-
Der Bundes-Datenschutzbeauftragte Peter Schaar hat eine Verschiebung der Einführung von Reisepässen mit biometrischen Merkmalen gefordert. Die Technik sei noch nicht ausgereift.
Berlin - Deutschlands oberster Wächter der Privatsphäre, Peter Schaar, mahnt einen stärkeren Schutz personenbezogener Daten an. Er habe manchmal das Gefühl, dass "Sicherheit vor Datenschutz" gehe, sagte Schaar heute bei der Vorstellung des Tätigkeitsberichts für 2003 bis 2004. Bestehende Gesetze gehörten deshalb bezüglich ihrer Datenschutzregeln auf den Prüfstand. Und bei neuen Vorhaben müsse das Recht auf informationelle Selbstbestimmung stärker berücksichtigt werden. "Ich würde mir wünschen, dass der Datenschutz ernster genommen wird."
Schaar forderte, die nach den Terroranschlägen des 11. September 2001 verabschiedeten Sicherheitsgesetze solle nicht das Bundesinnenministerium selbst sondern eine unabhängige Stelle überprüfen. Zumindest müssten die Daten für die Evaluierung öffentlich gemacht werden. Die Prüfung der Gesetze müsse ergebnisoffen sein. Man müsse auch den Mut haben, Dinge, die nicht gebraucht wurden, wieder rückgängig zu machen", betonte Schaar.
Der Datenschützer kritisierte eine "paradoxe Argumentation" der Befürworter strengerer Gesetze. Bei bestimmten Maßnahmen werde argumentiert, dass diese wegen der geringen Nutzung ausgeweitet werden könnten, bei hoher Nutzung werde argumentiert, dass dies die Bedeutung der Maßnahme belege.
Bei der für Herbst geplanten Einführung der biometrischen Pässe verlangte Schaar eine Verschiebung auf Sommer nächsten Jahres. "Ich fordere ein Moratorium", sagte der Datenschutzbeauftragte. So könne die Zeit genutzt werden, an der Ausreifung der Technik zu arbeiten, die oft nicht so zuverlässig funktioniere wie angenommen. "Wir können nicht ein unausgereiftes Verfahren einführen, nur weil die USA mit verschärften Einreisebestimmungen drohen", sagte er.
Scharf kritisierte der Datenschützer auch Überlegungen der EU, Telekommunikationsdaten für 24 Monate zu speichern, unabhängig davon, ob eine Straftat vorliegt. "Ich halte das für außergewöhnlich kritisch", betonte Schaar. Er forderte die Bundesregierung auf, gegen die EU-Pläne ein Veto einzulegen. Ein "Moratorium bis Sommer nächsten Jahres" schlug Schaar zur Einführung biometrischer Merkmale in Pässen vor. Hier müsse der Grundsatz "Sorgfalt vor Schnelligkeit" gelten.
Quelle : www.spiegel.de
-
Hans-Peter Uhl, Vorsitzender der Arbeitsgruppe Innenpolitik der CDU/CSU-Fraktion im Bundestag, kann sich eine zentrale Erfassung biometrischer Merkmale für Ausweisdokumente als "nützlich" vorstellen. Damit könnte seiner Ansicht nach verhindert werden, dass ein Krimineller sich nach einem Umzug mehrfach Pässe oder Personalausweise auf andere Namen besorge, sagte der CSU-Politiker auf einem Symposium des Bundesdatenschutzbeauftragten zum Thema "Biometrie und Datenschutz – Der vermessene Mensch" am Dienstag in Berlin. Generell gab der CSU-Mann die Losung aus: "Als Sicherheitspolitiker hat man Interesse an möglichst vielen Daten und Datenabgleich, da man damit Sicherheit produzieren kann." Eine Verwendung der biometrischen Daten für weitergehende Kontrollzwecke müsse aber "gründlich vorbereitet" werden. Über Grenzen, die das Grundgesetz der Datennutzung setze, würde er gern "sensibilisiert" werden.
Mit der bereits erfolgten Aufnahme digitaler Gesichtsbilder in die neue deutsche Passgeneration hat Uhl keine Probleme. "Da wir die Gesichtsfelderkennung schon verwenden, sehe ich hier keinerlei Grundrechtseingriff." Das Passfoto werde einfach nur digital erfasst. Wenn das Ergebnis der Brüsseler Einigung auf die Einführung biometrischer Merkmale in die Reisepässe der EU-Bürger sich als "unerträglich" herausstelle, müsste es der Bundestag überprüfen. Aber derlei Kritik sei ihm noch nicht zugetragen worden.
In Deutschland geben die Einwohnermeldeämter seit November die so genannten ePässe aus. Von 2007 an sollen diese neben dem biometrischen Gesichtsbild auch mit einem digitalen Fingerabdruck des Inhabers aufgerüstet werden. Zudem bereitet die Große Koalition eine Novelle des Personalausweisgesetzes vor, der zufolge auch in diese Dokumente zur Identitätsfeststellung biometrische Daten aufgenommen und mit Funktionen für die elektronische Signatur gekoppelt werden sollen. Dabei hat das federführende Bundesinnenministerium die Frage aufgeworfen, inwiefern die sensiblen Informationen über die persönlichen Körpermerkmale kommerziellen Anbietern offen stehen sollen. Entsprechende Wünsche aus der Industrie werden von Informatikervereinigungen vehement abgelehnt.
Oppositionspolitikerinnen zeigten sich auf dem Datenschutzsymposium äußerst skeptisch gegenüber der Regelung für die ePässe und den geplanten Ausweitungen im Bereich der Personalausweise. "Ich möchte bei internationalen Reisen nicht, dass in Staaten ohne Schutzgarantien mein Fingerabdruck ausgelesen wird und ich jede Möglichkeit verliere zu erfahren, was damit passiert", betonte die innenpolitische Sprecherin der Grünen im Bundestag, Silke Stokar. Angesichts von Vorführungen, laut denen der RFID-Chip zur Speicherung der biometrischen Merkmale im holländischen Pass bereits "von Jugendlichen geknackt" wurde, müssten Ängste vor Identitätsdiebstählen ernst genommen werden. Dass es keinerlei Abstimmung über die Einführung der Biometriepässe im Bundestag gab und die Innenminister die entsprechende Verordnung allein über den EU-Rat forcierten, ist für Stokar zudem nach wie vor ein "Lehrstück" über die Ausschaltung von Parlament und Bevölkerung auch in einer Demokratie.
Gisela Piltz und Petra Pau, Innenpolitikerinnen der FDP beziehungsweise der Linkspartei im Bundestag, sprachen sich für ein Moratorium bei der Ausgabe der ePässe aus. Angesichts der Sicherheitsprobleme müsste man zunächst die Tücken der Technik in den Griff bekommen. Pau stellte auch den Ansatz in Frage, dass die Zusammenführung von Daten mehr Sicherheit schaffe. Ein Besuch bei US-Behörden habe gezeigt, dass mit den dort getätigten Praktiken zum Data Mining vielmehr die Liste der Probleme mit Verwechslungen etwa von Namen immer länger geworden und die Fehlerquote gestiegen sei. Uhl begegnete den Sorgen Stokars vor dem unerwünschten Auslesen der Passdaten auf Reisen dagegen mit der Aufforderung: "Dann bleiben Sie halt zu Hause."
Alexander Rossnagel, Rechtsprofessor an der Universität Kassel, bemühte sich um die verfassungsrechtliche Einschätzung. Um mit dem vom Bundesverfassungsgericht immer wieder hoch gehaltenen Recht auf informationelle Selbstbestimmung vereinbar zu sein, müssen die in Form eines Gesetzes zu beschließenden Maßnahmen zur biometrischen Erfassung der Bevölkerung ihm zufolge "geeignet, erforderlich und zumutbar sein". Das Gesichtsbild zähle ferner zu den laut Bundesdatenschutzgesetz "besonders schützenswerten Daten", da Rückschlüsse auf Rasse oder ethnische Herkunft daraus abzuleiten seien. Hier bedürfe es einer ausdrücklichen Zustimmung des Betroffenen zur Datenverarbeitung. Der Jurist plädierte dafür, im Rahmen der anstehenden Modernisierung des Datenschutzrechts die Transparenzanforderungen bei Biometrie einheitlich zu regeln. So sei etwas klarzustellen, dass Informationen über Körpermerkmale nur mit Mitwirkung des Betroffenen erhoben werden dürften. Die erforderliche Zweckbindung der biometrischen Daten sollte zudem genauso wie im Fall der Weitergabe von Patientendaten strafrechtlich abgesichert werden.
Bei der zentralen Speicherung biometrischer Merkmale meldete Rossnagel starke Zweifel an der Erforderlichkeit einer solchen Maßnahme an. "Bisher hat es mit anderen Mitteln gereicht, eine Mehrfachpassausstellung zu verhindern", erläuterte er. Das deutsche Passwesen zeige sich schon heute durch eine "sehr hohe Zuverlässigkeit" aus. Ein eventuell weiterer Sicherheitsgewinn rechtfertige es nicht, "biometrische Daten aller Bürger an zentraler Stelle mit hohem Missbrauchsrisiko zu speichern". Die Risiken des unautorisierten Zugriffs und der Zweckentfremdung der Daten seien dabei zu groß. Die Bundesregierung ermunterte Rossnagel, der ihr von Karlsruhe auferlegten Sorgfaltspflicht zum Schutz der Grundrechte im Rahmen von internationalen Standardisierungsprozessen und Vereinbarungsabschlüssen rund um die ePässe besser nachzukommen.
Der Grazer Rechtsphilosoph Peter Strasser hatte zuvor gewarnt, die bewusste "Selbstblendung" des Staates zum Schutz der Privatsphäre der Bürger nicht durch eine schleichende Entwicklung hin zu einer "Überwachungsdemokratie" auszutauschen. Andererseits könnten gerade im Hinblick auf die Biometrie wieder Kontrollversuche an Bedeutung gewinnen, Menschen "lasterhaftes Verhalten" buchstäblich von der Nasenspitze abzulesen.
Quelle : www.heise.de
-
Bei einer Diskussionsrunde über den Schutz der Freiheit durch den Staat im Rahmen des ersten europäischen Datenschutztages prallten die Meinungen von Koalitionspolitikern und den Hütern der Privatsphäre in der Landesvertretung Sachsen-Anhalt in Berlin am Montagabend frontal aufeinander. "Ob man etwas zu verbergen hat oder nicht, darauf kommt es nicht mehr an, wenn der Präventionsstaat alle Daten abgreift", beklagte der sachsen-anhaltinische Landesdatenschutzbeauftragte Harald von Bose. So könne der Generalverdacht Alltag werden mit gravierenden Auswirkungen auf die Ausübung der Grundrechte. Bundesinnenminister Wolfgang Schäuble warf dem Datenschützer daraufhin vor, "Unsinn" zu reden. Natürlich müsse das Grundrecht auf informationelle Selbstbestimmung genauso geschützt werden wie jedes andere auch. Es gebe aber "ein zunehmendes Spannungsverhältnis mit der Sicherheit".
Insgesamt muss der Staat dem CDU-Politiker zufolge "in der Lage sein, auf neue Herausforderungen in angemessener Weise zu reagieren". Als Beispiel brachte er die Notwendigkeit im Rahmen der Globalisierung, die "Fälschungssicherheit von Ausweisdokumenten" durch die Integration biometrischer Merkmale wie dem digitalen Gesichtsbild und Fingerabdrücken zu erhöhen. Die von Datenschützern skeptisch beäugte Maßnahme kommt für ihn auch einer "Vorkehr gegen schwerwiegende Verstöße gegen Grundrechte" wie den sich gerade online bietenden Möglichkeiten des Identitätsdiebstahls gleich. "Mit Hilfe moderner Techniken ist auf dem Wege zu gewährleisten, was wir gemeinsam wollen", wischte Schäuble Bedenken gegen eine zunehmende Kontrolle durch ID-Management weg.
Sein Verständnis von Datenschutz umschrieb der Innenminister mit dem Erfordernis der gesetzgeberischen Festlegung, "wer darf Daten zu welchen Zwecken unter welchen Voraussetzungen nutzen und wie lange müssen sie gespeichert werden". Es könne nicht angehen, den Staat "blind" zu machen. Vielmehr sei eine "Datenverkehrsordnung" erforderlich, die einen optimalen Informationsfluss gewährleiste und die "notwendige Datenverarbeitung" transparent mache. Dabei müsse man aus Fehlern Erkenntnisse ziehen. So sprach sich der Minister etwa dafür aus, die von der Union mit beschlossene Eingrenzung der Verwendung der Mautdaten auf Abrechnungszwecke aufzuheben: "Wir sollten eine Grundlage schaffen, die Daten zu nutzen, um Mörder zu erkennen." Alles andere könne man der Bevölkerung nicht erklären.
Konform mit Schäuble ging Dieter Wiefelspütz, Innenexperte der SPD-Fraktion im Bundestag. Er erklärte am Beispiel der von seinem Koalitionskollegen befürworteten Möglichkeit zur "Online-Durchsuchung" von Festplatten privater PCs, dass es dazu gegenwärtig keine angemessene Rechtsgrundlage gebe. Er sei aber dafür, "dass man da ran kann, wenn es wichtige Gründe gibt". Daher müsse man darüber diskutieren, "was denn da eigentlich so privat ist" im Online-Bereich und "was das Schlafzimmer im Internet" sei. Es könne nicht sein, dass "wir wunderbare technische neue Welten schaffen und die Sicherheit hinterherhinkt".
Allgemein ist Wiefelspütz der Ansicht, dass "wir bei der Volkszählung eine überzogene Diskussion hatten", während sich heute "bis auf die Profis" kaum mehr jemand für den Datenschutz interessiere. Die Bürger würden ihn gerade im Internet "laxer" handhaben. Andererseits gebe es "ungleich größere Gefahren, die zu beherrschen sind", deutete der SPD-Politiker die Möglichkeit eines terroristischen Anschlags auf ein Atomkraftwerk an. Die Polizei arbeite daher inzwischen "viel, viel stärker im Vorfeld", wobei man aber verhindern müsse, "dass das dann uferlos wird". Zum Glück gebe es in Deutschland noch keine Sicherheitshysterie. So etwas wie einen Überwachungsstaat, betonte Wiefelspütz, "haben wir nicht einmal ansatzweise".
Die Bundesverfassungsrichterin Christine Hohmann-Dennhardt monierte dagegen, dass die rechtsstaatlichen Grundsätze "ein wenig zu kurz kommen", gerade wenn Politiker "schon im vorbeugenden Bereich Verbrechen bekämpfen wollen" und entsprechende Befugnisse "immer weiter nach vorne bringen in Vorvorvorfeld-Situationen". Es werde schwierig mit der Verhältnismäßigkeit, wenn der Mensch "zur reinen Erkenntnisquelle" werde. Konkret wies sie in diesem Zusammenhang etwa auf das "Zusammenspiel von Bund und Ländern hin", das zu der von Karlsruhe als verfassungswidrig beanstandeten Rasterfahndung nach "Schläfern" nach dem 11. September 2001 geführt habe, sowie auf neue Polizeigesetze der Ländern mit Normen zum Datenabgleich zur Ermittlung eines reinen Verdachts. Der Staat habe zwar die Freiheit bei "Leib, Leben und vergleichbarem Mehr" zu garantieren. Es gebe aber nicht nur "Sicherheit durch den Staat, sondern auch vor dem Staat."
Von Bose hatte zuvor kritisiert, dass der Staat bei Sicherheitsgesetzen "kaum ein Innehalten und keine Tabus mehr im Hinblick auf seine Grundsätze kennt". Beispiele auf EU-Ebene für diese Praxis brachte der Frankfurter Rechtsprofessor Spiros Simitis. Er nannte unter anderem das Abkommen zur Weitergabe von Flugpassagierdaten (Passenger Name Records, PNR) zwischen Brüssel und Washington. Bei dem schon von der Intention her verfehlten Vertrag habe die EU-Kommission sich zuletzt "wie selbstverständlich damit abgefunden", dass die US-Sicherheitsbehörden entgegen der Vorgaben des Abkommens auf Basis der Daten eine vollautomatisierte Risikoanalyse von Einreisenden treffen würden. In der Affäre um den Finanzdatentransfer durch das SWIFT-Netzwerk sei die Brüsseler Behörde "durch ein Höchstmaß an Passivität aufgefallen". Bei der Vorratsspeicherung von Telefon- und Internetdaten habe sie "eine ihr eindeutig nicht zustehende Kompetenz usurpiert". Mit dem Umsetzungsgesetz aus dem Bundesjustizministerium sei nun endgültig "jede Grenze zur Verfassungswidrigkeit deutlich überschritten".
An die Politik richtete Simitis die Frage, ob sie in einer Zeit, in der "alle Daten vorhanden sind" und man "alles" über einen Menschen in Erfahrung bringen könne, überhaupt noch eine Beschränkung der Informationsverarbeitung auf bestimmte Zwecke akzeptiere. Er plädierte für "Kompensationen" für die fortlaufenden Bürgerrechtseinschnitte wie "klare Fristen, eine spätere Vernichtung der Daten, ein Höchstmaß an Transparenz und eine konsequente Überprüfung der Gesetzgebung."
Der EU-Abgeordnete Alexander Alvaro (FDP) und der Bundesdatenschutzbeauftragte Peter Schaar waren sich einig, dass eine kritische Bestandsaufnahme der in den vergangenen fünfeinhalb Jahren eingeführten Überwachungsmaßnahmen überfällig sei und diese in der Gesamtschau zu betrachten seien. Angesichts beispielsweise einer verstärkten Videoüberwachung, angesichts ausgebauter DNA-Analyse und angesichts Konten- und Telekommunikationsüberwachung sprächen Verfassungsrichter korrekterweise von einem "additiven Grundrechtseingriff", gab Alvaro zu bedenken. Laut Schaar ist es "an der Zeit, wieder den Vorwärtsgang einzulegen und die Modernisierung des Datenschutzes anzugehen". Die gegenwärtige Situation erinnert ihn ein wenig an die Zeit kurz vor dem Volkzählungsurteil in den Achtzigern, als das informationelle Selbstbestimmungsrecht im Grundgesetz verankert wurde. Die Politik müsse "wieder durchgerüttelt werden" und sollte "mehr Phantasie auch im Hinblick auf den Schutz der Bürgerrechte" entwickeln.
Quelle : www.heise.de
-
Unter Datenschutz kann man als Hardliner natürlich auch verstehen, die erfassten Daten und ihre Verbreitung vor den Betroffenen zu schützen.
Und genau dass hat der Kontroll-Fanatiker und Bürgerrechte-Zerstörer vor >:(
Wir werden selbst niemals kontrollieren dürfen, was die BigBrother-Fundamentalisten in den Pass, den Ausweis, auf die Gesundheitskarte so alles abspeichern, geschweige denn, was all' in ihren diversen vernetzten Datenbanken über uns gespeichert und verquirlt und sogar ohne wirksame Kontrolle an andere Länder und zahlungskräftige Unternehmen weitergegeben wird, erlaubt oder heimlich.
Wenn so ein kopfschüssiger Unhold über Datenschutz redet, dann mit ebensowenig Kompetenz oder Recht, wie ein Papst über Sex oder Kinderkriegen.
Und beiden vermag ich keinesfalls auch nur das geringste Recht einzuräumen, in meine Privatsphäre einzudringen.
Selbst wenn sowas vermutlich für beide (aus verschiedenen bekannten Gründen) die einzige Möglichkeit sein mag, einen Höhepunkt zu erleben :P
Sollte die Online-Durchsuchung Realität werden, werde ich nur noch mit einem Betriebssystem von einer Live-CD surfen.
Und Festplatten gibt's dann nur bei Bedarf gemountet, an einem Port ohne BIOS-Zugriff. Auif 'nem alten Rechner natürlich, ohne geheime CMOS-Bereiche.
Dann können sie's ja gerne versuchen, hier irgendeinen Staats-Trojaner abzusetzen ::)
Reboot - gone...
-
Umsetzung einer EU-Regelung aus dem Dezember 2004
In deutschen Pässen und Reisedokumenten sollen neben Fotos bald auch Fingerabdrücke in digitaler Form enthalten sein. Ein von der Bundesregierung vorgelegter Gesetzentwurf zur Änderung des Passgesetzes soll damit eine verbindliche EU-Regelung berücksichtigen.
Der Rat der Europäischen Union habe "die Aufnahme des Gesichtsbildes sowie von Fingerabdrücken in elektronischer Form" im Dezember 2004 verbindlich festgeschrieben. Die verordnete elektronische Speicherung dieser biometrischen Daten soll laut des Gesetzentwurfs der Bundesregierung durch ein "durchgängig elektronisches Verfahren der Passbeantragung" begleitet werden.
Im November 2005 hatte Deutschland mit der Ausgabe biometrischer Reisepässe begonnen, in denen auf einem per Funk auslesbaren Chip neben persönlichen Daten auch das Lichtbild gespeichert ist. Die Ausgabe von Pässen mit zusätzlich gespeicherten Fingerabdrücken könne laut Bundesregierung jedoch erst erfolgen, wenn die notwendige Rechtsgrundlage für die Abnahme der Fingerabdrücke durch die Passbehörden geschaffen werde.
