Fragen? Antworten! Siehe auch: Alternativlos
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Und man braucht dafür nur IE9 (HAHA) oder Firefox 10 ESR (HAHAHA) mit einem installierten Plugin der AusweisApp (HAHAHAHAHAHAHAHAHAHA). Und der größte Kracher kommt dann am Ende:
Im Regelbetrieb will die Firma Zertifikate mit unterschiedlicher Gültigkeit zwischen 5 Minuten und vier Jahren anbieten. Die kurzlebigen Varianten wurden bereits als "Einmalzertifikate" angekündigt. Sie sollen das digitale Signieren populärer machen, die Kosten dafür könnten Behörden oder Unternehmen statt des Endkunden übernehmen.Ja nee klar, kei-nes-falls kommt das dann via Steuer oder Preisaufschlägen am Ende doch von Endkunden!1!! Für wie blöde halten die uns eigentlich da bei der Bundesdruckerei? Vielleicht hätten die mal beim Drucken bleiben sollen und die Finger von diesem ganzen neumodischen IT-Kram lassen sollen.
Für Martin Schallbruch, IT-Direktor im Bundesministerium ist die Sache eindeutig. Nach seiner Einschätzung kommt der Ausweis gut an und hat sich nach überwundenen Anfangsschwierigkeiten als "universelles Werkzeug für verlässliche Identifikation im Netz bewährt".Was die da wohl auf die Schnittchen fürs Innenministerium drauftun?
Wer sich jetzt fragt, was die da so an Erfolgen vorzubringen haben:
Die mit großem Abstand beliebteste Anwendung des nPA ist der Abruf des Punktekontos beim Verkehrszentralregister in Flensburg.Aus offensichtlichen Gründen sagen sie nicht dazu, wie viele solche Abrufe es dann so gab. Wenn ich tippen sollte, würde ich drei- bis vierstellig tippen. Nee, nicht pro Tag. Insgesamt.
Völlig klar, bei so einem Koks-PR-Free-for-All muss auch Bitkom mit am Start sein, und tatsächlich haben sie einen schönen Schenkelklopfer beizutragen:
Zwar spricht der Bitkom in seiner Bilanz davon, dass der Ausweis eine positive Resonanz erfährt, doch die Zahlen der Bitkom-Umfrage nach einem Jahr nPA sind nicht so positiv: 45 Prozent der Bundesbürger stehen der "wichtigsten Karte" positiv gegenüber, 44 Prozent lehnen sie ab und zehn Prozent wissen nicht, was sie von der Technologie halten sollen.Also wenn DAS keine positive Resonanz ist, dann weiß ich auch nicht!1!! Wie lange sie wohl die Umfrage wiederholen mussten, bis mehr dafür als dagegen waren?
Einen Kracher habe ich noch:
Außerdem arbeite [die DATEV] an einer schlanken Alternative zur AusweisApp, heißt es aus Nürnberg.Wenn sogar der DATEV die AusweissApp zu bloatig ist, … whoa. Mein Popcorn ist alle.
Falls sich noch jemand fragt, mit welchen fiesen Tricks sie die Bürger dazu zwingen sollen, diesen nPA-Müll einzusetzen:
Eine weitere Anwendung ist der Zugriff auf Smart Meter über ein Gateway. Detaildaten über den aktuellen Stromverbrauch werden nur ausgegeben, wenn sich der Stromkunde mit seinem Ausweis identifiziert hat.Das passt ja mal wieder alles wie Arsch auf Eimer.
Aber wartet, das ist ja nur der existierende Ausweis. Das geht ja alles noch viel übler. Guckt euch mal an, was die so für die Zukunft planen:
Auch soll eine biometrische Aufzeichnung der Unterschrift eingebaut werden, die Druckstärke und Schreibschwünge misst, damit die Unterschrift wirklich fälschungssicher wird.Geht's noch?!Ferner wird laut Hamann ein DNA-Sensor in der Ausführung als Micro-TAS-Chip (micro total analysis-System) mit subkutaner Probeentnahme bereits erprobt. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten "neuen" Personalausweises die Massenfahndung und -auswertung von DNA-Daten entscheidend erleichtern, hieß es unter Verweis auf Polizeiwünsche.
BMI-Referatsleiter Andreas Reisen erklärte, dass die Einführung des neuen Personalausweises erfolgreich verlaufe. Dass exakt am ersten Tag der Einführung eine Sicherheitslücke in der Update-Funktion der AusweisApp bekannt wurde, erklärte Reisen damit, dass dieses Wissen um die Lücke von Kritikern offenbar zurückgehalten wurde: "Das war eine inszenierte Sache."Äh, … zurückgehalten? Wann hätten sie die Lücke denn finden und publizieren sollen, ne Woche vor Release der App?
Mann Mann Mann. Die BESTEN der BESTEN der BESTEN, SIR!
Für die Nutzung der AusweisApp, die Anfang Januar zum Dowload zur Verfügung stehen soll, verteilen zwei Computerzeitschriften "Freikarten" in Form von Kartenlesern und Gutscheinen. Für diesen Service erhalten sie nach Auskunft des Bundesinnenministeriums 792.540,00 Euro. Eine Zeitschrift liefert mit ihrer DVD-Ausgabe 400.000 Basiskartenleser von Reiner SCT an den Kiosk. Dafür bekommt Reiner SCT die 35 Euro, die der Kartenleser kostet, was sich auf 14 Millionen Euro addiert. Weitere 1.864.800,00 Euro erhält die Firma für Service und Support.Und es geht noch weiter mit den Millionen.
Was ich an der Stelle mal hervorheben will: der Heise-Verlag legt keine schrottigen Basisleser bei. Das finde ich angesichts der Zahlen, was man da für Geldberge von der Regierung für diese Propagandamaßnahme kriegt, hoch anständig finde. Denn die Geräte, die da verteilt werden, sind Basisleser, d.h. ohne Keypad, d.h. per Trojaner angreifbar. Da hat sich die c't offensichtlich entschieden, lieber das Geld nicht zu nehmen und den Lesern kein Snake Oil reinzudrücken.
"Wenn Sie ein Basis-Kartenlesegerät ohne eigene Tastatur in Verbindung mit der AusweisApp verwenden und sich nicht sicher sind, ob Ihr Computer frei von Schadsoftware ist, nutzen Sie zur Eingabe der PIN die in der AusweisApp integrierte Bildschirmtastatur." Als ob man Mausklicks nicht mit einer Spionagesoftware abfangen kann.Das ist ja schonmal ein echter Schenkelklopfer, aber die haben auch ihre Ops verkackt:
"Wäre das hier eine Bank, dann würde ich sofort die Bank wechseln. Die Dinger sind unglaublich langsam. Heute morgen wurde die Warnung rumgeschickt, nicht alle Geräte auf einmal zu starten. Das würden die Zertifikats-Server bei der Bundesdruckerei nicht verkraften." Am Netzanschluss liegt es nicht, das Rathaus von Westerkappeln hat DSL 6000, ganz anders als wir draußen auf dem Bauernhof mit unserem Bauern-DSL.Das ist ja wie damals im Osten! :-)