Fragen? Antworten! Siehe auch: Alternativlos
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*