Der Gesetzentwurf sieht außerdem vor, dass Kinderreisepässe ihre bisherige Funktion als Passersatzdokumente verlieren. Dennoch soll bei Kindern "aus Praktikabilitätserwägungen" auf die Speicherung biometrischer Daten verzichtet werden. Eine Änderung sieht der Gesetzentwurf auch für Transsexuelle vor, die mindestens eine Vornamensänderung vollzogen haben. Ihnen soll ermöglicht werden, sich ihren Pass mit dem Geschlecht ausstellen zu lassen, dem sie sich zugehörig fühlen.
Die Integration von Fingerabdrücken in Pässe und Reisedokumente lässt neue Sorgen der Datensicherheit aufkommen, auch seitens Bündnis 90/Die Grünen. Bedenken gegenüber der Auslesbarkeit auch von verschlüsselten Daten auf den kleinen Funkchips der Reisepässe seien nicht ausgeräumt, so die Oppositionspolitiker. Ein deutscher Sicherheitsexperte konnte bereits beweisen, dass sich die neuen elektronischen Pässe mit RFID-Chips kopieren lassen. Das Design der E-Pässe sei "ein totaler Hirnschaden", so der Experte gegenüber Wired.
Quelle : www.golem.de
-
Der Bundestag hat in der Nacht zum heutigen Freitag in 1. Lesung über den Regierungsentwurf zur Änderung des Passgesetzes beraten, den das Bundeskabinett Ende Dezember vergangenen Jahres beschloss und mit dem die Speicherung von zwei Fingerabdrücken zusätzlich zum Lichtbild möglich werden soll. "Die Technik kann einen wichtigen Beitrag für die innere Sicherheit leisten", begründete Peter Altmair (CDU), parlamentarischer Staatssekretär beim Bundesinnenministerium, den Vorstoß. Zugleich werde eine entsprechende EU-Verordnung umgesetzt. Oppositionspolitiker lehnten die Initiative aber als weiteren Schritt in den Überwachungsstaat ab. Sie führten unisono allgemeine Datenschutz- und Sicherheitsbedenken hauptsächlich rund um den RFID-Funkchip ins Feld, auf dem künftig neben dem Gesichtsbild auch die Fingerabdrücke gespeichert werden sollen. Auch bei der SPD sorgte zudem die Tatsache für Empörung, dass die Lesung in die frühen Morgenstunden gelegt worden war, die Reden somit zu Protokoll gegeben werden mussten und eine echte Debatte vermieden wurde.
"Mit der Einführung der digitalen Gesichtsbilder hat Deutschland einen gigantischen Feldversuch für die Biometrietechnik gestartet, und das ohne jeden Probelauf", erklärte Gisela Piltz, Innenexpertin der FDP-Fraktion. "Es schadet aber der Demokratie, wenn eine gesellschaftliche Auseinandersetzung über die Herrschaft der Menschen über ihre biometrischen Daten nicht stattfindet." Es gehe schließlich um die "elementarsten", den "höchstpersönlichsten Lebensbereich" betreffenden menschlichen Informationen, die etwa auch Auskunft über Erbkrankheiten, Abstammung oder Verwandtschaft geben könnten. Deutschland dürfe daher nicht blind "Vorreiter einer neuen biometrischen Überwachungswelle" werden. Zugleich kritisierte die Liberale, dass das Innenministerium die wahren Kosten der elektronischen Ausweisdokumente etwa über das Verschweigen von Personalmehraufwand verschleiere und der Bundesdruckerei allein ein gutes Geschäft zuschustere.
Gemeinsam mit ihrem Kollegen von den Linken, Jan Korte, betonte Piltz, dass die geplante Änderung mit anderen Gesetzesvorhaben wie der Einführung biometrischer Merkmale auch in den Personalausweis oder der fortschreitenden Vernetzung von Polizeidaten im Schengen-Raum und darüber hinaus zu sehen sei. In diesem Rahmen würden die Motive für die Biometrie-Offensive deutlicher. So verwiesen die beiden Oppositionspolitiker insbesondere auf eine Klausel im Regierungsentwurf des Gesetzes über die Aufrüstung des Personalausweises, wonach "im Falle der Übermittlung von Lichtbildern an die Polizei- und Ordnungsbehörden im Rahmen der Verfolgung von Verkehrsordnungswidrigkeiten der Abruf des Lichtbildes im automatisierten Verfahren erfolgen kann". Dies eröffne letztlich in Kombination mit der ebenfalls intensiv betriebenen Ausweitung der Videoüberwachung ganz neue Möglichkeiten für die Strafverfolgung, fürchtete Piltz. Korte monierte die eindeutige Missachtung der Zweckbindung der biometrischen Daten, wenn diese plötzlich auch zur Klärung von Bußgeldverfahren herangezogen werden könnten.
Innenminister Wolfgang Schäuble, der die elektronischen Ausweisdokumente jüngst als Mittel zur Stärkung des Datenschutzes in der Online-Welt anpries, pflegt laut Korte "auch mit dem neuen Passgesetz seine Datensammelobsession." Die biometrischen Daten fast aller Bundesbürger würden "auf Vorrat gespeichert und in einer Referenzdatei zusammengeführt". Dabei handle es sich letztlich um nichts anderes "als die Einführung einer universellen Personenkennziffer durch die Hintertüre."
In die gleiche Kerbe schlug Wolfgang Wieland, innenpolitischer Sprecher der Grünen, der an die geplante Zentralisierung der Melderegister erinnerte und vor einer Orwellschen Gesetzgebung warnte. "Wenn man die Angaben über den Wohnort und die dort eingegebenen Lichtbilder mit der Datei verbindet, dann haben Sie die Datei, die Ihnen die totale Überwachung der Bürger ermöglicht." Der Fingerabdruck sei zudem keineswegs fälschungssicher und entsprechende Biometriesysteme könnten mit einfachsten Mitteln ausgetrickst werden, wie es etwa der Chaos Computer Club (CCC) wiederholt vorgeführt habe. Ferner sei die Aufnahme der Fingerabdrücke europarechtlich nicht erforderlich, da dies in den Brüsseler Vorgaben als reine "Soll-Verordnung" ausgeführt worden sei.
In der Richtung unentschlossen zeigte sich Frank Hofmann von der SPD, in deren linken Flügel es starke Bedenken gegen biometrische Ausweisdokumente gibt. "Weder sicherheitspolitisch sinnvolle Maßnahmen noch terroristische Bedrohungsszenarien" dürfen seiner Ansicht nach "den wesentlichen Blick auf den Schutz der bürgerlichen Freiheiten und Grundrechte verstellen." Dabei müsse das fragile Gleichgewicht zwischen Freiheit und Sicherheit immer wieder austariert werden. Zu diesem öffentlichen Prozess gehöre auch, "dass wir uns als nationaler Gesetzgeber sicherheitspolitische Notwendigkeiten nicht von europäischen Ratsverordnungen diktieren lassen".
Zugleich räumte der Sozialdemokrat ein, dass die im Raum stehenden Änderungen bei der Verfolgung von Straßenverkehrordnungswidrigkeiten eine der "kleineren Schwächen" der Gesetzesvorhaben darstelle. "Wenn man solche Maßnahmen in Sicherheitsgesetzen verankert, dann macht man es den Gegnern leicht in ihrer Argumentation, es ginge vermehrt um die Kriminalisierung und Bestrafung unbescholtener Bürger", schalt Hofmann die Bundesregierung indirekt. Man müsse sich ferner "bewusst machen, dass die erstmalige Erhebung von Fingerabdrücken zur Identifizierung in Personaldokumenten in der Bevölkerung mit der erkennungsdienstlichen Behandlung von Kriminellen verknüpft werden könnte". Trotz Datenschutz dürfe sich die Koalition aber vor "technischen Innovationen" nicht verschließen. Durch biometrische Merkmale im Pass werde es möglich, "die Identität von Personen, vor allem bei Grenzkontrollen, durch Vergleich mit den Merkmalen der kontrollierten Person festzustellen." Man werde daher bei der weiteren Beratung des Gesetzesentwurfs an der SPD-Maxime "Sicherheitspolitik mit Augenmaß" festhalten.
Quelle : www.heise.de
-
Der Bundesrat hat in seiner Plenarsitzung am heutigen Freitag das vom Bundestag im Dezember beschlossene Gesetz (PDF-Datei) über biometrische Personalausweise und den elektronischen Identitätsnachweis ohne Debatte gebilligt. Demnach sollen die Bundesbürger die neuen Dokumente im kleineren Scheckkartenformat von November 2010 an erhalten. Der neue Auswweis wird einen kontaktlos auslesbaren Chip enthalten, auf dem ein biometrisches Gesichtsbild sowie auf Wunsch zwei Fingerabdrücke gespeichert werden. Dazu kommt eine ebenfalls freiwillig zu aktivierende Zertifikatsfunktion, die als Ausweis fürs Internet dienen soll. Die Identitätsdaten können dabei der Spezifikation nach nur von Diensteanbietern abgefragt werden, wenn sie ihrerseits ein gültiges Bezugszertifikat an den Ausweisinhaber übermitteln und dieser den Austausch mit seiner Geheimnummer freigibt.
Ferner wird die Möglichkeit geschaffen, eine weitere Zusatzfunktion für die qualifizierte elektronische Signatur gemäß Signaturgesetz auf den Personalausweis aufzubringen und ihn so für verschiedene Formen verbindlichen, identitätsrelevanten Handelns im elektronischen Rechtsverkehr zu nutzen. Etwa fürs Ummelden bleibt ein Gang zum Amt aber weiterhin erforderlich. Der neue Ausweis ist wie bisher für alle Deutschen über 16 Jahren Pflicht, wenn sie sich nicht per Reisepass ausweisen können. Das Dokument soll wie das alte eine Gültigkeit von zehn Jahren haben. Die zum Einsatz kommenden kryptographischen Verfahren sind laut Bundesinnenministerium vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgewählt worden.
Der Bundesrat begrüßte beim Durchwinken des Gesetzes, dass das Parlament einige von den Ländern gewünschte Änderungen aufgenommen habe. So sei etwa ein Benachteiligungsverbot verankert worden für den Fall, dass sich ein Antragsteller gegen die Aufnahme der Fingerabdrücke entscheidet. Auch soll die Möglichkeit des elektronischen Identitätsnachweises auf die Fälle begrenzt werden, in denen ein Zugang für diese Möglichkeit eröffnet wurde. Dadurch soll sichergestellt werden, dass keine elektronischen Verfahren erzwungen werden, "die nicht sachgerecht sind oder auf die die Behörden nicht vorbereitet sind". Da fahrlässiges Verhalten leicht gegeben sei und einen niedrigen Unwertgehalt in sich trage, werde zudem auch im Personalausweisrecht – wie bereits im Passgesetz – auf eine Bußgeldbewehrung für fahrlässige Falschangaben verzichtet.
Schwer im Magen liegt der Vorstoß unter anderem dem Chaos Computer Club (CCC). Die Hacker beklagen nicht nur eine biometrische Zwangserfassung der gesamten Bevölkerung, sondern sehen im E-Perso generell ein überfrachtetes Konzept. So werde der Chip von tausenden Meldeämtern und Botschaften beschreibbar sein, was Missbrauchsmöglichkeiten eröffne. Die für die Aktivierung des Internetausweises nötige sechsstellige PIN sei zudem so lang, dass sie sich kaum einer merken könne. Insgesamt sieht der CCC in der Initiative ein fehlgeleitetes Großprojekt zur Förderung der beteiligten Industriebranchen.
Quelle : www.heise.de
-
Fasse zusammen:
Wer den erst einmal nicht haben will, sollte darüber nachdenken, den noch vorhandenen rechtzeitig erneuern zu lassen, bis zum Spätsommer 2010, auch wenn er noch länger gilt.
Die Dinger sind ja durchaus etwas empfindlich, notfalls auch gegen Verlieren...
Meiner würde eigentlich noch bis 2016 gelten, mal sehen ;)
-
Die Bundesregierung will im Rahmen des Konjunkturpakets II an Testanwender und frühe Nutzer des elektronischen Personalausweises über eine Million "IT-Sicherheitskits" im Gegenwert von rund 30 Millionen Euro ausgeben. Dies geht aus einer jetzt veröffentlichen Antwort (PDF-Datei) des Bundesinnenministeriums auf eine Anfrage der FDP-Bundestagsfraktion hervor. Die Pakete sollen ein Kartenlesegerät und Software enthalten, etwa Programme für den E-Personalausweis oder die elektronische Gesundheitskarte sowie Anti-Virensoftware. Die Vergabe der Kits soll von Anfang 2010 bis Ende 2011 laufen.
Zusätzlich zu den Bundesmitteln will das Innenministerium auch Geld bei Ländern, Kommunen und "weiteren Einrichtungen" für einen gemeinsamen Fonds locker machen, um die Zahl der Sicherheitspakete noch zu steigern. Das Programm soll Aufträge vor allem für klein- und mittelständischen Unternehmen generieren und damit Arbeitsplätze sichern. So könnten etwa Hersteller von Kartenlesegeräten, Produzenten von Sicherheitssoftware und IT-Dienstleister profitieren. Zudem geht das Innenministerium davon aus, dass die Bündelangebote elektronische Verfahren vereinfachen und so langfristig zu Kosteneinsparungen führen.
Von dem noch weitgehend unbekannten Teil der Konjunkturförderung erwartet die Regierung ferner, dass die Nachfrage nach Kartenlesern insgesamt steigen wird. Aufgrund des damit voraussichtlich verknüpften Preisverfalls könnten "Basisgeräte" schon für unter zehn Euro verfügbar werden. Es sei in jedem Fall zu erwarten, dass Lesegerätetechnologie mittelfristig als fester Bestandteil künftiger IT-Systeme zur Verfügung stehe. Die Komponenten des Sicherheitskits würden derzeit in Pilotprojekten getestet, um sie vor Angriffen zu schützen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) evaluiere und zertifiziere die Soft- und Hardware "auf hohem Sicherheitslevel".
Laut der innenpolitischen Sprecherin der FDP-Fraktion, Gisela Piltz, betreibt die Bundesregierung mit ihrer Antwort "allenfalls Wirtschaftslehre für Anfänger". Sowohl die datenschutzrechtlichen Aspekte der Anfrage als auch die haushaltspolitisch relevanten Fragestellungen seien nur gestreift worden. Gänzlich offen gelassen habe das Innenministerium, ob nicht doch ein ökonomischer Zwang zum Einsatz der Chipkartenfunktion des neuen Personalausweises aufgebaut werde und wer genau in den "Genuss einer Bezuschussung" kommen solle. Offensichtlich stünden zum jetzigen Zeitpunkt noch nicht einmal die Eckpunkte für das Verfahren fest. Die FDP stehe zur weiteren Einschätzung der Initiative mit der Kreditwirtschaft im Austausch.
Quelle : www.heise.de
-
Air Berlin, die Schufa, die Lotterie-Treuhandgesellschaft und der Automatenbetreiber Willi Weber gehören zu den 30 Firmen, die den neuen elektronischen Personalausweis ab 1. Oktober 2009 testen werden. Dies gab das Bundesinnenministerium heute in einer Pressemeldung bekannt. Insgesamt sollen sich 100 Firmen und Behörden für den "koordinierten Anwendungstest" beworben haben, der mit rund 2000 Testausweisen durchgeführt wird. Außerdem wurde die Ausschreibung für den "Bürger-Client" gestartet, mit dem der Personalausweis sicher im Internet eingesetzt werden kann.
Banken und Versicherungen, die an ID-Funktionen interessiert sind, Automatenhersteller und Glücksspielanbieter, die sich für die Altersverifikation interessieren, gehören wie erwartet zu den Teilnehmern des Anwendungstests des elektronischen Personalausweises. Daneben bilden Bürgerportale und "eGovernment-Services" von der Zahl der Anbieter her einen zweiten großen Block interessierter Firmen. Nicht überraschend ist auch die Teilnahme der deutschen Polizeien mit dem Verbundprojekt Extrapol unter dem Slogan "Alle Freunde und Helfer unter einem Dach". Waren bei den ersten Vorstellungen des neuen Ausweises noch viele Unternehmen aus dem Reisegeschäft interessiert, so sind mit Air Berlin, dem Verkehrsverbund Rhein-Ruhr und bird.i (Check-in-Software für Hotels) vergleichsweise wenige Vertreter dieser Branche dabei. Mit dem für ELSTER zuständigen Bayerischen Landesamt für Steuern sowie dem Informatikzentrum der Sparkassen (Online-Bestellung qualifizierter elektronischer Signaturen) seien zwei Organisationen erwähnt, mit denen die Bürger von Digitalien häufiger Kontakt pflegen.
Der elektronische Personalausweis soll nach dem Willen des Innenministeriums in mehrfacher Hinsicht neue Maßstäbe setzen. Mit ihm soll ein hoher Standard für das Identitätsmanagement eingeführt werden, um den Bürger "vor vielen Spielarten der Cyberkriminalität wie Phishing und Identitätsdiebstahl" zu schützen. Im Vergleich zur schleppenden Einführung der elektronischen Gesundheitskarte, soll er außerdem zeigen, dass in Deutschland Großprojekte zügig durchgeführt werden können. So sollen eine Million Sicherheitskits an interessierte Bürger verteilt werden, die jeweils ein Lesegerät enthalten.
Aus diesem Grund hat das Beschaffungsamt des Innenministeriums die Ausschreibung des "BürgerClient und eID-Service für den ePersonalausweis" mit einem ausgesprochen engen Zeitplan gestartet. Interessierte Firmen müssen bis Ende Juni ihre Angebote abgegeben haben. Wie der Behörden-Spiegel berichtet, werden einem Konsortium rund um die Schweizer Firma OpenLimit die größten Chancen eingeräumt. Zum dem von OpenLimit geführten Konsortium gehören Fujitsu Systems Solutions, die Deutsche Telekom und die Bundesdruckerei.
Als weiterer Bewerber gilt die Münchner Firma Giesecke & Devrient mit ihrer Tochterfirma Secunet, die eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeitet: Das BSI ist die technische Instanz, die den elektronischen Personalausweis entwickelt. Ein weiterer interessierte Bewerber soll IBM sein. Nach der ersten Ausschreibungsrunde plant das BMI nach Angaben des Behörden-Spiegels eine weitere Ausschreibung des Bürger-Clients auf der Basis von Open-Source-Software.
Quelle : www.heise.de (http://www.heise.de)
-
Die für die Einführung der elektronischen Gesundheitskarte (eGK) verantwortliche Projektgesellschaft Gematik hat eine Studie (PDF-Datei) zur Eignung von USB-Sticks als dezentrale Speichermedien für Gesundheitsdaten veröffentlicht. Die vom Fraunhofer FOKUS-Institut für Offene Kommunikationssysteme durchgeführte Studie erteilt der Nutzung von USB-Sticks eine klare Absage: Sie sind für IT-Laien viel zu kompliziert in der Handhabung und verstoßen damit gegen das Gebot der Diskriminierungsfreiheit.
Den Hintergrund der von der Gematik in Auftrag gegebenen Studie bildet ein Streit innerhalb der deutschen Ärzteschaft: Kritiker der elektronischen Gesundheitskarte hatten moniert, dass nicht ausreichend über Alternativen zur kontaktbehafteten Smartcard nachgedacht werde und dass insbesondere USB-Sticks eine Alternative darstellten. Mit ihren großen Speicherkapazitäten könnten sie komplette Patientenakten und Befunde speichern und seien damit geeignet, statt der serverbasierten zentralen Datenspeicherung eingesetzt zu werden. Dementsprechend forderte die Bundesärztekammer nach einem Beschluss des Deutschen Ärztetages 2008 von der Gematik einen ergebnisoffenen Test von USB-Sticks.
Das nun vorliegende 70 Seiten starke FOKUS-Gutachten ist kein Test im strengen Sinne, sondern eine Analyse der Rahmenbedingungen für verschiedene Speichersysteme und der grundsätzlichen Bewertung der dezentralen Speicherarchitektur. Eine echte Testung dezentraler Speichermedien könne auf Basis der aktuellen Konzepte nicht empfohlen werden, heißt es in dem Gutachten.
Die Fraunhofer-Experten stellen im Gutachten nicht nur USB-Sticks mit und ohne eingebauter Verschlüsselung der derzeitigen eGK-Technik gegenüber, sondern nehmen auch zwei eGK-Varianten auf, die es noch gar nicht gibt: eGK-M, eine Smartcard mit 1 MByte Speicher und eGK-M+, eine Variante mit 100 MByte. Bereits in der Variante mit einem Megabyte kann eine Smartcard gegenüber der aktuellen eGK mit 32 KByte Speicher eine ganze Reihe von Befunden und Daten aufnehmen, in der 100 MByte-Version gar DICOM-Daten. Die Sicherheitsmechanismen mit PIN-Abfrage und gegenseitiger Autorisierung von Gesundheitskarte und Heilberufsausweis werden bei allen drei Kartentypen als identisch vorausgesetzt.
