||
129 | - \[2\] Enquête-Kommission Internet und digitale Gesellschaft, | ||
130 | Projektgruppe Zugang, Struktur und Sicherheit im Netz, [Protokoll | ||
131 | des öffentlichen | ||
132 | Expertengesprächs](http://www.bundestag.de/internetenquete/dokumentation/Zugang_Struktur_und_Sicherheit_im_Netz/PGZustrSi_2011-11-28_oeffentliches_Expertengespraech/PGZuStSi_2011-11-28_Expertengespraech_Protokoll.pdf), 28. | ||
133 | November 2011 | ||
134 | - \[3\] <http://www.keylength.com/> | ||
135 | - \[4\] Chaos Computer Club (2010): [Praktische Demonstration | ||
136 | erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem | ||
137 | elektronischen | ||
138 | Personalausweis](http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa) | ||
139 | - \[5\] Siehe auch: | ||
140 | <http://www.bmi.bund.de/SharedDocs/FAQs/DE/Themen/Sicherheit/Datenschutz/Online_Durchsuchungen.html> | ||
141 | - \[6\] ["Die gesamte Technik ist sicher" – Besitz und Wissen: | ||
142 | Relay-Angriffe auf den neuen | ||
143 | Personalausweis](https://events.ccc.de/congress/2010/Fahrplan/events/4297.en.html) | ||
144 | - \[7\] [Basisleser weiterhin kritische Schwachstelle des | ||
145 | elektronischen | ||
146 | Personalausweises](https://netzpolitik.org/2013/basisleser-weiterhin-kritische-schwachstelle-des-elektronischen-neuen-personalausweises/) | ||
147 | |||
148 | Weitere Informationen: [https://www.ccc.de/de/biometrie](/de/biometrie) | ||