Neben der Bewertung der insgesamt fünf Speichervarianten untersuchten die Gutachter auch die dahinterliegende Speicherphilosophie. Damit reagiert das Gutachten auf Kritiker, die die serverbasierte Speicherung von Patientendaten für gefährlich halten. In der generellen Bewertung der dezentralen Speicherung kommen die Autoren zum Schluss, dass alle europäischen eHealth-Projekte serverbasiert arbeiten und die dezentrale Alternative nicht greifen kann, weil die Aufgabe des Datenerhalts (etwa bei Verlust des Speichermediums) dem Bürger nicht zugemutet werden kann. "Bei Verlust des Mediums trägt allein der Bürger die Aufwände und Kosten für die Wiederbeschaffung. Die letzten Punkte sind auf die TI [telematische Infrastruktur] der eGK und das dezentrale Speichermedium nicht anwendbar."
Diese Bürger-Perspektive, die grundsätzlich von einem Patienten ohne IT-Kenntnisse ausgeht (der etwa das Problem der Datensicherung nicht versteht) gibt auch bei der Betrachtung der Eignung von USB-Sticks den Ausschlag in der Beurteilung: Ohne Computerkenntnisse ist der Einsatz von Sticks nicht möglich. Dies gilt besonders für Sticks mit eingebauten Sicherheitsmechanismen, die einen unbefugten Zugriff auf Patientendaten verhindern sollen: "Eine Marktsichtung durch Fraunhofer FOKUS hat ergeben, dass alle gefundenen Produkte eine Installation von herstellerspezifischer Software vor der ersten Inbetriebnahme erfordern.
Für sichere wie für "offene" USB-Sticks seien keine verbindlichen Prüfverfahren zur Lebensdauer und Robustheit der USB-Sticks bekannt, bemängeln die Gutachter außerdem. Auch die Übernahme der Verantwortung für die Nutzung jeweils aktueller kryptografischer Verfahren wird kritisch beurteilt. Während eGK-Smartcards automatisch beim Kontakt mit der telematischen Infrastruktur aktualisiert werden können, müsse sich der Bürger beim Einsatz von USB-Sticks selbst um die Sicherheit und das entsprechende Kryptografie-Niveau kümmern. Dies führt die Gutachter zur Ablehnung der USB-Sticks, weil nur computeraffine Bürger adäquat mit dem USB-Speichermedium umgehen können: "Die Übertragung der alleinigen Verantwortung für ein dezentrales Speichermedium und die darauf gespeicherten Daten an den Versicherten setzt voraus, dass auch der IT-Laie durch die Systemlösung in die Lage versetzt wird, diese Verantwortung inhaltlich auch wahrnehmen zu können."
Zur Fortschreibung des eGK-Projektes enthält das Gutachten den Vorschlag, im Zuge der natürlichen Abfolge der Produktion verschiedener eGK-Generationen nach allgemeiner Einführung der Gesundheitskarte später Smartcards mit größerem Speicher einzuführen. Auf ihnen soll der Patient die Daten speichern können, die nicht auf Servern lagern sollen.
Quelle : http://www.heise.de/newsticker/Elektronische-Gesundheitskarte-Schlechte-Karten-fuer-USB-Sticks--/meldung/141091 (http://www.heise.de/newsticker/Elektronische-Gesundheitskarte-Schlechte-Karten-fuer-USB-Sticks--/meldung/141091)
-
Der biometrische Ausweis wurde den Bürgern Großbritanniens als hochgradig sicher angepriesen. Dem scheint jedoch nicht so zu sein. Nach bereits 12 Minuten war es mit der Sicherheit vorbei.
Auf einem RFID-Chip sollen markante Daten wie beispielsweise Fingerabdrücke gespeichert werden. Tony Blair hielt eine Einführung dieses Ausweises für äußerst wichtig und dementsprechend für angemessen. Immerhin trage dies zur Bekämpfung der zunehmenden Terrorismus-Gefahr bei. Im Gegenteil zur Ankündigung ist es mit der Sicherheit aber offenbar nicht so weit her.
Die Zeitung "The Daily Mail" aus Großbritannien hat sich dies zum Anlass genommen und einen genauen Blick darauf geworfen. Wie sich herausgestellt hat, lässt sich der Ausweis binnen von 12 Minuten knacken. Adam Laurie, ein Fachmann auf diesem Gebiet, hat dies unter Beweis gestellt. Alles was er dazu benötigte, war ein Nokia Mobiltelefon und ein Notebook. In kürzester Zeit war die Kopie des Ausweises fertig. Doch damit nicht genug. Angeblich konnte Adam Laurie die gewonnenen Daten sogar manipulieren.
Und zwar schien der Hacker sämtliche Datensätze nach seinen Wünschen anpassen zu können. Um dies zu verdeutlichen, hat er die Botschaft "Ich bin ein Terrorist - bei Sichtkontakt schießen" hinterlassen. Nach dieser Manipulation hätte Laurie zweifelsohne viele Optionen, die Gegebenheiten zu betrügerischen Zwecken auszunutzen. Insgesamt gibt es äußerst vielfältige Möglichkeiten, teilte der britische Inquirer mit.
Alles in allem hat sich die Regierung dieses Vorhaben rund 5,4 Milliarden Pfund kosten lassen. Nach dem augenblicklichen Stand der Dinge kann die biometrische Karte keinen der Besitzer vor einem Identitätsdiebstahl bewahren - ganz im Gegenteil. Sicherheitsexperten und Kenner der Materie sprechen von einer umfassenden Gefahr. An der in Regierungskreisen herrschenden Meinung scheinen auch die gefundenen Beweise nichts zu ändern. Von einem tatsächlichen Zugriffsschutz Dritter kann hierbei jedenfalls nicht gesprochen werden. Die britische Regierung hat natürlich keine Chance, aufgrund dieser Tatsachen an ihre investierten Finanzmittel zu kommen.
Quelle : www.gulli.com (http://www.gulli.com)
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Auftrag für den Aufbau der Root-CA (Certification Authority) und der Registration Authorities (RA) für den kommenden elektronischen Personalausweis an die Darmstädter Firma Media Transfer AG vergeben. Ihr Produkt mtG-CARA (PDF-Datei) ist bereits bei den angelaufenen Tests des Ausweises im Einsatz.
Nach dem Bürger-Client ist mit dem Aufbau der nationalen Public Key Infrastructure (PKI) ein weiterer wichtiger Schritt für die zum 1. November 2010 geplante Ausgabe des elektronischen Personalausweises (ePA) in die Wege geleitet worden. Die Media Transfer AG, die an den Testläufen zum ePA beteiligt ist, hat die Sicherheitsprozesse (PDF-Datei) hinter dem elektronischen Teil des Ausweises evaluiert. Wie Firma in einer Erklärung schreibt, umfasst der Auftrag des BSI nicht nur die Einrichtung der beim BSI angesiedelten Root-CA und der RAs für den elektronischen Personalausweis, sondern auch der entsprechenden "Gegenstelle", der V-PKI für die öffentliche Verwaltung. Sie sorgt dafür, dass Kommunen, Bundes- und Landesbehörden vertraulich kommunizieren können. Bei Media Transfer ist man stolz darauf, als deutscher Hersteller mit deutscher Technologie den Auftrag zu bekommen.
Der elektronische Personalausweis ist nach den Querelen um die elektronische Gesundheitskarte derzeit das Vorzeigeprojekt der deutschen IT-Branche schlechthin. Seine Pilotphase wurde prominent auf dem 3. IT-Gipfel in Darmstadt von Bundeskanzlerin Merkel eingeläutet. Mit dem Personalausweis will das Innenministerium zeigen, dass komplexe IT-Produkte in kurzer Zeit zur Einsatzreife herangeführt werden können. Diesem Leitgedanken folgt auch der Chaos Computer Club, der gleich mehrere Vorträge zum neuen Personalausweis in das Programm seines Jahreskongresses aufgenommen hat.
Quelle : http://www.heise.de/newsticker/meldung/Elektronischer-Personalausweis-Public-Key-Infrastructure-von-Media-Transfer-876007.html
-
Das Bundesinnenministerium hat bestätigt, dass der elektronische Personalausweis wie geplant ab 1. November 2010 ausgegeben wird. Dabei spricht das Innenministerium selbst nicht mehr von einem speziellen "elektronischen" Ausweis. "Wir reden schlicht vom neuen Ausweis, denn jeder Bürger wird ihn im Laufe der Zeit wie selbstverständlich bekommen und er wird fester Bestandteil des täglichen Lebens sein", erklärte Peter Batt, Ständiger Vertreter des IT-Direktors im Bundesinnenminsterium gegenüber dem Behörden Spiegel. "Wenn man diesen Vertrauensfaktor, den der Personalausweis mit der selbstverständlichen Nutzung im Alltagsleben besitzt, ins Internet transferieren kann, dann wäre ein ganz wesentlicher Schritt getan", ergänzte der Nachfolger von Michael Hange.
Bereits auf dem IT-Gipfel in Stuttgart hatte sich abgezeichnet, dass der elektronische Personalausweis massiv als erfolgreichstes IT-Projekt der Regierung beworben wird. "Er ist kleiner als der alte, kann aber viel mehr", sagte Innenminister Thomas de Maizière. Dass der neue Ausweis wesentlich teurer als der bisherige wird, der 8 bis 12 Euro kostet, ist für das Innenministerium kein Thema. Vielmehr legt es lieber die Vorzüge des berührungslos auslesbaren Ausweises dar, etwa an entsprechend ausgerüsteten Zigaretten-Automaten, die einen Alterscheck durchführen.
Ähnlich wie bei der elektronischen Gesundheitskarte wird überdies der Datenschutz betont. So kann jeder Bürger selbst darüber entscheiden, ob der neue Ausweis seine Fingerabdrücke enthalten soll. Eine sechsstellige PIN sichert den "nicht-staatlichen" Teil ab, wenn der Ausweis im elektronischen ID-Management eingesetzt werden soll. "Die Bürger bestimmen, wem sie welche Daten übermitteln wollen", erklärte Innenstaatssektretär Hans Bernhard Beus. Er verwies dabei auf erweiterte Möglichkeiten, den Ausweis im Rahmen elektronischer Kaufverträge einzusetzen, wenn dieser zusätzlich mit einer kostenpflichtigen elektronischen Signatur ausgestattet wird.
Mit Beginn der Ausgabe des elektronischen Personalausweises können Interessierte den vorzeitigen Austausch ihres Ausweises beantragen. Bis November 2010 können sie andererseits auch ihren bisherigen Ausweis verlängern lassen – doch das wird wohl selten passieren, glauben die Experten im Innenministerium und verweisen auf die sperrigen Maße des laminierten Papiers.
Quelle : www.heise.de
-
Ich werde meine altmodische Pappe definitiv noch vorher erneuern lassen.
Egal, ob es irgendwem gelänge, das elektronische Dingens komplett zu hacken, allein der blosse Gedanke, sein Funk-Profil könnte auch ohne meine Zustimmung wiedererkennbar sein, erfüllt mich mit Grausen.
Und ich bin felsenfest überzeugt, zumindest für staatliche Stellen werden von Anfang an verschedene Hintertüren eingeplant sein.
Damit, und mit dem Wissen über die mögliche erhebliche Reichweitensteigerung durch Antennen mit hohem Gewinn auf der Gegenseite, betrachte ich das Teil definitiv als einen eindeutigen Transponder, den ich niemals freiwillig mit mir herumtragen werde.
-
Der zum November 2010 erwartete elektronische Personalausweis setzt im Unterschied zum elektronischen Reisepass auf das PACE-Protokoll. Dieses patentfreie Protokoll wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Nachdem das BSI selbst einen Sicherheitsbeweis in Auszügen auf der ISC 2009 vorgestellt hat, steht der komplette Beweis nun allgemein zur Peer Review durch Kryptologen zur Verfügung.
Ab sofort können interessierte Forscher sich auf die Suche nach Schwachstellen bei der PACE-Verschlüsselung machen. Beim BSI ist man besonders gespannt, wie das Urteil des Chaos Computer Clubs ausfallen wird. Dieser hatte auf seinem Jahresendtreffen mitgeteilt, dass man sich über die Auslieferung des elektronischen Personalausweis im November freue, da dieser dann zum nächsten Treffen "geliefert, gehackt und gefrostet" präsentiert werden könne.
Der elektronische Personalausweis ist das Schwerpunktthema der Omnicard 2010, die kommenden Dienstag in Berlin beginnt. Neben Berichten von den laufenden Anwendertests und von Geschäftsmodellen rund um den neuen Ausweis sollen auch Untersuchungen zur Akzeptanz des elektronischen ID-Systems vorgestellt werden, das mit dem Personalausweis entsteht.
Im Unterschied zur zähen Einführung der elektronischen Gesundheitskarte soll der Personalausweis ein begehrter "Selbstläufer" werden. So gibt es im Innenministerium Überlegungen, die Produktion billiger USB-Stick-Lesegeräte für den kontaktlosen Ausweis deutlich zu erhöhen. Ursprünglich war geplant, eine Million Sticks zusammen mit einem Softwarepaket kostenlos an die Erstbesteller des Personalausweises auszugeben. Diese Zahl gilt heute als "Untergrenze".
Quelle und Links : http://www.heise.de/newsticker/meldung/Sicherheitsbeweis-zum-elektronischen-Personalausweis-veroeffentlicht-904255.html
-
Der Staatssekretär im Bundesinnenministerium (BMI) und Beauftragte der Bundesregierung für Informationstechnik, Hans Bernhard Beus, erwartet intensive Diskussionen über den elektronischen Personalausweis, der ab November das bisherige Dokument ablösen wird. "Wir halten sie für gut und richtig", erklärte er anlässlich der Eröffnung der dreitägigen Omnicard, dem alljährlichen Branchentreff der Chipkarten-Industrie. Das Treffen steht in diesem Jahr unter dem Leitthema "Sicherer elektronischer Identitätsnachweis" und thematisiert auch die Einsatzmöglichkeiten des neuen Ausweises beim E-Commerce und im E-Government. Vom Sommer an will das BMI deshalb die Öffentlichkeitsarbeit intensivieren – und Beus zählt dabei auf die Mitwirkung der Unternehmen und öffentlichen Verwaltungen. Wichtig sei vor allem, deutlich die verschiedenen Funktionsebenen des neuen Ausweises zu trennen, die in der Öffentlichkeit häufig durcheinander gebracht würden, wie der BMI-Staatssekretär beklagte.
Der neue Ausweis im Scheckkartenformat führt neben der biometriegestützten Identitätsfunktion, die ausschließlich den zur Identitätsfeststellung berechtigten Behörden vorbehalten ist, als unabhängige weitere Anwendung die eID-Funktion zur sicheren Online-Authentisierung am PC ein: Die Daten, die heute visuell vom Dokument ablesbar sind, werden künftig im Ausweis-Chip gespeichert, so dass sich der Inhaber auch im elektronischen Rechts- und Geschäftsverkehr über das Internet ausweisen kann. Zusätzlich wird als dritte Neuerung den Bürgern optional auch die qualifizierte elektronische Signatur (QES) mit dem kontaktlos auslesbaren Chip auf der Ausweiskarte zur Verfügung stehen.
Die eID-Funktion werde dem Bürger "mehr Souveränität über seine Daten im Ausweis verschaffen, als das bisher der Fall ist". So könne man jeweils im Einzelnen entscheiden, welche Daten man bei einer Transaktion im Internet übermittelt und "man weiß zugleich, an wen man seine Daten übermittelt". Denn Webshops und Dienstleistern wird der Zugriff auf die eID-Daten nur mit einem Berechtigungszertifikat möglich sein, das sie bei der beim Bundesverwaltungsamt in Köln angesiedelten Vergabestelle (VfB) beantragen und dabei ein berechtigtes Interesse für das Auslesen personenbezogener Daten aus dem Personalausweis nachweisen müssen. Aufgrund dieses Verfahrens hat der Netzbürger die Gewähr, "dieses Unternehmen gibt es in der wirklichen Welt und es ist berechtigt, mit diesen Daten zu arbeiten", erklärte Beus. "Wir werden Vertragsbeziehungen und Geschäftsbeziehungen haben, die von mehr Vertrauen getragen sind, als wir es heute haben."
Derzeit werden jährlich etwa fünf bis sechs Millionen Personalausweise erneuert, doch Beus hofft auf einen Run auf die Meldestellen und dass die Vorzüge der neuen Generation viele Bürger veranlassen, noch vor Ablauf der Geltungsfrist des alten einen neuen Ausweis zu beantragen. Zu den Mehrkosten für den Bürger über die bisher verlangte Gebühr von acht Euro hinaus wollte der Staatssekretär heute keine Angaben machen; man sei noch in Verhandlungen mit den Herstellern. "Da lässt sich im Augenblick noch keine Hausnummer nennen", erklärte er, versicherte aber, "das werden wir bis zum Frühjahr geklärt haben".
Auf der Eröffnungsveranstaltung erinnerte Mario Tobias vom Bitkom an die politischen Diskussionen über die biometrische Merkmalserfassung auf dem hoheitlichen Teil des Ausweis-Chips. Dies seien "schlechte Voraussetzungen" gewesen, "um den neuen Personalausweis mit seinen Vorzügen einzuführen". Deshalb begrüße er es, dass jetzt offiziell nicht mehr vom ePA, sondern vom nPA, dem "neuen Personalausweis " die Rede ist. Der Bitkom-Vertreter regte an, in der Öffentlichkeitsarbeit besonders die Jugendlichen zu adressieren und den "nPA" künftig nicht erst ab 16 Jahren, sondern vielleicht schon ab 14, oder sogar ab 12 Jahren auszugeben.
Der Sprecher des Deutschen Städte- und Gemeindebundes, Franz Reinhard Habbel, begrüßte die neuen Möglichkeiten der eID-Funktion im E-Government. Als eine Anwendung könne er sich beispielsweise auch "Datenkontrollstationen" vorstellen – einen Webzugang in die Verwaltung, über den der Bürger feststellen könne, welche Daten die Behörden über ihn gespeichert haben. Weitere Funktionen auf den Ausweis-Chip zu laden, sei technisch möglich, aber juristisch hierzulande nicht vorgesehen. So sei es denkbar, sein Auto statt mit dem Zündschlüssel künftig mit dem Ausweis zu starten.
Einen anderen Blick in die Zukunft warf der Geschäftsführer der Bundesdruckerei, Ulrich Hamann, der bereits an mobile Anwendungen der eID-Services denkt. "Warum soll man das Handy nicht als Terminal für den Personalausweis einsetzen", fragte er. Die absehbare Verbreitung von NFC-fähigen Mobiltelefonen würde dies ermöglichen und die NFC-Schnittstelle das Handy zum kontaktlosen Lesegerät für den elektronischen Ausweis machen. Im internationalen NFC-Forum engagiert sich die Bundesdruckerei bereits für eine entsprechende Anpassung der NFC-Spezifikation. "Wir arbeiten mit Partnern heftig dran", erklärte Hamann und kündigte an, "wir werden auf der CeBIT eine erste Applikation vorstellen".
Quelle : www.heise.de
-
Mit der Ausgabe der neuen elektronischen Personalausweise (ePA) und ihrer eID-Funktion ist auch der Aufbau einer Infrastruktur verbunden. Damit die eID vom Bürger zur Authentisierung in E-Commerce- und E-Government-Anwendungen genutzt werden kann, benötigt der User ausser dem ePA einen Kartenleser und eine spezielle Software, den sogenannten Bürgerclient. Im Hintergund müssen zudem ein oder mehrere eID-Server die sichere Abwicklung der Authentisierungsvorgänge zwischen dem Kunden und Dienstanbieter übernehmen. Zur Infrastruktur gehört auch ein Portal, von dem der Client heruntergeladen werden kann und das Unterstützungsleistungen sowie FAQs anbietet.
Diese Komponenten werden unter der Projektleitung von Siemens IT Solutions and Services in einem Konsortium mit den Partner OpenLimit (Bürgerclient) und der Bundesdruckerei (eID-Service) entwickelt. Wie Hubert Geml von Siemens jetzt auf der Omnicard in Berlin erläuterte, setzt der Bürgerclient als Middleware das 'eCard API Framework' (BSI TR-03112) um und "ermöglicht auch die Online-Authentisierung mit anderen eCards", also beispielsweise der elektronischen Gesundheitskarte, Signaturkarten, ELSTER oder ELENA – so sie denn in der geplanten Form kommen. Die Ver- und Entschlüsselung von E-Mails sowie als Option die qualifizierte elektronische Signatur (QES) "sind weitere Funktionalitäten, die der Bürgerclient anbietet".
Die Software wird diverse Betriebssysteme unterstützen. Mit Microsoft XP und Vista ist das bereits im Anwendungstest der Fall; noch in diesem Monat werden laut Geml Mac OS X und Ubuntu hinzukommen, weitere sollen folgen. Die Nutzung des Client ist derzeit mit den Browsern Explorer, Firefox und Safari möglich. Der eID-Service wiederum, der sich bei jeder Online-Datenabfrage aus dem neuen Ausweis durch einen dazu berechtigten Webshop einschaltet, entspreche der Richtlinie TR-03130 des BSI, werde in einem hochsicheren Trust Center betrieben und setze in der realisierten Architektur auf "eine saubere Trennung zwischen der eID-Kernfunktionalität, den eID-Cryptodiensten, und Hintergrundsystemen wie der Berechtigungs-PKI und dem Sperrdienst".
Die mit dem Bürgerclient einsetzbaren Kartenleser müssen der BSI-Richtlinie TR-03119 entsprechen. Die lässt drei Kategorien von Lesegeräten für die eID-Anwendungen zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC. Gegenüber der Basisversion werden Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates bieten und über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen.
"Wir haben relativ schnell die Technische Richtlinie des BSI umsetzen können", erklärte Dietmar Wendling von der SCM Microsystems GmbH auf der Kongressmesse in Berlin. Sein Unternehmen bietet Produkte in allen drei Kategorien mit den Treibern für die Betriebssysteme MS Windows 2000, XP, Vista, Mac OS X und Linux an. Der für das Geschäftsfeld EGovernment bei SCM zuständige Manager glaubt, dass die eID-Funktion zu einer "Killer-Applikation" wird. "Die kritische Masse von Bürgern mit positiven Erfahrungen", ist Wendling überzeugt, "erzeugt den 'me too'-Effekt".
Bereits seit Oktober läuft ein zentral koordinierter Anwendungstest mit 30 Dienstanbietern, in dem Mitarbeiter der beteiligten Firmen die eID- und QES-Funktionen des Ausweises im Zusammenspiel mit den entwickelten Anwendungen und dem eID-Service erproben. Anfang Januar hat jetzt die zweite Phase mit einem offenen Feldtest begonnen, an dem jedes interessierte Unternehmen teilnehmen kann. Zur Zeit haben sich mehr als 80 Firmen gemeldet, weitere sind aber willkommen. "Das ist kein closed shop", betonte der Bundes-CIO und Staatssekretär im Bundesinnenministerium, Hans Bernhard Beus auf der Omnicard. "Wir sind glücklich und zufrieden über jeden, der sich dafür interessiert, um auf die Weise die Zahl der Anwendungen zu erhöhen".
Bislang liege man im Zeitplan, erklärte Siemens-Manager Geml. Im Februar wird mit der Verabschiedung der Personalausweis-Verordnung durch den Bundesrat gerechnet. Vom 1. Mai an sollen die Diensteanbieter ihre Anträge für die Berechtigungszertifikate zum Wirkbetrieb bei der Vergabestelle (VfB) im Bundesverwaltungsamt einreichen können. Parallel dazu, ab Ende März, sollen der Bürgerclient und der eID-Server in der Version 2 in die Zertifizierung nach Common Criteria EAL3+ gehen. Die Abnahme durch den Auftraggeber, das Bundesinnenministerium, ist im Zeitraum von Juli bis Mitte September vorgesehen. Beobachter indes halten den Zeitplan für ein Entwicklungsprojekt in dieser Größenordnung angesichts noch vieler offener Fragen für "gewagt". So sei bisher noch nicht einmal bekannt, wie die Berechtigungszertifikate aussehen, warf Torsten Wunderlich von der Datev in die Diskussion ein. Doch Geml blieb optimistisch. "Wir sehen derzeit keine Hindernisse größerer Natur, die den Zeitplan in irgendeiner Weise in Frage stellen würden".
Quelle : www.heise.de
-
Der eID-Funktion des neuen Personalausweises liege "ein intelligentes und datenschutzfreundliches Konzept" zugrunde, lobte der Bundesdatenschutzbeauftragte Peter Schaar in einer Podiumsdiskussion auf dem Chipkarten-Kongress Omnicard. Es erlaube den Bürgern im elektronischen Geschäftsverkehr über das Internet die klare Unterscheidung "zwischen Identifizierung, Authentisierung und Autorisierung". Bei jeder Transaktion könnten sie entscheiden, in welchem Umfang sie personenbezogene Daten über sich preisgeben. Gleichwohl sparte Schaar nicht mit Kritik an dem Projekt, bei dem das Roll-out der Ausweise im Scheckkartenformat vom 1. November an bevorsteht.
Zum einen sieht er die Gefahr, dass diese Differenzierung von den Webshop-Betreibern unterlaufen wird und in der Praxis quasi automatisch "jedesmal, wenn der elektronische Personalausweis eingesetzt werden kann, tatsächlich die Identifizierung abverlangt wird". Zum anderen wies er darauf hin, dass der Staat mit der eID "eine neue Schlüsselfunktion" zwischen Konsumenten und Diensteanbietern einnimmt und durch die Zertifikatausteilung und -entziehung "eine enorme Macht ausübt", ohne dass geklärt wurde, an welche Voraussetzungen dies geknüpft ist und welche Vorstellung von Zuverlässigkeit des Diensteanbieters dem zugrunde liegt. "Das sind Fragestellungen, die noch nicht wirklich zu Ende gedacht worden sind", bedauerte der Bundesdatenschutzbeauftragte. Die Zuverlässigkeit sei im Gesetzgebungsverfahren durch eine dahingehende bloße Vermutung ersetzt worden; sie an ein Datenschutzaudit zu knüpfen, "war offenbar nicht durchsetzbar". Der Zugriff auf Identitätsdaten sollte jedoch "nur solchen privaten Stellen gewährt werden, die sich einem Datenschutzaudit unterwerfen", bekräftigte er seine Position und forderte, dies zu gegebener Zeit im Rahmen einer "ergebnisoffenen und objektiven Evaluation" des elektronischen Personalausweises wieder auf die Tagesordnung zu setzen.
Die Forderung der Kopplung sei im parlamentarischen Verfahren zum Personalausweisgesetz diskutiert worden, entgegnete der IT-Direktor im Bundesinnenministerium, Martin Schallbruch; aber es gebe noch kein Datenschutzauditgesetz. Grundsätzlich bestünde aber die Möglichkeit, dass die Vergabestelle für Berechtigungszertifikate (VfB) beim Bundesverwaltungsamt eine erteilte Berechtigung im Missbrauchsfall wieder entzieht. Natürlich hätte man sich die Voraussetzungen solcher Eingriffe juristisch noch "sehr viel schärfer" formuliert vorstellen können, diese unterlägen jedoch "allen möglichen Rechtsgebieten". Voraussetzung eines Entzugs sei jedenfalls nicht nur ein eklatanter Datenmissbrauch, "die Gesetzesformulierung ist durchaus etwas weiter gefasst", und ob sie auch die von Verbraucherschützern immer wieder beklagten Abo-Fallen und Koppelgeschäfte im Internet umfasse, müsse man sehen. "Da werden wir Erfahrungen sammeln müssen". Im Vergleich zum privatwirtschaftlichen Gebrauch des Personalausweises in Offline-Geschäften, wo kein Kunde kontrollieren könne, was mit den Daten geschieht, wenn sich der Vertragspartner eine Kopie zieht, sei die eID im E-Commerce aber "ein Riesenfortschritt".
Die Vertreterin der Verbraucherzentrale Bundesverband, Cornelia Tausch, bemängelte die Diskrepanz zwischen den bislang unzureichenden Informationen und der Art, wie die eID "im Augenblick als Heilmittel transportiert" werde. "Die meisten Verbraucher sind noch gar nicht informiert", klagte sie, "weder über die Vorteile noch gegebenenfalls die Risiken". Sie empfahl, nicht nur die Systeme und Software, sondern auch die offiziellen Verlautbarungen und Publikationen vorab darauf hin zu prüfen, ob sie von weniger technikaffinen Verbrauchern richtig verstanden werden. Denn gegen viele Missbrauchsarten wie Abo-Fallen, Koppelgeschäfte in Gestalt einer über den eigentlichen Vertragszweck hinausgehenden Erhebung von Daten und beim Bezahlen im Internet "in hohem Umfang" festzustellenden Missbrauch mit Kontodaten werde die eID nicht schützen, deshalb sollte man auch "keine Versprechungen machen, die der elektronische Personalausweis nicht erfüllen kann".
Amtliche Ampeln und Verkehrszeichen würden auch nicht jeden Verstoß gegen die Straßenverkehrsordnung ausschalten, konterte Schallbruch. Missbrauch gibt es auch mit dem alten Personalausweis; die eID bringe zusätzliche Sicherheitsfeatures, "aber man wird nicht alles damit ausschließen können". Er gestand aber ein, "das müssen wir kommunizieren". Im Sommer werde dazu eine allgemeine Öffentlichkeitskampagne gestartet. Schallbruch verteidigte auch die als Neusprech kritisierte Umbenennung des ePA in nPA, den 'neuen Personalausweis'. "Wir haben festgestellt, dass andere Funktionen, wie zum Beispiel das kleinere Format der Karte, Teile einer großen Veränderung sind, deshalb erschien es uns besser, das alles kommunikativ zusammenzufassen", erläuterte er.
"Wir können mit dem elektronischen Personalausweis nicht alle Probleme lösen, die wir haben", schloss sich Datev-Chef Dieter Kempf als Vertreter des Bitkom-Präsidiums der Argumentation Schallbruchs an. Der Industrie sei wichtig, "möglichst schnell eine relevante Flächendeckung" zu erreichen. Das Augenmerk richte der Bitkom auf die Altersgruppe der 16-Jährigen, die erstmals das amtliche Ausweisdokument erhalten werden. Für sie wünscht sich der Verband zielgruppengerechte Anwendungen der eID und plant, gemeinsam mit Deutschland sicher im Netz (DSiN) demnächst einen entsprechenden Wettbewerb auszuschreiben. Diese Jugendlichen sollten die Lesegeräte kostenlos erhalten, forderte er und empfahl, sich "erst einmal mit den Chancen zu beschäftigen, als mit den Problemen".
Quelle : www.heise.de
-
Selbst ist der Bürger, wird es künftig immer öfter heißen, wenn ab dem 1. November die neuen Personalausweise ausgegeben werden. Deren eID-Funktion wird nicht nur mehr Sicherheit im E-Commerce bringen; Verwaltungsfachleute erwarten von der Möglichkeit zur elektronischen Authentisierung auch die Erschließung von Rationalisierungspotentialen durch Selbstbedienung (SB) im kommunalen E-Government. "Warum versuchen wir nicht dasselbe, wie die Banken es gemacht haben?" fragte der Diplom-Verwaltungswirt Peter Klinger auf der Abschlussveranstaltung des Chipkarten-Kongresses Omnicard.
Der frühere Leiter des Hagener Betriebes für Informationstechnik (HABIT), der nach seinem Ausscheiden aus dem aktiven Dienst Lehrbeauftragter an der Fernuniversität Hagen ist, plädiert für die Modellierung von Selbstbedienungsprozessen in den Bürgerämtern. "Wir haben doch das gleiche Equipment", erklärte er; "die Infrastruktur aus elektronischem Personalausweis, eID, und PIN für die Freischaltung der eID entspricht der seit Jahren bei vielen Nutzern vorhandenen Ausstattung zur Selbstbedienungsabwicklung von Geldgeschäften bei Banken und Sparkassen." Damit eröffne sich die Möglichkeit, Bürgern auch unabhängig von einem eigenen Internetzugang die Dienstleistungen der Verwaltung an SB-Terminals in öffentlichen Gebäuden oder in den Geldinstituten anzubieten. "Das Problem wird sicherlich sein, wie wir die Sicherheitsinfrastruktur, die beim Sachbearbeiter angesiedelt ist, zehn Meter weiter an ein SB-Terminal bringen."
Die Stadt Hagen gehörte bereits zu den 30 Teilnehmern an den Pilotversuchen zum elektronischen Personalausweis; das Hagener E-Government-Konsortium, an dem sich die Stadtverwaltung, HABIT, die Fernuniversität, SAP und zwei kleinere Unternehmen beteiligen, ist auch in dem jetzt begonnenen offenen Feldtest der eID aktiv. Zu den Dienstleistungen, die dort im Rahmen von SB-Prozessen geprüft werden, gehört zunächst einmal das Management der eID-Funktion selbst – wie beispielsweise das Aktivieren oder Deaktivieren dieses optionalen Features auf dem neuen Ausweis – darüber hinaus aber auch Vorgänge aus dem 'Massengeschäft' der Kommunalverwaltung: An- oder Ummeldung des Wohnsitzes, die Erteilung von Melde- und Aufenthaltsbescheinigungen, die Beantragung eines Anwohnerparkausweises und dergleichen mehr.
Klinger hält diese Entwicklung aus der Sicht der Kommunen für unabdingbar, auf die gerade durch den elektronischen Personalausweis zusätzliche Belastungen zukommen. "Da sind Entlastungen bei den bestehenden Aufgaben notwendig." Außerdem seien 30 Prozent der Beschäftigten in der öffentlichen Verwaltung über 50 Jahre, und es sei nicht anzunehmen, dass die ausscheidenden Mitarbeiter in vollem Umfang durch Neueinstellungen ersetzt werden. Auch dies mache weitere Rationalisierungen erforderlich.
Eine Hürde ließe sich dadurch aus dem Weg räumen, indem der Gesetzgeber die in einfachen kommunalen Massenverfahren vielfach noch geltende Anforderung der Schriftform neu definiere; dann würde es möglich, die bei der Transformation auf den elektronischen Rechts- und Geschäftsverkehr nötige, bei den Bürgern bislang jedoch kaum verbreitete qualifizierte elektronische Signatur durch die Identifizierung per eID und PIN zu ersetzen. "Wir hoffen, dass sich das im weiteren Gesetzgebungsverfahren ein bisschen lockert", erklärte Klinger. "Dann hätten wir es noch einfacher, kommunale Verwaltungsverfahren zu digitalisieren". Bei den Massendienstleistungen der Banken und Sparkassen legten die Bürger "seit Jahrzehnten in Milliarden von Fällen" doch auch andere Kriterien an: "Nach sicherer Identifikation durch die Geldkarte und die PIN bekommen wir Geld, überweisen wir Geld und drucken unsere Kontoauszüge aus, ohne dafür jedesmal irgendetwas unterschrieben zu haben".
Quelle : www.heise.de
-
Kritiker haben schon seit Längerem immer wieder vor Sicherheitsrisiken bei elektronischen Ausweisdokumenten gewarnt. Britische Hacker bestätigten dies nun: sie deckten ernsthafte Schwächen beim aktuellen ePass auf, die Bewegungsprofile der Inhaber ermöglichen.
Die betreffenden Ausweisdokumente werden in den USA, Großbritannien und rund 50 anderen Ländern verwendet. Der Angriff ermöglicht es, ein Ausweisdokument in Echtzeit zu verfolgen, ohne zuvor den kryptographischen Schlüssel des Dokuments zu kennen. Zu diesem Schluss kamen Forscher University of Birmingham. Dies sei permanent möglich, da der RFID-Chip im Ausweis nicht abgeschaltet werden könne. Einzige Abhilfe bietet die Abschirmung des Dokuments, beispielsweise mit Hilfe eines speziellen, mit Metallgewebe gefütterten Portemonnaies.
Die Forscher, Tom Chothia and Vitaliy Smirnov, erklären, dass durch den vorgestellten Angriff die Daten auf dem Chip nicht kompromittiert würden. Für die Privatsphäre der Ausweisinhaber allerdings, so die beiden, könnte das Angriffsszenario (die sogenannte "traceability attack") durchaus ernsthafte Konsequenzen haben. "Angenommen, die Zielperson hätte ihren Ausweis bei sich, dann könnte ein Angreifer ein Gerät in einem Eingang platzieren, das feststellt, wann die Zielperson das Gebäude betreten oder verlassen hat," beschreiben die Forscher eine beispielhafte Anwendung ihrer Erkenntnisse.
Für einen erfolgreichen Angriff müssten die Interessenten den Datenaustausch des Ausweises der Zielperson mit einem "autorisierten" Lesegerät beobachten. Anhand dieser Daten könnten sie dann ein Gerät bauen, das registriert, wenn der Ausweis sich dem Gerät auf eine bestimmte Entfernung annähert. Die Wissenschaftler schätzen, dass das Gerät bis zu einer Entfernung von 20 inches, also rund einem halben Meter, funktionieren würde.
Diese Erkenntnisse sind lediglich ein weiterer Beleg dafür, dass elektronische Ausweisdokumente durchaus nicht frei von Risiken für die Benutzer sind. Ähnliche Forschungsprojekte gab es bereits seit Jahren - und auch sie kamen größtenteils zu dem Ergebnis, dass bei den ePässen besorgniserregende Lücken bestehen. Dennoch sind diese Dokumente auf dem Vormarsch. Auch Deutschland will ab Ende des Jahres Personalausweise mit RFID-Chips ausgeben.
Quelle : www.gulli.com
-
Wegen der zu erwartenden Kostenentwicklung sprachen sich verschiedene Politiker der FDP dafür aus, die Einführung des elektronischen Personalausweises aufzuschieben. Eigentlich sollte dieser allen Bundesbürgern ab November 2010 obligatorisch ausgestellt werden.
Die FPD-Politiker Gisela Piltz und Christian Ahrend plädieren dafür, den Start des ePersos um zehn Jahre zu verlegen. Obwohl dieser immer teurer zu werden droht, wurde in der Vergangenheit häufiger der Sinn von Experten angezweifelt. Man kritisiert dabei die geplanten sieben Millionen Euro, die für die Werbung des geplanten ePerso ausgegeben werden sollten. Im Anbetracht der angespannten Haushaltslage sei eine solche Ausgabe zweifelhaft. Auf dem Chip des elektronischen Personalausweises sollen bekanntlich persönliche Daten und ein digitales Foto des Inhabers gespeichert werden. Damit soll bei Behördengängen, Überweisungen und Geschäften im Internet die Identität des ePerso-Inhabers sichergestellt werden.
Jan Korte von der Linkspartei findet, die sieben Millionen Euro sollten lieber dem Bundesbeauftragten für den Datenschutz zur Verfügung gestellt werden. Grünen-Politiker Malte Spitz sagte taz.de, der ePerso gehöre schnell eingestampft. Er brächte nicht mehr Sicherheit, "sondern mehr Datenunsicherheit".
Der ehemalige Polizist Thomas Wüppesahl hatte letzte Woche im Rahmen unseres Interviews eine bessere Ausstattung des Datenschutzbeauftragen gefordert: "Was sehr erfreulich ist und was ich schon vor 20 Jahren im Bundestag Jahr für Jahr vergeblich forderte: Der Bundesdatenschutzbeauftragte für den Datenschutz (BfD) soll eine verbesserte Ausstattung in personeller wie sächlicher Hinsicht erhalten. Hoffentlich erhält er sie auch. Wenn man sich bloß ansieht, wie viel Hunderte (!) mehr Personalstellen dem Bundeskriminalamt (BKA) in den letzten 25 Jahren bewilligt wurden und wie schwach der BfD gehalten wird, dann muss schon naiv sein, wer an Zufall glaubt." Thomas Wüppesahl wies auch darauf hin, dass man die Rechtskontrolle ausschalten oder zumindestens erheblich schwächen kann, indem man die Kontrollinstanzen mit zu geringen Ressourcen ausstattet, "um sich dann ganz doll und plötzlich zu wundern, wenn ein Datenskandal nach dem anderen bekannt wird."
In diesem Zusammenhang dürften zahlreiche Bürgerinnen und Bürger die Idee von Jan Korte wohlwollend beurteilen. Ob man aber in Berlin diese Ansicht teilen wird?
Quelle : www.gulli.com
-
Mit neuem Logo, das eID-Anbieter künftig auf ihren Webseiten nutzen sollen, präsentiert sich der elektronische Personalausweis auf der CeBIT in Halle 9 mit einem ganzen Bündel von Anwendungen. "Meine wichtigste Karte", so der neue Werbeslogan für den Ausweis, soll so überzeugend sein, dass ab dem 1. November ein regelrechter Run auf die Karten einsetzen kann. Über 30 Industriepartner aus dem Feldtest präsentieren Lösungen für den Ausweis, täglich gibt es mehrere Vorträge über seine Fähigkeiten.
In seinem Referat stellte Frank-Rüdiger Srocke vom Bundesinnenministerium (BMI) klar, dass der neue Ausweis im Zeitplan liege. Zum Januar haben die Anwender- und Feldtests begonnen, ab 1. Mai startet das Bundesverwaltungsamt mit der Ausgabe von Berechtigungszertifikaten. Diese Zertifikate werden von Dienstleistern benötigt, um auf Datenfelder im nicht-hoheitlichen Teil des Ausweises zugreifen zu können. Im August soll in einem Feldtest mit 28 Ausweisbehörden und den unterschiedlichsten Verwaltungssystemen das Ausstellen echter Ausweise geprobt werden, anschließend startet ein Systemtest.
Mit dem Stichtag 1. November gibt es nur noch die neuen Ausweise, die von etwa 5300 Stellen ausgegeben werden. Diese erhalten nicht nur neue Software mit einem neuen XhD-Datenaustauschformat, sondern auch neue Lesegeräte, da der elektronische Personalausweis nicht von den bisher genutzten Lesegeräten verarbeitet werden kann. Das ist aber nötig, weil jeder Bürger am Arbeitsplatz der Meldebehörde seine kompletten Daten einsehen können soll. Was er mit den Daten machen kann, darüber soll eine bundesweite Hotline (0180/1333333) rund um die Uhr aufklären. Sie soll vom Kompetenzzentrum neuer Personalausweis betrieben werden.
Wer die elektronischen Funktionen nicht aktivieren will, wird dies schriftlich bei der Meldebehörde beantragen müssen – ebenso wie der Verzicht auf Fingerabdrücke im hoheitlichen Teil schriftlich dokumentiert werden muss. Keine Angaben machte Srocke darüber, was der neue Ausweis kosten soll. Ihm zufolge verhandelt das BMI derzeit mit den kommunalen Spitzenverbänden und der Bundesdruckerei. Die in den Medien kolportierte Summe von 16 Euro sei "aus der Luft gegriffen".
Eine ganze Reihe von auf der CeBIT gezeigten Anwendungen nutzt die digitale Altersangabe des Ausweises, etwa beim Lotto-Portal von Lotto Hessen oder bei den neuen Zigarettenautomaten der Firma Willi Weber. Dann sind eine Reihe von Versicherungen und Banken wie Gothaer, HUK24, LVM die Sparkassen und die DKB auf der Messe vertreten, die beim Banking oder der Eingabe von Schadensmeldungen die elektronische ID-Prüfung nutzen. Großen Zuspruch erhoffen sich die Ausweisplaner von einer Anwendung, die die Arbeitsgemeinschaft eKFZ und das Fraunhofer Fokus-Institut entwickelt: die elektronische An- und Abmeldung des Autos.
Auch der elektronische Lohnzettel, den die große Steuerberater-Genossenschaft Datev im Jahre 2011 starten will, setzt den elektronischen Personalausweis bei der Identifizierung des Anwenders voraus. Die Bundesdruckerei zeigt gemeinsam mit der deutschen Bahn eine Lösung, die das bisherige Verfahren "Call A Bike" ersetzen soll: Anwender, die ein Handy mit NFC-Funktionalität haben, sollen die Mieträder in Zukunft an NFC-Terminals ausleihen, in die der Ausweis gesteckt werden muss.
Bei aller Euphorie über den digitalen Schwung, den der neue Ausweis bringen soll, war es am Bundesamt für Sicherheit in der Informationstechnik (BSI) als technische Aufsichtsbehörde, das positive Bild etwas zu dämpfen. Jens Bender stellte nüchtern fest: "Die elektronische ID des Ausweises als Infrastrukturmaßnahme kann nicht alle Probleme des Netzes lösen." Insofern sei es unredlich, bestimmte Dinge mit dem Ausweis zu verknüpfen, der primär der sicheren Authentfizierung diene. "Der Einsatz des Ausweises ist kein Schutz vor Malware. Er ist auch kein absoluter Schutz gegen das Social Engineering, aber er macht das Phishing schwerer."
Quelle : www.heise.de
-
Am gestrigen Dienstag hat die Vergabestelle für Berechtigungszertifikate beim Bundesverwaltungsamt ihren Betrieb aufgenommen. Ab sofort können Firmen Zertifikate für den Zugriff auf die nicht-hoheitlichen Datenfelder des elektronischen Personalausweises beantragen. Für interessierte Bürger wurde außerdem im Rahmen der Ausweiswerbung für "Meine wichtigste Karte" das Personalausweisportal gestartet. Dort sind Demonstrationsvideos zum neuen Personalausweis, eine Sammlung von erklärenden PDF-Dateien und Formulare, mit denen der Bürger Widerspruch einlegen kann, wenn seine frei gegebenen Daten nicht mehr von einem Dienstleister verwendet werden sollen, abrufbar.
(http://www.heise.de/imgs/18/5/1/5/9/1/6/nt-ep1.jpg-7593eb6d853606eb.jpeg)
Zum Start des elektronischen Personalausweis am 1. November sollen nach dem Willen der Bundesregierung einige attraktive Angebote das neue Identitätssicherungssystem im Internet begleiten, das mit dem Ausweis möglich wird. Zur automatischen Abfrage der Datenfelder des Ausweises, die mit einem kontaktlosen Lesegerät, einem Bürgerclient und einer PIN-Eingabe möglich sein sollen, brauchen Firmen Berechtigungszertifikate. Alle Anbieter, die den elektronischen ID-Dienst (eID) nutzen wollen, weisen sich mit so einem Berechtigungszertifikat vor dem Bürger aus. Neben der Verifikation setzt das Zertifikat fest, welche Felder der eID ausgelesen werden dürfen, etwa Titel, Name, Vorname und Anschrift bei einem Versender oder die Angabe, ob bei einem Anbieter erotischer Inhalte ein bestimmtes Alter über- oder unterschritten wird.
Die Prüfung der Anbieter und die darauffolgende Ausgabe von Zertifikaten durch das Bundesverwaltungsamt ist seit gestern aktiv. Vor allem Automatenhersteller, Versicherungen und Banken sowie kommunale Datenverarbeiter sollen zu den Antragsstellern der ersten Stunde gehören. Bereits 170 Firmen haben zu den Anwendungstests bereits Zertifikate erhalten; insgesamt hofft man, dass 1000 bis 1500 Dienstleister beim Start des Personalausweises dabei
(http://www.heise.de/imgs/18/5/1/5/9/1/6/nt-ep2.jpg-96baf6b7ff2eb739.jpeg)
Fragt eine Firma als Dienstanbieter Daten aus dem elektronischen Personalausweis ab, so präsentiert sie dem Bürger mit dem Berechtigungszertifikat ihren Namen, die Anschrift und die E-Mail-Adresse, einen Hinweis auf den zuständigen Datenschutzbeauftragten, einen Kurztext über den Zweck der Datenabfrage sowie den letzten Tag der Gültigkeitsdauer des Zertifikats. Außerdem nennt sie die Nummern der 12 Kategorien, die im Personalausweis gespeichert sind. Mit diesen Informationen kann der Bürger entscheiden, ob er seine Daten dem Dienstleister zukommen lassen will und dokumentiert sein Einverständnis durch die Eingabe einer sechsstelligen PIN. Der Dienstleister bezieht dann die Daten und kann sie für eigene Zwecke speichern und weiterverarbeiten. Die Daten sind dabei nicht signiert und können daher nicht missbräuchlich weiterverkauft werden. Hegt der Bürger einen Verdacht auf Datenmissbrauch, so kann er sich an den im Zertifikat genannten Datenschutzbeauftragten wenden, der für die Sperrung von Zertifikaten zuständig ist.
Quelle : www.heise.de
-
Der neue Personalausweis im Scheckkartenformat wird 28,80 Euro kosten – mehr als dreimal so viel wie bisher. Wer unter 24 Jahre alt ist, erhält das Dokument mit einem Chip zur elektronischen Identifizierung vom 1. November an zum ermäßigten Preis von 19,80 Euro. Der erste Personalausweis für Jugendliche zwischen 16 und 18 Jahren wird kostenfrei sein. Den Entwurf für die Gebührenordnung legte das Bundesinnenministerium am Donnerstag vor. Derzeit kostet ein Personalausweis 8,00 Euro.
Im Ausweis ist ein Chip integriert, auf dem die persönlichen Daten digital gespeichert werden. Damit soll auch eine Identifizierung im Internet etwa beim Online-Shopping oder Online-Banking ermöglicht werden.
Die Gebühr für den Ausweis mit elektronischer Identitätsfunktion liege im europäischen Vergleich im Mittelfeld, sagte Innenminister Thomas de Maizière (CDU). Zu einem Fünftel werden die Einnahmen für den Verwaltungsaufwand der Kommunen verwendet, mit dem Rest sollen die Herstellungskosten der Bundesdruckerei gedeckt werden.
Quelle : www.heise.de
-
Bundesinnenminister Thomas de Maizière und der Verein "Deutschland sicher im Netz" (DsiN) haben am heutigen Donnerstag bei der Bundesdruckerei in Berlin den elektronischen "neuen" Personalausweis vorgestellt. Mit dem vom 1. November an verfügbaren Dokument hätten Staat und Wirtschaft einen "Standard-Identitätsnachweis fürs Internet geschaffen", erklärte der CDU-Politiker die wichtigste Weiterentwicklung des im Scheckkartenformat gehaltenen "kleinen neuen Schätzchens". Das lästige Merken oder versteckte Notieren vieler Passwörter für Online-Dienste werde damit überflüssig. Die Ausweisfunktion fürs Netz brauche aber keiner nutzen, so dass auch "niemand Angst vor Missbrauch" haben müsse.
Die Neuentwicklung werde "mit allen üblichen IT-Systemen auf Nutzer- und Anbieterseite zusammenarbeiten" können, versicherte der Minister weiter. "Wir mussten eine Art kleinen Computer entwickeln und eine Infrastruktur dafür aufbauen." Der Staat wirke dabei als "hoheitlicher Vertrauensstifter", ohne sich jedoch selbst in die Kommunikation einzumischen. Dafür sei unter Berücksichtigung von Datenschutzaspekten ein "wechselseitiger Identifikationsprozess" über ein Berechtigungszertifikat geschaffen worden. Anders als bei eID-Funktionen in Estland oder Italien müsse auch die abfragende Stelle erst sagen, wer sie sei.
Ausgelesen werden könnten nur die personenbezogenen Informationen, die in der jeweiligen Situation von Unternehmen oder Institutionen tatsächlich benötigt würden, betonte de Maizière weiter. Ein Online-Shop etwa brauche zwar die Adresse des Einkäufers, aber nicht immer dessen Alter. Der Nutzer sei so imstande, mit seinen Daten "souverän und sparsam umzugehen". Diese könne auch keiner "mitlesen, verändern oder kopieren", wenn er keine ausdrückliche Genehmigung dafür habe.
Auf die umstrittene Möglichkeit, auch freiwillig Fingerabdrücke auf dem kontaktlos auslesbaren Chip speichern zu lassen, ging der Innenminister nur kurz ein. Die entsprechenden Daten "werden auf keinen Fall für private Anbieter zur Verfügung gestellt", führte er aus. Sie blieben "hoheitlichen Befugnissen" vorbehalten, was auch für "biometrische Daten anderer Art" wie die digitalen Fotos der Ausweisinhaber gelte. De Maizière selbst will sein neues Dokument "am liebsten gleich am 1. November" beantragen. Zugleich verteidigte er das gesetzlich festgeschriebene Verfahren, dass der Ausweis weiterhin persönlich abgeholt werden muss. Dies sei zumindest in der ersten Phase wichtig, um die künftigen Inhaber noch einmal speziell über die Nutzung aufzuklären. Später sei eventuell auch ein Ansatz wie bei Bankkarten vorstellbar, bei dem die PIN separat verschickt wird.
Ralph Haupter, Chef von Microsoft Deutschland, geht davon aus, dass bis 2012 ein Drittel der Bürger den E-Perso in der Tasche haben dürften. Um für Akzeptanz zu sorgen und den "Mehrwert" des Systems zu demonstrieren, hätten in einem ersten Test 30 Firmen und andere Einrichtungen seit Oktober 2009 praktische Anwendungen entwickelt. So habe das Fraunhofer-Institut Fokus etwa ein Verfahren gefunden, "wie man sich ohne persönliches Erscheinen online immatrikulieren kann". Die bereits vorbereiteten Verfahren würden für den Start im November "aktuell optimiert", weitere 160 Bewerber stünden für eine weitere Stufe Schlange.
"Wir stehen an der Geburt eines neuen Mediums", begeisterte sich Thomas Walloschke von Fujitsu als einer der Testentwickler für die kommenden Möglichkeiten. Die eigentliche Revolution sei es, dass der elektronische Identitätsnachweis das Ausfüllen "langweiliger Registrierungsformulare" erübrige. Dieses sei künftig mit dem "Bürger-Client" per Knopfdruck zu erledigen. Dabei habe der Nutzer die Möglichkeit, den übertragenen Datensatz zu beschränken. Bei einer erneuten Anmeldung über den gleichen Dienst sei bei speziellen Anwendungen dann ein erneutes Auslesen der freigegebenen Informationen nicht mehr nötig. Die zugleich benötigte sechsstellige PIN legte der Industrievertreter den Zuhörern als "weiteren Teil ihres Lebens" ans Herz. Nötig sei nun noch die Verbreitung der Lesegeräte, die vom Staat in einer Basisversion für rund 35 Euro angeboten würden. Zudem erachtete Walloschke die "internationale Anerkennung" des Projekts im eID-Bereich für wichtig, wofür mit einer Zertifizierung auf Basis des EU-Projekts STORK bereits ein Schritt getan sei.
Ein Vertreter der Deutschen Kreditbank zeigte sich "sehr froh, wenn wir hier saubere, qualitativ hochwertige Daten bekommen". Diese seien auch nicht mehr veränderbar, wenn das Online-Formular ausgefüllt sei. Beim bisher eingesetzten Post-Ident-Verfahren habe man doch immer wieder mit Zahlendrehern bei den Postleitzahlen oder unterschiedlichen Schreibweisen von Namen zu kämpfen gehabt. Als Hürde für den Einsatz des Ausweises beim Online-Banking bezeichnete es der Branchenvertreter, dass für den Erhalt eines neuen Kontos zunächst eine zusätzliche Legitimation durch eine "Initialüberweisung von einem bestehenden Konto" erfolgen müsse. Jugendliche, die noch kein eigenes Konto haben, könnten daher übers Netz auch kein weiteres eröffnen.
Die näher kommende Einführung der 28,80 Euro kostenden ID-Karte ruft aber auch nach wie vor Kritiker auf den Plan. Cornelia Tausch vom Bundesverband der Verbraucherzentralen (vzbv) wies darauf hin, dass das Zertifikat zur prinzipiellen Ausleseberechtigung nicht mit einem "Gütesiegel" verwechselt werden dürfe. Es finde "keine Seriösitätsprüfung" statt. Sie fürchtete zudem, dass viele Computernutzer derzeit nicht das "entsprechende Know-how" hätten, den Pass fürs Netz wirklich sicher anzuwenden. Dafür müsse schließlich vorausgesetzt werden, dass Systeme mit aktuellen Firewalls und Virenschutz ausgerüstet seien. Ferner wollten sich Bürger "nicht an jeder Stelle" im Internet ausweisen, sondern oft anonym im Netz unterwegs sein.
Auch der Bremer Informatikprofessor Herbert Kubicek goss Wasser in den Wein der Karten-Euphoriker mit der Ansage, dass die derzeitige PIN-TAN-Lösung für die meisten Nutzer komfortabel sei. In Finnland etwa hätten nach der Einführung eines ähnlichen Systems nur drei Prozent der Bürger freiwillig die eID-Funktion angenommen. Der Bundesdatenschutzbeauftragte Peter Schaar appellierte an alle Bürger, genau zu überlegen, ob sie ihre Fingerabdrücke abgeben wollten. Eine effektive Sicherung der gespeicherten biometrischen Daten sei "unverzichtbar".
Quelle : www.heise.de
-
Die IT-Sicherheitsfirma media transfer AG nimmt erste Identitätsserver in Betrieb, mit welchen ab November 2010 die neuen elektronischen Personalausweise in Deutschland verwaltet werden sollen.
Ab November ist es soweit: Die alten Personalausweise werden von elektronischen, scheckkartengroßen Ausweisen abgelöst. Diese neue Generation von Dokumenten soll mit einer größeren Sicherheit sowie einem größerem Maß an Komfort einhergehen.
Auf dem Pass sind alle Informationen, die auf dem alten Ausweis schriftlich vermerkt waren, auf einem kleinen integrierten Chip gespeichert. Zudem wird auch ein Bild sowie biometrische Informationen des Besitzers in der Karte integriert sein. Freiwillige können überdies auch ihre Zeigefingerabdrücke im Personalausweis speichern lassen.
Durch diese Änderung werden Grenzkontrollen zukünftig schneller vonstattengehen können, da ein Computer automatisch das Bild auf dem Ausweis mit dem der betreffenden Person vergleicht. Des Weiteren soll auch das sogenannte E-Business auf diese Weise revolutioniert werden: Onlineeinkäufe, Altersüberprüfugen und so weiter sollen so laut Bund wirtschaftlicher und schneller abgehandelt werden. Hierfür benötigt der Bürger allerdings ein spezielles Kartenlesegerät, das Daten vom Ausweis ins Internet überträgt. Allerdings wird es nicht jeder Website erlaubt sein die Personalien eines Nutzers abzufragen. Hierfür wird ein Zertifikat, das vom Bund vergeben wird, benötigt. Um mehr Sicherheit zu gewährleisten, wird der Nutzer zur Eingabe einer sechstelligen PIN-Nummer aufgefordert, bevor die Daten übertragen werden.
Zum neuen Ausweis gibt es allerdings nicht nur positive Stimmen: Zwar gilt die Verschlüsselung der Daten auf dem Chip nach eigenen Angaben der Verantwortlichen als sehr sicher, allerdings wurde dies vom elektronischen Reisepass auch behauptet, dessen Schutz innerhalb kürzester Zeit geknackt war. Ist der Schutz erst einmal ausgehebelt, so könnte sich ein Verbrecher eine weitere Schwäche des Passes zunutze machen: Der zur Speicherung verwendete RFID-Chip ist nicht nur auf kurze Distanz lesbar, sondern die Daten wären auch auf eine Entfernung von etwa 2 Metern noch empfangbar. So würde es reichen, durch eine Menschenmenge zu laufen, um zahlreiche Datensätze zu stehlen. Diese könnten dann auf einen anderen Chip übertragen werden, sodass man eine gefälschte Identität erlangt.
Die media transfer AG geht davon aus, dass sie die fertigen Endgeräte bis Ende September 2010 liefen kann. Einige Prototypen sind bereits in Betrieb und werden in geschlossener Umgebung getestet.
Quelle : www.gulli.com
-
Das Bundesinnenministerium hat nach der Konsultation des Bundesrates die Personalausweisgebührenverordnung (http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2010/ohneMarginalspalte/08/gebuehren_vo_perso.html) beschlossen. Die Länderkammer hat vor allem die geplanten Ermäßigungen angesichts der Finanznot der Länder und Gemeinden abgelehnt. Während der kommende elektronische Personalausweis wie bereits gemeldet im Normalfall für Bürger ab 24 Jahren 28,80 Euro kosten wird, wird der Ausweis für Bürger unter 24 Jahren auf 22,80 Euro ermäßigt. Usprünglich sollte die Ermäßigung 19,80 Euro für Bürger von 18 bis 24 Jahren betragen, für 16-18-Jährige sollte er sogar kostenfrei sein.
Die "Die Verordnung über Gebühren für Personalausweise und den elektronischen Identitätsnachweis" (Personalausweisgebührenverordnung) musste nach einer Sitzung der Länderkammer vom 9. Juli geändert werden, weil die Länder sich nicht in der Lage sahen, den Ausweis für junge Staatsbürger zu subventionieren. Unabhängig von den Altersgrenzen bleibt es den Gemeinden überlassen, ob Bedürftige eine Gebührenermäßigung bekommen oder den Ausweis kostenfrei erhalten.
Die nunmehr vom Innenministerium freigegebene Verordnung nennt erstmals auch die weiteren Gebühren. Danach ist das Aktivieren der Online-Funktion des Ausweises nur bei Ausweisausgabe gebührenfrei. Wird die Online-Funktion zu einem späteren Zeitpunkt im Amt aktiviert, kostet dies 6 Euro. Das Deaktivieren der Online-Funktion oder das Sperren dieser Funktion beim Ausweisverlust bleibt gebührenfrei, ein Entsperren (etwa bei einem wiedergefundenen Ausweis) kostet 6 Euro. Auch die im Online-Verkehr benötigte sechsstellige PIN-Nummer ist nur bei der Ausweisausgabe kostenlos. Wird die PIN vergessen oder besteht der Verdacht auf einen Missbrauch, so kostet die PIN-Änderung wiederum 6 Euro.
Die neue Gebührenverordnung legt keine Fixkosten für das Aufbringen einer qualifizierten elektronischen Signatur auf den Ausweis fest, wie sie etwa für den elektronischen Entgeltnachweis (ELENA) von Bürgern benötigt wird, die Arbeitslosengeld I oder Wohngeld beantragen wollen. Die Festlegung dieser Kosten bleiben den Signaturanbietern überlassen.
Unberührt von der Personalausweisgebührenverordnung ist auch die offene Zuwendungsmaßnahme IT-Sicherheitskit mit entsprechenden Ausweis-Lesegeräten, für die im Rahmen des Konjunkturpakets II 24 Millionen Euro ausgegeben werden. Für diese Summer sollen 1,5 Millionen Sicherheitskits vom November 2010 bis Dezember 2011 an Bundesbürger verschenkt werden, um die Akzeptanz des elektronischen Personalausweises zu fördern. Zehn Firmen wurden mit der Ausgabe dieser Kits beauftragt und entwickeln derzeit ihre Marketingstrategien.
Quelle : www.heise.de
-
Der niederländische Halbleiterkonzern NXP hat am Donnerstag bekannt gegeben, dass das Unternehmen die Chips für den neuen elektronischen Personalausweis produziert, der ab 1. November in Deutschland ausgegeben werden soll. Hergestellt werden die sogenannten SmartMX-Chips, die sich per Near Field Communication (NFC) kontaktlos auslesen lassen, im Hamburger Werk von NXP, das im Jahr 2006 aus der ausgegliederten Halbleitersparte des Philips-Konzern hervorgegangen war.
Gespeichert werden auf dem Chip Passbild, Name, Vorname, Geburtsdatum, Nationalität, Geburtsort und Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke hinterlegt werden. Außerdem ermöglicht er die Übertragung von Daten bei Online-Geschäften, etwa für die sichere Identifizierung oder für einen Altersnachweis. Bei Bedarf kann auf dem Chip auch ein Schlüssel für die elektronische Signatur erstellt werden, also für eine rechtskräftige Unterschrift im Internet.
Die Ausweise selbst werden von der Bundesdruckerei in Berlin hergestellt. "Das ist das sicherste Dokument, das Sie auf dem Planeten finden können", versicherte der NXP-Geschäftsführer in Deutschland, Rüdiger Stroh. Die Chip-Lösung von NXP wird auch beim deutschen Reisepass eingesetzt. NXP hat nach eigenen Angaben bislang rund 500 Millionen SmartMX-Chips verkauft, davon 200 Millionen für E-Government-Anwendungen.
Quelle : www.heise.de
-
Die Zusammenarbeit des Fernsehmagazins Plusminus und des Chaos Computer Clubs hat wieder einmal Früchte getragen: Nach der Demonstration, wie ein Fingerabdruck gefälscht werden kann, soll in einer Sendung am heutigen Dienstagabend demonstriert werden, dass der elektronische Personalausweis unsicher ist. Diese Demonstration soll mit Basis-Lesegeräten erfolgen. Diese allerdings bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst kritisch.
Wie es in der Vorabmeldung zur Fernsehsendung heißt, habe man Mängel festgestellt, die die Sicherheit des Ausweises untergraben. "In Zusammenarbeit mit dem Chaos Computerclub e.V. hat die Plusminus-Redaktion Testversionen der Basis-Lesegeräte geprüft. Für Betrüger ist es demnach problemlos möglich, sensible Daten abzufangen – inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren."
Die der BSI-Richtlinie TR-03119 lässt drei Kategorien von Lesegeräten für die Funktionen zur Internet-Authentifizierung mittels des elektronischen Personalausweises zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC. Gegenüber der Basisversion werden Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates bieten und über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen.
Basis-Lesegeräte sind im Prinzip also einfache USB-Sticks mit einer RFID-Schnittstelle ohne eigene Tastatur zur Eingabe der PIN und eigene Terminalsoftware. Wer einen PC etwa mit einem Keylogger kompromittiert und dessen Tastatureingaben mitschreiben kann, kann auch die Eingabe der PIN abfangen, die beim Einsatz des elektronischen Personalausweises im Internet benötigt wird.
In der entsprechenden technischen Richtlinie des BSI (PDF-Datei) steht deshalb die Warnung zum elektronischen Personalausweis (ePA): "In diesem Zusammenhang können nur Cat-S und Cat-K Leser die Geheimhaltung der PIN des ePAs garantieren. Weiterführend kann nur der Cat-K Leser die authentische Anzeige von Berechtigtem und Berechtigungen bei der eID-Funktion übernehmen."
Dieser Schwachpunkt dürfte in der Fernsehsendung heute (ARD, 21.50) demonstriert werden. Zur Sendung liegt nach Angaben von Plusminus bereits eine Stellungnahme des Bundesinnenministeriums vor, das für die Ausgabe des elektronischen Personalausweises zuständig ist. "Bundesinnenminister Thomas de Maizière sieht im Plusminus-Interview keinen unmittelbaren Handlungsbedarf", heißt es in der Vorabmeldung. Für 24 Millionen Euro sollen 1,5 Millionen Sicherheitskits vom November 2010 bis Dezember 2011 an Bundesbürger verschenkt werden, um die Akzeptanz des elektronischen Personalausweises zu fördern; die Summe wird im Rahmen des Konjunkturpakets II bereitgestellt. Diese Sicherheitskits sollen aber nur Basis-Lesegeräte enthalten.
Quelle : www.heise.de
-
Jens Bender vom BSI wies die Kritik an der Sicherheit der neuen Personalausweise zurück. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen "eindeutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort." Ein Basisleser sei für die Online-Authentifizierung in Ordnung. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software, die Einrichtung einer Firewall und einen aktuellen Virenschutz. Denkbar sei ein klassischer Trojaner-Angriff, bei dem die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. Damit habe man als Angreifer aber noch keinen direkten Zugriff auf die persönlichen Daten. Diese würden nur verschlüsselt übertragen.
Quelle : www.heise.de
-
Nach einer Ankündigung der Plusminus-Redaktion über die Demonstration von Sicherheitslücken des elektronischen Personalausweises (ePA) haben sich Sicherheitsexperten, Datenschützer und Politiker vorab zu Wort gemeldet. Die in Zusammenarbeit mit dem Chaos Computer Club (CCC) beschriebenen Sicherheitslücken beruhen auf der Erkenntnis, dass mit dem neuen Ausweis "Sicherheitskits" in den Umlauf kommen sollen, die überwiegend einfachste Basis-Kartenleser enthalten. Diese Kartenleser sind USB-Sticks ohne weitere Funktionen, besitzen also keine eigene Tastatur wie der Standard- oder Komfort-Kartenleser. Die PIN-Eingabe, die beim Einsatz des ePA Pflicht ist, erfolgt hier über den Rechner, der (etwa mit einem Keylogger) kompromittiert sein könnte. Sei die PIN bekannt, so das Angriffsszenario, könnte der Ausweis gezielt entwendet und missbraucht werden.
Gegenüber dem Radiosender NDR-Info sprach sich der Bundesdatenschutzbeauftragte Peter Schaar gegen einen Einsatz dieser Basis-Kartenleser aus: "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser, die vom Bundesinnenministerium verteilt werden, eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", erklärte Schaar. Die PIN allein sei nicht kritisch. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, "ist in der Tat Gefahr in Verzug".
Juristisch sind diese technisch richtigen Bedenken des Datenschützers nicht haltbar. Mit der Einführung des elektronischen Personalausweises wird auch das Personalausweisgesetz geändert. Gerade weil der Ausweis eine wichtige ID-Komponente im Internet-Alltag ist und nicht nur hoheitliche Funktionen hat, soll er nicht länger hinterlegt werden dürfen. Wer dies dennoch verlangt, muss ein Bußgeld zahlen, darauf weist der Jurist Jens Ferner in seinem Blog über die neuen Rechten und Pflichten hin, die der ePA mit sich bringt. Zu den Pflichten gehört auch, den heimischen PC auf den jeweiligen Stand der Sicherheit zu bringen, wie er aktuell vom BSI definiert wird. Inhaber von elektronischen Personalausweisen müssen sich regelmäßig beim BSI über den Stand der Technik informieren.
Gegenüber der Nachrichtenagentur dpa vertrat der stellvertretende innenpolitische Sprecher der SPD- Bundestagsfraktion Michael Hartmann die Ansicht, dass bei den geringsten begründeten Zweifeln der Start des neuen Ausweises verschoben werden müsse. Er erklärte zu dem angekündigten "Plusminus"-Bericht, es dränge sich der Eindruck auf, "dass die zuständigen Experten die Sicherheitsschranken zu niedrig angesetzt haben". Er würde seiner Fraktion empfehlen, eine Debatte über die Sicherheit solcher Ausweissysteme anzustoßen.
In seiner Stellungnahme übersieht Hartmann jedoch, dass alle verwendeten Protokolle und Mechanismen beim ePA einem Peer-Review der Fachwelt unterlagen und dabei auch getestet wurde, ob Alternativen ein höheres Maß an Sicherheit bieten können. Dass Sicherheitsmaßnahmen "zu niedrig" liegen, liegt an dem Basis-Kartenleser, der in der Fläche verteilt werden soll, um schnell Akzeptanz für den Personalausweis zu erzeugen.
Dies greift jetzt der Chaos Computer Club auf. Gegenüber dem Rundfunksender MDR-Info kritisierte CCC-Sprecher Frank Rosengart, dass bei der Sicherheitstechnik Abstriche gemacht worden seien, um möglichst viele Lesegeräte kostenlos oder kostengünstig verteilen zu können. Im Rahmen der Starter-Kits, die mit Mitteln des Konjunkturpakets II finanziert werden, vertreiben der deutsche Genossenschaftsverlag, die Firmen Impuls, T-Systems, StarFinanz und SCT Reiner verschiedene Kartenleser an die interessierte Bevölkerung, wobei nur der Basis-Kartenleser kostenlos abgegeben werden soll und für Standard- und Komfortleser Zuzahlungen notwendig sind.
Quelle : www.heise.de
-
Der deutsche Genossenschaftsverlag, Impuls Systems und Star Finanz vertreiben ausschließlich Standard- und Komfort-Lesegeräte von Reiner SCT. Dabei werden im Rahmen von Kundenbindungsprogrammen teilweise auch Standardleser kostenlos abgegeben. Die kritisierten Basisleser werden von CHIP Communications, der Cosmos Lebensversicherungs-AG, der KKH-Allianz und der Firma Multicard ausgegeben.
Quelle : www.heise.de
-
Während zahlreiche Datenschützer ernste Bedenken haben, wenn es um den neuen elketronischen Personalausweis geht, der Anfang November in Deutschland eingeführt wird, sprach sich der Bundesinnenminister Thomas de Maizìere gegenüber der Frankfurther Allgemeinen Sonntagszeitung ausdrücklich für das neue Kärtchen aus.
Am 1. November 2010 ist es soweit. Der elektronische, scheckkartengroße Personalausweis wird den alten Pass ablösen. Auf einem integrierten Chip werden alle Daten, die auf der alten Version des Ausweises noch schriftlich zu lesen waren, gespeichert. Auch Platz für den Fingerabdruck des Besitzers ist gegeben. Durch den Umstieg verspricht die Bundesregierung sich und den deutschen Bürgern viele Vorteile. So sollen Onlineeinkäufe, Altersüberprüfungen im Netz und auch Kontoeröffnungen schneller und vor allem sicherer vonstatten gehen. Und obwohl zahlreiche Datenschützer Alarm schlagen, dass der neue Ausweis Tür und Tor für Betrügereinen öffne, sprach sich der Bundesinnenminister Thomas de Maizìere von der CDU gegenüber der Frankfurther Allgemeinen Sonntagszeitung, ausdrücklich für den Wechsel aus.
Der neue Personalausweis macht die Anmeldung und Registrierung an Online-Portalen sowie Rechtsgeschäfte im Internet, zum Beispiel Einkäufe, sicherer. Denn es ist nun möglich, die Identität des Empfängers und des Absenders eindeutig festzustellen“ argumentierte er. Diese Feststellung der Identität wird über ein Lesegerät, das jeder Deutsche sich auf seinen Schreibtisch stellen kann, erfolgen. Allerdings vermuten Kritiker genau hier die ernstzunehmenden Schwächen des Kärtchens. Es wir drei verschiedene Typen der Kartenleser geben, welche die Namen Basis, Standard und Komfort tragen. Das Basisgerät, welches unkompliziert via USB mit dem Computer verbunden werden soll, wurde auf Nachfrage des ARD-Magazins Plusminus vom Chaos-Computer-Club genauer unter die Lupe genommen. Und tatsächlich fand man einen Weg, die zur Verifizierung benötigte sechstellige PIN auszulesen: Da das Basis-Gerät über keine Tastatur zur Eingabe der Geheimzahl verfügt, muss diese via Tastatur eingetippt werden. Eine fatale Sicherheitslücke, wie man meint. Denn mit einem Trojaner, der von einem Hacker beispielsweise via E-Mail in den Computer des Opfers eingeschleust werden könnte wäre es möglich die PIN auszulesen.
De Maizìere kommentierte das Ergebnis mit den Worten, dass damit „das Rechtsgeschäft im Internet noch nicht gefährdet und die eigene Identität nicht missbrauchbar [ist], denn der Angreifer benötigt immer noch den Ausweis selbst“. Diese Tatsache ist zwar vorerst nicht abzustreiten, allerdings könnte ein Verbrecher, der es ernst meint, auch den Wohnort seines Opfers mittels des Trojaners ausspionieren, was bei einem eventuell geplanten Diebstahl der Karte durchaus hilfreich sein könnte, erklärte der Chaos-Computer-Club.
Die Regierung plant für insgesamt 24 Millionen Euro über eine Millionen der eventuell unsicheren Basis-Kartenleser kostenlos an ihre Bürger zu verteilen.
Quelle : www.gulli.com
-
Tüftler und Kriminelle können den elektronischen Personalausweis und auch die Schweizer SuisseID mit einfachen Mitteln fernsteuern und so auch ohne direkten Zugriff auf die Dokumente die Identität des Ausweisinhabers missbrauchen, darauf weist der Chaos Computer Club (CCC) hin.
Der CCC hat in Zusammenarbeit mit Schweizer Sicherheitsexperten Schwachstellen im neuen elektronischen Personalausweis (ePA) und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, dass sich mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der ePA ferngesteuert benutzen lassen.
Der neue elektronische biometrische Ausweis soll am 1. November 2010 in Deutschland eingeführt werden. Die Technik weise große Parallelen zur SuisseID auf, die in der Schweiz bereits im Umlauf ist.
Sie verwenden dabei Schadsoftware, um die Tastatureingaben zu belauschen und so an die PIN des Nutzers zu gelangen: "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", kommentiert CCC-Sprecher Dirk Engling. "Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muss bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen."
Es sei leider traurige Realität, dass viele aktuelle Computer nicht zu jedem Zeitpunkt allein unter der Kontrolle ihrer Besitzer stehen. Doch dieser Gefahr werde beim ePA nicht ausreichend Rechnung getragen und die Verwendung einfacher Smartcard-Leser erlaubt und sogar gefördert: "Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er gezwungen, seine geheime PIN über die Tastatur seines Rechners einzugeben", womit einem auf dem PC lauernden Trojaner das Mitlesen möglich sei, so der CCC.
Angreifer können den elektronischen Personalausweis aus der Ferne nutzen
Mit dem Wissen um die PIN könne ein Angreifer dann den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweises ausgeben, ohne dabei auf die übertragenen Daten Zugriff zu nehmen. Zudem könne der Angreifer die PIN des Ausweises ändern, womit der rechtmäßige Besitzer diesen selbst nicht mehr entsprechend nutzen kann.
"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich", sagt CCC-Sprecher Dirk Engling.
Das Bundesinnenministerium hat im Rahmen des Großprojekts die einfachen Basislesegeräte ohne eigene Tastatur erworben, die per Schadsoftware abgeschnüffelt werden können, wie der CCC zeigt. Eine Million dieser Geräte sollen in einem "Starterkit" an Ausweisbesitzer vergeben werden. Damit wird "Betroffenen eine potenzielle Sicherheitslücke untergejubelt", kritisieren die Hacker und merken an, dass dadurch sozial schwache Nutzer des ePA besonders benachteiligt werden. Denn diese würden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potenziellen Risiken gar nicht aufgeklärt.
Nach Ansicht der Hacker bieten aber auch die teureren Lesegeräte mit eigener PIN-Tastatur nur begrenzten Schutz. Sie verweisen dabei auf "Man-In-The-Browser", wie sie aus dem Onlinebanking bekannt sind. Dabei wird der Inhalt von Transaktionen modifiziert, ohne dass der Benutzer dies bemerkt. Daher würden bei den meisten Online-Banking-Applikationen zusätzlich die eigentlichen Transaktionen signiert. Beim ePA sei das nicht der Fall.
PDFs bergen weitere Risiken
Ein weiteres Problem stellt die Verwendung komplexer Dokumentenformate dar: So könne nicht davon ausgegangen werden, dass ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht. Es gibt weder klare Richtlinien noch Empfehlungen, kritisiert der CCC.
So sei es möglich gewesen, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven Javascript-Inhalten zu signieren, ohne dass die Applikation selbst dieses Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation, beispielsweise dem weit verbreiteten Acrobat Reader der Firma Adobe, sieht das Dokument anders aus und unter gewissen Bedingungen werde sogar die rechtsgültige Unterschrift weiter als qualifiziert und intakt dargestellt.
Daher sei es "grundsätzlich eine schlechte Idee, komplexe Dokumentenformate wie PDF für solche Signaturen zu verwenden", sagt Thorsten Schröder.
"Die an der Einführung und am Betrieb der Systeme beteiligten Unternehmen und staatlichen Stellen können nicht oft genug an ihre Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden", sagt Schröder. "Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter Marketinggeschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Missbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."
CCC rät zu Lesegeräten der Klasse 2
Der CCC rät allen zukünftigen Ausweisbesitzern, höherwertige Lesegeräte mindestens der Klasse 2 mit PIN-Tastatur zu verwenden. Damit sei es zumindest möglich, sich vor den simplen Angriffen mittels leicht verfügbarer Spionagesoftware zu schützen.
Die Beteuerungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der "Spagat zwischen Datenschutz und Bedienungskomfort" sei bei ePA gelungen, kommentiert CCC-Sprecher Engling trocken: "Was die da rauchen, hätten wir auch gern mal."
Quelle : www.golem.de
-
Ab November sollen Bürger, die einen Personalausweis beantragen, das neue Ausweisdokument mit Chip erhalten. Doch ein Blick in die Kommunen, die für die Abwicklung der Anträge zuständig sind, weckt starke Zweifel, ob sich der Termin halten lassen wird. Claudia Drescher vom Bayerischen Gemeindetag weiß, dass der Unmut über den Bund im Moment groß ist: Die Kommunen müssen für die Umstellung auf die neue Ausweistechnik einen wesentlich höheren Aufwand treiben, als erwartet.
Weil die Technik noch gar nicht funktioniert, konnten Arbeitsabläufe zudem noch nicht erprobt werden. Anton Hanfstengl, Leiter des Bürgerbüros München, sagte heise online, dass der neue Personalausweis "eines der kritischsten Projekte ist, die wir je durchgeführt haben". Er glaubt, "dass wir die Zeit bis zur Einführung und die mit dem Projekt verbundenen Schwierigkeiten unterschätzt haben."
Das größte Problem scheinen zurzeit die Änderungsterminals darzustellen, die von der Bundesdruckerei gestellt werden. Sie müssen in das System der Gemeinde eingebunden werden. Dafür investieren laut Drescher viele Kommunen in neue PC-Hardware, weil ihre alten Rechner den Anforderungen der Bundesdruckerei nicht mehr genügen. Dennoch scheint das für eine gelungene Anbindung bislang nicht auszureichen.
Hanfstengl sind bis heute keine Kommunen bekannt, die die Änderungsterminals mit Hilfe der von der Bundesdruckerei gelieferten Software bereits anbinden konnten: "Wir haben bereits verschiedene Versionen erhalten, aber alle waren so fehlerbehaftet, dass sie sich als nicht einsatzfähig herausstellten." Die meisten Hersteller von kommunaler Software, die in den Melde- und Ausweisbehörden zum Einsatz kommt, hätten die Software nicht in die Systeme einbinden können. Daher habe bislang kaum ein Verfahren durchgetestet werden können.
Ärger machen auch die herstellerabhängigen Vorgaben der Bundesdruckerei, die etwa die Verwendung von Microsoft-Produkten bindend vorgeben. Für das Präsidium des Deutschen Städtetags ist dieses Vorgehen mit Blick auf Open-Source-Städte wie München, Freiburg oder Jena "nicht akzeptabel". Es fordert daher den Bund auf, "bei der Vorgabe von Hard- und Softwareanforderungen an die zur Beantragung und Ausgabe der neuen Ausweise benötigte IT-Ausstattung der Behörden die Kompatibilität mit offenen Standards wie beispielsweise Linux zu gewährleisten."
Auch die jüngste, vor wenigen Tagen erst angelieferte Version der Anbindungssoftware für die Änderungsterminals soll derart fehlerbehaftet gewesen sein, dass sie zumindest in München nicht einsatzfähig war. "Für uns ist es unersichtlich, ob das am Programm oder unserer IT-Umgebung liegt", so Hanfstengl. "Jedenfalls wird es mit der Umsetzung bis zum 1. November kritisch." Eine Schulung der Mitarbeiter sei so nur eingeschränkt möglich. Hanfstengl führt die Probleme jedenfalls auf die sehr unterschiedliche IT- und Verfahrensausstattung der Kommunen zurück.
Dazu dürften auf die Bürger längere Wartezeiten zukommen: Bislang hat die Ausgabe des Personalausweises fünf bis zehn Minuten gedauert, künftig wird sie etwa eine halbe Stunde dauern. Kommunen wie München, Frankfurt und Düsseldorf rechnen mit dreifachen Bearbeitungszeiten. Das bedeutet, dass bereits der Dritte in der Warteschlange bei einem Bearbeiter eine Stunde lang warten müsste. Bei der Einführung des digitalen Reisepasses hatte sich laut Hanfstengl die Bearbeitungszeit um den Faktor zwei erhöht.
Die Furcht der Kommunen vor dem Unmut der Bürger ist entsprechend groß, berichtet Drescher frisch von einer Informationsveranstaltungen für bayerische Kommunen. Der Grund für die längeren Wartezeiten ist offensichtlich: Die Bürger müssen umfassender informiert werden und bis zu vier Erklärungen unterschreiben. Während der zehnjährigen Laufzeit des Ausweises werden sie zudem immer mal wieder in den Ausgabestellen auftauchen, um die eID-Funktion aus- oder einzuschalten und um die PIN an den Änderungsterminals zu ändern. Hanfstengl rechnet mit "vielen Menschen, die möglicherweise bei der Bedienung des Geräts Unterstützung brauchen."
Weil der Verwaltungsaufwand sich verdreifacht, haben die Kommunen neues Personal eingestellt. Die Stadt München etwa hat eben 20 neue Stellen eingerichtet. Um das neue Personal unterzubringen und größere Warteräume bereitstellen zu können, hat das Bürgerbüro seine Räumlichkeiten erweitert – andere Dienststellen mussten ausweichen, die Stadt musste neue Räume anmieten. Die Änderungsterminals, an denen die Bürger ihre etwa die PIN ändern können sollen, sollen aus Gründen der IT-Sicherheit sowie Usability nicht öffentlich aufgestellt werden.
Es kommen aber auch höhere Kosten auf die Kommunen zu: Sie müssen nämlich für jeden Ausweis 22,80 Euro an die Bundesdruckerei abführen und dürfen 6 Euro als Verwaltungskostenpauschale einbehalten. Wenn die Perso-Gebühr bei Bedürftigkeit ganz erlassen wird, müssen die Kommunen ihren Obolus an die Bundesdruckerei dennoch entrichten. Dasselbe ist bei Personen unter 24 Jahren der Fall, die nur 22,80 Euro für den Perso zahlen müssen. Die Kommunen müssen außerdem auf eigene Kosten das Informationsmaterial vorhalten, für das der Bund lediglich das Konzept vorgibt. Das Präsidium des Deutschen Städtetages kritisiert, dass die Verwaltungskostenpauschale für die Kommunen nicht kostendeckend sei. Nach zwei Jahren soll sie jedoch evaluiert werden.
Quelle : www.heise.de
-
Die Piratenpartei in Hessen rät allen Bürgern, noch bis Freitag einen neuen Personalausweis zu beantragen. Dadurch bekommt man noch die alte Version des Dokuments, ohne die umstrittenen elektronischen Neuerungen.
(http://static.gulli.com/media/2010/10/thumbs/370/800px-Neck-barcode-tattoo.jpg)
Ab Montag, den ersten November, wird die alte Version des Ausweisdokuments nicht mehr ausgegeben, sondern nur noch der neue Personalausweis (nPa), auch bekannt unter dem Namen "ePerso". Die Unterschiede beginnen bereits beim Preis. Wo der alte noch 8 Euro kostete, soll der neue Ausweis 22,80 EUR für unter und 28,80 EUR für über 24-jährige kosten. Daneben besitzt er einen RFID-Chip, auf dem neben den Ausweisdaten auch biometrische wie Bild oder Fingerabdrücke gespeichert sind. Die zusätzliche Funktion, Interneteinkäufe mittels einer Signatur zu tätigen, kann gegen Aufpreis freigeschaltet werden.
Das neue, als sicherer angepriesene Dokument ist jedoch alles andere als unumstritten. "Nicht nur der höhere Preis spricht gegen den ePerso", erklärt der Politische Geschäftsführer der hessischen Piratenpartei, Tim Guck. "Die angepriesenen Sicherheitsfunktionen wurden schon mehrfach umgangen und die Zusatzfunktionen nutzen vor allem den Herstellern von Funkchipkarten und Lesegeräten". "Über den per Funk auslesbaren Chip soll, so die Erklärung der Regierung, auch das Einkaufen im Internet endlich sicher werden. Worin genau das Sicherheitsdefizit liegt, wird natürlich nicht weiter ausgeführt", fährt Guck fort. "Zu befürchten ist eher eine allgemeine Internet-Ausweispflicht in Deutschland, denn auch hierfür sind entsprechende Funktionen im Ausweis vorhanden. Eine anonyme Nutzung von z.B. Webforen oder Kommentarfunktionen wäre dann nicht mehr möglich."
Die Piratenpartei Hessen ruft daher dazu auf, noch bis Freitag einen der alten Personalausweise zu beantragen. Das sei auch möglich, wenn der bisherige noch eine lange Gültigkeitsdauer besitzt, allerdings könnte dann eine Zusatzgebühr von 5 Euro anfallen.
Quelle : www.gulli.com
-
Bundesinnenminister Thomas de Maizière hat den neuen elektronischen Personalausweis bei einem Pressegespräch in Berlin am Freitag als Einstieg in ein vertrauenswürdiges Identitätsmanagement in der Online-Welt gelobt. Allein durch die Möglichkeit zur Online-Kontoeröffnung seien Einsparungen von 25 Millionen Euro möglich. Der Ausweis, der laut de Maizière "keinen Zugewinn für die innere Sicherheit" bietet, sei sehr sicher: "Er ist keineswegs bisher elektronisch erfolgreich angegriffen worden, das hat der Chaos Computer Club mir selbst gegenüber gesagt." De Maiziére verglich die Sicherheit des Ausweises mit dem Tragen eines Motorradhelms: "Er schützt Ihren Kopf, hilft aber nicht, wenn Sie stürzen und sich am Knie verletzen."
Ab Montag (bzw. Dienstag nach Allerheiligen) sollen rund 20.000 geschulte Mitarbeiter in 5300 Dienststellen bereit stehen, dem Bürger dabei zu helfen, einen neuen Personalausweis zu bekommen. Sie sollen gut beraten mit dem Ausweis eine sichere Online-Welt betreten können, erklärte de Maiziére. Entsprechend gut würden die Kommunen bezahlt: Statt 60 Cent wie beim alten Ausweis erhalten sie künftig 6 Euro der 28,80 Euro, die der elektronische Personalausweis kostet. Vom Start weg wird der neue Ausweis von Online-Angeboten begleitet. Das Log-in in die VZ-Netzwerke nannte de Maiziére an erster Stelle, gefolgt vom Online-Banking der DKB. Vielfältige Angebote sollen die Pionierstädte Hagen und Münster bereithalten, dazu sind mit HUK24, LVM und CosmosDirekt gleich drei Versicherungen am Start. "Ab März 2011 können Bürger ihre Steuererklärung mit ELSTER und dem neuen Ausweis online abgeben", erklärte de Maiziére, der auch darauf verwies, dass 300 Unternehmen mit 600 Dienstleistungen ihre Absicht bekundet haben, den elektronischen Personalausweis zu nutzen.
Für den Bürger bedeute der Ausweis, dass er keine besonderen Sorgfaltspflichten beachten, sondern die übliche Sorgfalt wie beim Umgang mit einer Bankkarte einhalten müsse, verdeutlichte der Bundesinnenminister. Bezogen auf den PC, an dem der neue Ausweis eingesetzt werde, müsse der Bürger darauf achten, dass Firewall und Virenschutz immer auf dem neuesten Stand seien: "Es gibt im Leben eben nichts umsonst. Die Sicherheit kostet Geld, das gilt auch für die Software, für den Virenschutz." Mit dem Start des Ausweisprojektes bewege sich Deutschland im europäischen Mittelfeld, was Zeitpunkt und Kosten für den Ausweis anbelange, erklärte de Maizière.
Zu den Ausweiskosten und den Kosten der PC-Wartung kommen noch Ausgaben für Lesegeräte: Nach Angaben von Andreas Reisen, Referatsleiter Pass- und Ausweiswesen beim Bundesinnenministerium, werden die Basis-Lesegeräte 20 bis 35 Euro kosten, Standardleser 60 Euro, und Komfortleser für eine qualifizierte elektronische Signatur 150 bis160 Euro. Zwei Basis-Leser von ReinerSCT und SCM seien bereits zertifiziert, sagte Reisen, der das erste Sicherheitskit präsentierte, bestehend aus Lesegerät und einer CD mit der AusweisApp. Er wies darauf hin, dass der Bürger die Sorgfaltspflicht wie bei einer Bankkarte auch abseits des Online-Verkehrs beachten müsse. Dazu gehört, dass der Ausweis in deutschen Hotels oder Fitness-Studios beziehungsweise bei Besuchen in Firmen nicht deponiert werden darf und dass es wie beim alten Ausweis ein Fotokopierverbot für den Ausweis gibt, das nur in besonders genehmigten Ausnahmefällen wie bei einer Kontoeröffnung aufgehoben ist.
In der aktuellen Ausgabe 23/10 (die seit dem 25. Oktober im Handel ist) nimmt c't die Technik des neuen elektronischen Personalausweises, seine Anwendungen sowie sicherheitstechnische und politische Aspekte in einem Schwerpunkt genauer unter die Lupe.
Quelle : www.heise.de
-
Der Bundesinnenminister freut sich auf ihn, Datenschützer geben Entwarnung zu ihm, die Gewerkschaft der Polizei warnt vor dem leichtfertigen Umgang mit ihm: der neue Personalausweis beschäftigt die Gemüter. Grund genug für die Sicherheitsspezialisten vom Darmstädter CAST, sich mit "Meiner wichtigsten Karte" zu beschäftigen.
Mit einem Doppelvortrag führte Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anwesenden in die Funktionsweise des neuen Personalausweises (nPA) ein. Im Mittelpunkt beider Präsentationen stand die elektronische Identifikation (eID), mit der der Ausweis startet. Auf ihr beruhen viele Prozesse, nicht zuletzt die optionale qualifizierte elektronische Signatur (QES), die im März 2011 für den Personalausweis zur Verfügung stehen soll. Zu diesem Zeitpunkt soll auch die AusweisApp in der Lage sein, die gängigsten E-Mail-Programme (Outlook, Outlook Express, Thunderbird, Apple Mail, kmail) zu unterstützen. Auch die Zertifikation der Komfort-Leser, die die QES verlangt, soll bis dahin abgeschlossen sein.
Das "Das bin ich" der eID und "Das habe ich unterschrieben" der QES sind freilich sinnlos ohne entsprechende Internet-Angebote. Klaus Wolter vom Bundesverwaltungsamt erläuterte prägnant, wie unterstützungswillige Anbieter an ein Berechtigungszertifikat kommen können, bestimmte Daten wie die Adresse oder die Altersverifikation vom nPA übernehmen zu können. Seine Behörde vergibt diese Zertifikate und hat bislang unter 50 Anträge bearbeitet und an die bisher einzigen beiden Zertifikats-Dienstleister Bundesdruckerei und Deutsche Post weitergeleitet. Wolter erläuterte, dass selbst große Firmen erhebliche Probleme haben, einen korrekten Antrag so zu formulieren, dass die Erforderlichkeit eines Datenabgleichs mit dem nPA überhaupt ersichtlich wird: "Wer Daten von nPA haben will, muss sich darüber im Klaren sein, dass der nPA wie ein Laserpointer wirkt: die Geschäftsprozesse werden gnadenlos ausgeleuchtet." So sei die Annahme, dass Online-Shops einfach an ein Berechtigungszertifikat kommen können, falsch, da viele Webshops per Vorkasse oder mit Kreditkartenabbuchung arbeiteten. Nur die Firma, die ein kreditorisches Risiko trage, also auf Rechnung einen ihr unbekannten Kunden beliefere, könne ein Zertifikat beantragen.
Ähnlich sieht es bei der Alters- und Wohnortsverifikation aus, für die in der Regel gesetzliche Vorgaben entscheidend sind. Ein Laden dürfe nicht einfach so überprüfen, ob seine Kunden in der Nähe wohnen, während Gemeinden, die etwa eine Kurtaxe oder ähnliches erheben, es leichter haben werden, bei Nicht-Einwohnern nach der Verifikation eine Gebühr zu erheben. Wolter zufolge liegen die größten Chancen der eID beim Einsatz der "unglücklich benannten Pseudonymfunktion", die er als Dienst- und kartenspezifisches Kennzeichen definierte. Solch ein DKK sei bei der Nutzung von Prepaid-Angeboten oder der Registrierung in sozialen Netzwerken nützlich, die keine rechtlichen Gründe dafür vorweisen vorweisen können, Klardaten zu verarbeiten.
Interessant gestaltet war der Praxisbericht eines Diensteanbieters, den Thomas Walloschke von Fujitsu Technologies Solutions ablieferte. Walloschke schilderte die durchaus leidvollen Erfahrungen, die sein in Kanada und Deutschland aufgestelltes, also rund um die Uhr arbeitendes Programmierteam mit der Integration der eID in den Fujitsu Online Shop machen durfte. Wenige Stunden, bevor das Programm am 27. Oktober als Cloud Service in den Wirkbetrieb gehen konnte, diskutierte man Go-NoGo-Szenarien, weil eine Vielzahl von Fehlermeldungen auftraten. Sie wurden durch einen Testausweis verursacht, der offenbar stundenlang auf einem Lesegerät lag, ein klarer Verstoß gegen die Richtlinien, den Ausweis immer nur kurzzeitig zu benutzen. Insgesamt lohnte sich für Fujitsu die arbeitsintensive Teilnahme nur, weil die Firma auch Konsortialpartner im EU-Projekt STORK ist, in dem ID-Token verschiedener Anbieter zusammenkommen und Erfahrungen mit Service Provider Authentication Services (SAPS) eine Rolle spielen. Ein einzelner, allein in Deutschland funktionierender Online-Shop wäre für viele Firmen eine zu aufwändige Angelegenheit, meinte Wolloschke.
Nach einem juristischen Vortrag von Georg Borges, der den Teilnehmern des Workshops sein Gutachten über Haftungsfragen im Zusammenhang mit der Ausweisnutzung vorstellte, hatten zum Schluss die hessischen Datenschützer das Wort. Rüdiger Wehrmann machte darauf aufmerksam, dass mit dem Ausweis zumindest in Deutschland ein Hinterlegungsverbot einhergeht (was als deutsches Gesetz im Ausland wirkungslos ist) und Firmen von Beuchern nicht mehr den Ausweis einbehalten dürfen. Außerdem bemängelte er, dass der durchschnittliche Bürger nicht die Echtheit der Ausweis-App erkennen kann. Das Argument von Innenministerium und BSI, dass der Quellcode demnächst als Open Source verfügbar wird, sei für einen Normalbürger nicht wirksam. Weil der PC der neuralgische Punkt der Datensicherheit im Gesamtsystem sei, müssten Datenschützer Bürger dazu raten, auf den Einsatz eines Basislesers ganz zu verzichten, erklärte Wehrmann. Außerdem sollte jeder Bürger auf die Abgabe seines Fingerabdruckes verzichten, die abolut keinen Sinn mache, weil sie nur im Falle eines Ausweisverlustes als zusätzliche, nie geprüfte Sperre diene.
Wehrmanns Kollegin Gisela Quiring-Kock beschäftigte sich anschließend mit der qualifizierten elektronischen Signatur. Sie bemängelte, dass im Vergleich zu Österreich die QES in Deutschland nicht suventioniert wird und somit sehr teuer ist. Die rein privatwirtschaftlich gelöste Bewirtschaftung der QES verhindere die Verbreitung der Signatur, während sie in der Alpenrepublik von 60 % der Bankkunden genutzt werde. Quiring-Kock machte auch auf das Fotokopierverbot beim neuen Personalausweis aufmerksam, weil so die aufgedruckte CAN verbreitet werden könnte, die bei der Freischaltung einer QES benötigt wird.
Quelle : www.heise.de
-
Kurz vor der Einführung des neuen Personalausweises hält die Kritik an der Sicherheit des elektronischen Dokuments an. Das Bundesinnenministerium sieht indes keinerlei Probleme und verweist auf die Pflicht der Computer-Nutzer, ihre Rechner abzusichern.
Der Vorsitzende des Bundes Deutscher Kriminalbeamter, Klaus Jansen, warf der Regierung in der "Neuen Osnabrücker Zeitung" (Samstagsausgabe) vor, aus Kostengründen auf veraltete Technik zu setzen. Der Ausweis komme mit einer Lesegerätetechnik für Online-Geschäfte auf den Markt, "bei der Kriminelle mit der Zunge schnalzen". Sein Verband habe wiederholt gefordert, "hochwertige Lesegeräte mit einer eigenen Tastatur vorzuschreiben, wie sie auch für die elektronische Gesundheitskarte geplant sind".
Laut Jansen ist es hochriskant, wenn die Geheimzahl für den neuen Ausweis an der Computertastatur eingegeben werden muss. "Die Eingabe können Kriminelle mitlesen, sofern der Rechner mit Schadprogrammen befallen ist." Der Staat wiege die Menschen hier in trügerischer Sicherheit.
Auch nach Ansicht der Gewerkschaft der Polizei (GdP) wird Kriminellen das Ausspähen von Daten viel zu leicht gemacht. "Mein Rat lautet: Finger weg vom neuen Ausweis, solange dessen Kinderkrankheiten nicht behoben sind", sagte der stellvertretende GdP-Bundesvorsitzende Bernhard Witthaut. Er warnte vor "blindem Vertrauen in die neue Technik". "Angesichts von mindestens einer Million infizierten Computern in Deutschland tut sich hier ein massives Sicherheitsproblem auf."
Ähnlich äußerte sich der parlamentarische Geschäftsführer der FDP- Bundestagsfraktion, Christian Ahrendt: "Nicht alles, was neu ist, sollte man sich anschaffen", sagte er. Es werde sich schnell zeigen, "dass der neue Personalausweis bei weitem nicht so sicher ist, wie es jetzt versprochen wird".
Ein Sprecher von Bundesinnenminister Thomas de Maizière wies diese Vorwürfe am Samstagnachmittag zurück: "Die Sicherheit des neuen Personalausweises ist auf dem allerhöchsten technischen Niveau. Sicherheitslücken gibt es nicht." Die Vorwürfe könnten daher "nur als Empfehlung verstanden werden, Computer wirksam vor Schadprogrammen zu schützen. Das gilt aber unabhängig von der Nutzung des neuen Personalausweises."
Der elektronische Personalausweis löst am morgigen Montag das bisherige Ausweisdokument ab. In den vergangenen Monaten hatte es bereits viel Kritik und Zweifel an der Sicherheit gegeben. Unter anderem bemängelten Experten wie der Chaos Computer Club (CCC), dass Angreifer auf ungeschützten Computern unter Umständen die PIN für die Online-Identifikation ausspähen könnten.
Die Linkspartei forderte als Konsequenz aus der Kritik am neuen "Perso" ein "Moratorium für alle elektronischen Großprojekte, die den Datenschutz verletzen" könnten. "Mehrere Bundesregierungen haben den elektronischen Personalausweis zum Muss erklärt", sagte Linke- Vorstandsmitglied Petra Pau am Samstag. "Nun erklären immer mehr Regierungspolitiker ihn zum Risiko."
Quelle : www.heise.de
-
Morgen ist es so weit: Bürger können oder müssen den neuen Personalausweis beantragen, der Funktionen zur Identifizierung im Internet (eID) und für die qualifizierte elektronische Signatur (QES) enthält. Wer allerdings in einem der fünf Bundesländer wohnt, in denen an Allerheiligen die Ämter geschlossen bleiben, muss sich noch einen Tag gedulden. Das kann einem aber auch anderswo passieren, etwa wenn bei der Ausweisbehörde die Umstellung auf die neue Software nicht geklappt hat. Alte Personalausweise bleiben bis zum Ablaufdatum gültig, doch wer die neuen Funktionen oder das kleinere Scheckkartenformat früher haben möchte, kann jederzeit einen neuen beantragen und den alten zurückgeben.
Beim Beantragen muss man zwei Entscheidungen treffen: Ob die eID-Funktion freigeschaltet werden soll und ob man Fingerabdrücke im Chip des Ausweises speichern lassen will. Die eID-Funktion lässt sich auch nachträglich aktivieren, das kostet dann allerdings 6 Euro und einen Gang zum Amt. Da sich schwer abschätzen lässt, ob und welche wichtigen Online-Dienste künftig die eID zwingend voraussetzen, ist es allenfalls für überzeugte Internet-Abstinenzler ratsam, auf die Funktion ganz zu verzichten. Alle anderen erhalten einen Brief von der Bundesdruckerei, in dem unter einem Rubbelfeld verborgen die fünfstellige Transport-PIN steht. Den Brief kann man dann sicher verwahren, bis die eID-Funktion nützlich erscheint.
Bei den freiwillig abzugebenden Fingerabdrücken erscheint es eher fraglich, ob sie jemals einen konkreten Nutzen bringen. Sie sollen den Missbrauch eines gestohlenen Ausweises erschweren, bis dieser gesperrt wird. Es ist jedoch unklar, wann überhaupt auf diese biometrischen Daten zugegriffen wird. Ein theoretisches Szenario wäre die Grenzkontrolle, bei der zwar ein digitales Ausweisdokument mit biometrischen Daten auf dem Chip vorgeschrieben ist, aber kein Visum eingestempelt wird. Dann könnte der neue Personalausweis den Reisepass ersetzen. Bis dahin müssten aber zunächst die technischen Standards des neuen Personalausweises von anderen Ländern übernommen werden. Datenschützer empfehlen daher, besser dem Prinzip der Datenvermeidung zu folgen und keine Fingerbadrücke abzugeben.
Hinsichtlich der QES muss man sich beim Beantragen des neuen Personalausweises zunächst keine Gedanken zu machen. Damit hat die Ausweisbehörde nichts zu tun; die Signatur muss man später nachkaufen. Es wäre also sinnlos, einen Stick mit selbst erzeugten Schlüsseln mitzunehmen. Was man dabei haben muss, sind 28,80 Euro (beziehungsweise 22,80 Euro für Bürger unter 24 Jahre) sowie ein so genanntes biometrisches Passfoto. Wer das Foto selbst macht, muss sich dabei genau an die Vorgaben der Bundesdruckerei halten.
Nach Auskunft des Fraunhofer FOKUS sollen die neuen Ausweise ungefähr zwei Wochen nach Beantragung fertig sein. Hat man seinen Ausweis erhalten und will die eID nutzen, stellt sich die Frage nach dem richtigen Lesegerät. An den billigen Basislesern gab es viel Kritik, zuerst vom CCC, zuletzt sogar vom Bund Deutscher Kriminalbeamter. Da das Gerät keine eigene Tastatur besitzt, muss man die PIN am Computer eingeben, wo Schadsoftware sie abhören könnte.
Auch diese Kombination ist immer noch sicherer, als eine Anmeldung ohne eID mit Benutzername und Passwort. Werden die abgehört, kann der Angreifer damit das Konto des Opfers von jedem beliebigen Computer mit Internet-Zugang nutzen. Um die eID zu missbrauchen, muss der Angreifer hingegen entweder den Ausweis stehlen oder den Computer des Opfers mit einer Schadsoftware infizieren, die aktiv wird, wenn der Ausweis auf dem Lesegerät liegt. Spätestens aber, wenn etwa Banken oder Bezahldienste über die eID den Zugang zu Geld ermöglichen, ist ein solches Szenario nicht unwahrscheinlich.
Windows-Nutzern, die ihren PC mit Antiviren-Software schützen und alle Updates von Betriebssystem und Anwendungen sofort einspielen, oder Besitzern von Linux- beziehungsweise Mac-OS-Systemen, die nicht ins Beuteschema der Angreifer passen, mag vorerst ein Basisleser reichen. Doch mehr Sicherheit gewähren Standard- oder Komfortleser mit eigener Tastatur. Da gibt es aber noch ein Problem: Das zuständige Bundesamt für Sicherheit in der Informationstechnik hat bislang nur die Zertifizierung von Basislesern veröffentlicht. Nach Auskunft der Behörde läuft die Zertifizierung etlicher Geräte der Standard- und Komfortklasse. Es bleibt zu hoffen, dass der Prozess bis Mitte November abgeschlossen ist, wenn die ersten Ausweise ausgeliefert werden sollen.
Quelle : www.heise.de
-
Laut Openlimit hat das Unternehmen die AusweisApp 1.0 zeitgerecht an das Bundesinnenministerium (BMI) ausgeliefert. Zum Start der Beantragung des neuen Personalausweises könnte damit die Software bereitstehen. Doch die offizielle Download-Adresse www.ausweisapp.bund.de ist zwar mittlerweile ebenfalls online, verweist aber darauf, dass die Anwendung am 9. November, wenn die ersten Antragsteller ihren neuen Ausweis in Empfang nehmen würden, zum Download verfügbar sein werde. In den Einwohnermeldeämtern der Republik bekommen Antragsteller am heutigen 1. November allerdings die Auskunft, dass die Lieferung des neuen Ausweises zwei bis drei Wochen in Anspruch nehmen werde.
(http://www.heise.de/imgs/18/5/8/9/4/6/0/da5e72210ccbc8ed.png)
Altersverifikation per nPA und AusweisApp
Die AusweisApp ist die kostenlose Software, mit der Bürger auf ihren neuen elektronischen Personalausweis zugreifen und die eID-Funktion zur Authentisierung im Internet nutzen können. Sie unterstützt Windows, Linux (Ubuntu) und Mac OS X in den jeweils aktuellen Versionen. Die Entwicklung und der Support für diese Software wird für drei Jahre vom Bundesinnenministerium finanziert. Danach, so hoffen alle Beteiligten, hat sich der Markt für eID-Services in Deutschland so weit entwickelt, dass Anbieter mit eigener kommerzieller Zugangssoftware die Versorgung übernehmen werden. Den Zuschlag für die Softwareentwicklung ging im November 2009 an die Firma Siemens IT Solutions and Services, die wiederum Openlimit als Generalunternehmer beauftragte.
Ursprünglich sollte die AusweisApp "Bürgerclient" heißen. Dieser Name wurde nach einem Vorschlag der Design-Spezialisten vom Hasso Plattner Institut Potsdam geändert, die im Auftrag des BMI ein Gutachten zur Akzeptanz und Nutzung des Ausweises erstellten.
Mit der AusweisApp beginnt laut Openlimit das eID-Zeitalter in Deutschland. "Das neue Personalausweisgesetz tritt mit dem heutigen Tag in Kraft. Mit dem neuen Dokument kann sich jeder deutsche Staatsangehörige auch im Internet zweifelsfrei ausweisen und Online-Transaktionen sicher authentisieren", kommentiert Marc Gurov, Geschäftsführer von Openlimit. Neben der AusweisApp liefert das Softwarehaus auch einen eID-Server aus, den Web-Anbieter einbinden müssen, wenn sie ID-Daten vom neuen Personalausweis abfragen. Dieser Teil der Software ist nicht kostenlos und soll über sogenannte eID-Hoster als Software-Service verkauft werden. Ein so gehosteter eID-Server kostet 2750 Euro im Monat bei einer Einrichtungsgebühr von 7500 Euro, wie es beim ersten Anbieter ]init[ heißt. Auch hier geht man beim Bundesinnenministerium davon aus, dass sich ein Markt entwickeln wird und daher die Preisfindung noch nicht abgeschlossen ist.
Quelle : www.heise.de
-
Zum neuen Personalausweis (nPA) mit seiner Funktion der elektronischen Identifikation (eID) gehören Angebote, die eben diese Identfikationsdaten abfragen. Das dürfen nur die Firmen, die ein Berechtigungszertifikat erworben haben. Nun hat das zuständige Bundesverwaltungsamt die erste Liste aller Anbieter (PDF-Datei) veröffentlicht, die auf verschiedene Datenfelder des neuen Personalausweises zugreifen können.
Die Liste enthält wenig Aufregendes: Viele Versicherungen, darunter die Rentenversicherung, ein paar Behörden und Kommunen, Geldinstitute sowie die Gruppe der VZ-Netzwerke. Mit den Internet-Angeboten dieser Zertifikatsträger werden die ersten Inhaber des elektronischen Personalausweises ihre Erfahrungen mit dem laut Bundesinnenminister Thomas de Maizière (CDU) derzeit "modernsten Identifikationssystem der Welt" sammeln können. Die erste Liste bleibt allerdings auch den Nachweis schuldig, dass einige "Use Cases" dringend nachgefragt werden, wie vor dem Start des Systems behauptet wurde. Insbesondere sind keine Anbieter erkennbar, die altersbeschränkte Filmdownloads oder Erotikangebote betreiben.
Dagegen zeichnet sich ab, dass die elektronische Identifikation im Versicherungssektor nachhaltig gezündet hat. Der Fülle von Versicherungsangeboten stehen auffallend wenige Banken gegenüber. Dies deutet darauf hin, dass die Banken mit den von ihnen angebotenen verschiedenen TAN-Verfahren offenbar eine ausreichend sichere Verbindung zum Kunden haben und ihnen die gesicherte Identifikation eines Neukunden nicht attraktiv genug scheint.
Dies könne ein Signal sein, meinen Herbert Kubicek und Torsten Noack in ihrem Buch Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis?. Die Wissenschaftler haben mit einem internationalen Team von Politologen und Informatikern untersucht, wie die elektronische Identifikation in anderen europäischen Ländern funktioniert und ob sie von den Bürgern akzeptiert wird. Sie kommen zu dem Schluss, dass die eID nur dort eine echte Verbreitung gefunden hat, wo Banken an der Entwicklung beteiligt waren und die eID beim Online-Banking eingesetzt werden kann.
Besonders aufschlussreich sind die Ergebnisse der Wissenschaftler aus Spanien und Belgien, die eID-Ausweise schon am längsten haben und gerade die zweite Generation der Ausweise ins Feld schicken – mit Ausnahme von Deutschland sind alle übrigen europäischen Ausweise nur fünf Jahre lang gültig. In Spanien hat man 256 Ausgabestellen auf Polizeistationen eingerichtet, wo die Ausweisproduktion inklusive Fingerabdrucke und Bildeinspeisung an einem Automaten abläuft, der in 15 Minuten einen Ausweis druckt. Die Ausweise werden hier nicht nur zur Authentifizierung gegenüber den Behörden eingesetzt: die eID erfreut sich bei Restaurantreservierungen größerer Beliebtheit.
Belgien ist erwähnenswert, weil mit der allgemeinen Nutzung der eID-Funktion erkannt wurde, dass Viele eine eID brauchen, die keinen Ausweis haben können: 2007 wurde deshalb eine Karte für Ausländer und EU-Bürger eingeführt, die in Belgien wohnen, 2009 kam eine nicht obligatorische Kinderkarte für Kinder zwischen 0 und 12 hinzu. Bei ihr ist die elektronische Authentifizierung freilich erst ab 6 Jahren aktiviert, da in diesem Alter die Internetnutzung beginnt.
Dem deutschen System stellen die Autoren übrigens keine guten Noten aus. Es ist im europäischen Vergleich zu kompliziert. Allgemein kritisieren sie jedoch alle europäischen eID-Ansätze wegen ihre Weltfremdheit: "Die IT-Sicherheitsexperten arbeiten jedoch mit der Fiktion eines Menschen, der alle Sicherheitsempfehlungen streng befolgt. Man könnte analog zum Homo Oeconomicus als Fiktion der Wirtschaftswissenschaft von der Annahme des Idealtypus eines Homo Securitis sprechen." Leider lebe dieser Menschentyp nur in Gedankenspielen, aber nicht auf der Erde.
Quelle : www.heise.de
-
Der Software zum neuen Personalausweis ist kein guter Start beschieden: Am gestrigen Montagabend wurde die AusweisApp freigegeben; am heutigen Dienstagmorgen veröffentlichte Jan Schejbal von der Piratenpartei Deutschland in seinem Blog bereits einen Exploit, der zwei Designfehler der Update-Routine nutzt. Dadurch wird zwar nicht der Personalausweis angegriffen, aber es lässt sich Software auf dem PC einschleusen, auf dem die AusweisApp läuft.
Die AusweisApp baut zunächst eine SSL-Verbindung zu dem Server auf, der die Updates liefert. Dabei begeht sie den ersten Fehler: Sie überprüft zwar, ob das Zertifikat gültig ist, aber nicht, ob es auch auf den Namen des regulären Update-Servers ausgestellt ist. Gelingt es also durch eine DNS-Manipulation, Zugriffe auf www.ausweisapp.bund.de und download.ausweisapp.bund.de zu einem beliebigen Server mit gültigem SSL-Zertifikat umzulenken, versucht die AusweisApp ihre Updates von dort zu laden.
(http://www.heise.de/imgs/18/5/9/2/7/7/9/ausweisapp-8716e3f3c687b87d.png)
Durch die Update-Funktion der AusweisApp können unerwünschte Dateien auf den PC des Anwenders gelangen.
Der Server des Angreifers kann nun die Update-Funktion mit einer manipulierten Antwort dazu bringen, eine beliebiges ZIP-Archiv herunterzuladen und zu entpacken. Eine darin enthaltene Installationsdatei wird allerdings nur ausgeführt, wenn sie eine korrekte Signatur besitzt. Doch schon das Entpacken des Archivs stellt ein Sicherheitsrisiko dar, da dabei über relative Pfade unerwünschte Dateien auf dem PC des Ausweisinhabers platziert werden können.
Der Exploit, den Schejbal zum Download anbietet, enthält ein abgelaufenes SSL-Zertifikat, das funktioniert, wenn man das Systemdatum von Windows zurückstellt. Es sind zwei Windows-PCs nötig, ein Client mit der AusweisApp und ein Server, auf dem Python 2.6 und Nmap installiert sein sollte. Leitet man auf dem Client die Zugriffe auf die beiden oben genannten Server zum eigenen um (durch Ändern der Windows\system32\drivers\etc\hosts) und passt die IP-Adresse in der Antwortdatei an, landet beim nächsten Update der AusweisApp eine Datei im Autostart-Ordner des Clients. Das funktionierte in der Redaktion sowohl unter Windows XP wie unter Windows 7.
Obschon die Sicherheit des Personalausweises nicht direkt gefährdet wird, sind diese beiden einfachen Fehler (fehlende Prüfung des SSL-Zertifikats sowie das Auspacken des empfangenen Archivs vor dem Prüfen der Signatur) in einer vom BSI geprüften Software sehr überraschend. Wir haben beim BSI eine Stellungnahme angefragt, doch die Prüfung des Sachverhalts ist dort noch nicht abgeschlossen.
Quelle : www.heise.de
-
Die ersten Mitbürger erhielten ihren beantragten Personalausweis - und die ersten Sicherheitslücken bei der AusweisApp wurden bekannt. Für diejenigen, die sich dafür entschieden haben, die elektronische Identifikation (eID) zu nutzen, beginnt ein neuer Umgang mit dem Dokument, das als Eigentum der Bundesrepublik Deutschland sorgsam behandelt werden muss. Wir stellen die wichtigsten Regeln vor.
Der 24-jährige Dresdener Dominik Volke ist der erste Bundesbürger, der seinen neuen Personalausweis bekommen hat. Er will ihn mit einem Basis-Lesegerät vor allem für Bestellungen im Internet benutzen. Volke hat sich für die Nutzung des Ausweises mit eID-Funktion entschieden und dabei auch freiwillig seine Fingerabdrücke speichern lassen. Bislang haben 1400 Dresdener einen neuen Ausweis beantragt.
Mit dem Start der Ausweisausgabe hat das Bundesinneministerium in den VZ-Netzwerken die Werbekampagne Erika hat nen Neuen gestartet, die "junge internetaffine Menschen mit vielen Sozialkontakten" über den neuen Ausweis aufklären soll. Die VZ-Netzwerker sind dabei aufgefordert, ihr "verrücktestes Passfoto" hochzuladen. Erika spielt auf Erika Mustermann an, eine Werbefigur, deren "Edelprofil" als "Musterdeutsche" das Ministerium nutzen will. Ob die Kampagne gelingt, junge Menschen den Umgang mit Kartenleser und der vom Start weg umstrittenen, da mit Sicherheitslücken behafteten AusweisApp nahezubringen, wird sich zeigen müssen.
Ob jung oder alt, jeder Bürger, der einen neuen Personalausweis beantragt hat, hat auch ein Merkheft bekommen, in dem auf seine besonderen Sorgfaltspflicht hingewiesen wird: "Ihr Beitrag zum sicheren Umgang mit der Online-Ausweisfunktion" fasst die wichtigsten Regeln zusammen, die sich aus dem geänderten Personalausweisgesetz ergeben. Dort sind die Pflichten in §27 festgelegt, wenn es heißt: "Der Personalausweisinhaber hat zumutbare Maßnahmen zu treffen, damit keine andere Person Kenntnis von der Geheimnummer erlangt. Die Geheimnummer darf insbesondere nicht auf dem Personalausweis vermerkt oder in anderer Weise zusammen mit diesem aufbewahrt werden. Ist dem Personalausweisinhaber bekannt, dass die Geheimnummer Dritten zur Kenntnis gelangt ist, soll er diese unverzüglich ändern oder die Funktion des elektronischen Identitätsnachweises ausschalten lassen."
Mindestens ebenso wichtig wie die unbedingt einzuhaltende Trennung von Besitz (Personalausweis) und Wissen (PIN) ist die Pflicht, den Ausweis nur "in einer Umgebung einzusetzen, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist." Im Zweifelsfall ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Behörde, die den Stand der Technik definiert. Der Bürger soll "insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden." Ein regelmäßiger Besuch der entsprechenden Webseite des BSI mit den Sicherheitstipps gehört damit zum guten Ton. Dort finden sich derzeit drei Verhaltensregeln, die bei der Nutzung vorausgesetzt werden:
* Virenschutz und Firewall müssen auf dem jeweils aktuellen Stand der Technik sein, alle Updates müssen regelmäßig eingespielt werden.
* Nur zertifizierte Kartenlesegeräte und zertifizierte Software für die Kommunikation mit dem Kartenleser darf eingesetzt werden. Als zertifizierte Software für die Kommunikation wird hier die AusweisApp genannt – bei der ja nun gerade die ersten Sicherheitslücken auftauchten.
* Der Ausweis soll nur kurz zum Zwecke der Authentifizierung auf den Kartenleser gelegt werden und muss danach entfernt werden.
Neben diesen Richtlinien enthält das Merkheft der Meldebehörden einen weiteren Hinweis, der unter Sicherheitsexperten umstritten ist, aber juristisch von einiger Bedeutung sein kann. Was macht ein Bürger, der sich nicht sicher ist, einen sicheren Rechner vor sich zu haben? Diese Frage ist besonders dann wichtig, wenn das Kartenlesegerät keine eigene Tastatur hat. "Wenn Sie ein Basis-Kartenlesegerät ohne eigene Tastatur in Verbindung mit der AusweisApp verwenden und sich nicht sicher sind, ob Ihr Computer frei von Schadsoftware ist, nutzen Sie zur Eingabe der PIN die in der AusweisApp integrierte Bildschirmtastatur." Auch wenn die Zahlen der Bildschirmtastatur jedesmal neu angeordnet sind, erhöht dies nicht unbedingt die Sicherheit, dass die PIN geheim bleibt: erinnert sei an Spyware, die bei jedem Mausklick einen Screenshot des Bildschirms anfertigt.
Im alltäglichen Umgang mit dem neuen Personalausweis müssen Bürger und Unternehmen lernen, dass mit dem elektronischen Ausweis zumindest in Deutschland ein Hinterlegungsverbot verbunden ist, wenn es im Ausweisgesetz heißt: "Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben." Hotels, Fitnessstudios oder ganz allgemein Unternehmen, die von Besuchern beim Zutritt des Werksgeländes den Personalausweis kassieren, müssen umdenken und auf andere Verfahren umsatteln. Denkbar wäre, die Identifizierung vorab auf einer Webseite zur Online-Anmeldung durchzuführen, die die elektronische Identifikationsfunktion ausnutze, heißt es dazu aus dem Bundesinnenministerium.
Einen Schritt weiter in die falsche Richtung geht die Praxis, vom Ausweis eine Fotokopie anzufertigen. Dies ist eigentlich nur in besonderen Fällen erlaubt, die gesetzlich geregelt sind, etwa bei der Eröffnung eines Bankkontos. Zum Umgang mit dem Fotokopierunwesen, das nicht von § 14 des Personalausweisgesetzes gedeckt ist, heißt es in der Gesetzesbegründung des Innenministeriums ausdrücklich:
"§ 14 stellt klar, dass die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises künftig nur über die dafür vorgesehenen Wege erfolgen darf. Dies sind für nichtöffentliche und öffentliche Stellen der elektronische Identitätsnachweis und für zur hoheitlichen Identitätsfeststellung berechtigte Behörden der Abruf der elektronisch gespeicherten Daten einschließlich der biometrischen Daten. Weitere Verfahren z.B. über die optoelektronische Erfassung ("scannen") von Ausweisdaten oder den maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden."
In einer heise online vorliegenden ergänzenden "Stellungnahme des Bundesinnenministeriums zur Vervielfältigung von Ausweisdokumenten" wird diese Gesetzesbegründung noch genauer erläutert: "Diese Klarstellung war u.a. deshalb erforderlich, weil im Falle einer künftigen Vervielfältigung des neuen Personalausweises zusätzliche Sicherheitsprobleme entstünden. Denn auf dem neuen Personalausweis ist die Berechtigungs-Nummer abgedruckt. Diese soll grundsätzlich nur dem Ausweisinhaber bekannt sein, könnte durch Kopieren des Ausweises aber in Umlauf geraten."
Nach so vielen Verboten und Geboten sollte schließlich der Hinweis nicht fehlen, was dem Inhaber des neuen Personalausweises gestattet ist: Wie bei der Computersoftware hat er das Recht, eine "Sicherungskopie" von seinem Ausweis z.B. für Auslandsreisen anzufertigen, freilich "unter der Prämisse, dass die Kopie nur im Falle des Diebstahls/Verlusts des Originaldokuments verwendet wird und umgehend ein neues Ausweisdokument beantragt wird." Die vor allem in lateinamerikanischen Ländern übliche Praxis, nur Fotokopien von Dokumenten bei sich zu tragen, wird nicht akzeptiert: "Die zunehmende Verwendung von Ausweiskopien als Ersatz für die Originaldokumente stellt damit eine potentielle Gefährdung des Rechtsverkehrs dar und könnte mit zunehmenden Missbrauchsfällen mittelbar dazu führen, dass das Vertrauen in deutsche Ausweisdokumente sinkt", so die Stellungnahme des Bundesinnenministeriums.
Quelle : www.heise.de
-
Am späten Dienstag Abend antwortete die Pressestelle des BSI mit folgender Stellungnahme: "Die Medien berichten derzeit von einer vermeintlichen Sicherheitslücke in der Software AusweisApp, die zur Nutzung der eID-Funktion des neuen Personalausweises bereit gestellt wird. Das BSI prüft derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar ist und welche Gegenmaßnahmen gegebenenfalls notwendig sind. Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren."
Quelle : www.heise.de
-
Derzeit (seit Mittwochnachmittag) ist ein Download der AusweisApp nicht mehr möglich. Eine Erklärung des BSI zu dem Fehler, zum Stopp des Downloads und dem weiteren Vorgehen steht aber weiterhin aus.
Quelle : www.heise.de
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die aufgedeckte Sicherheitslücke der AusweisApp reagiert, mit der der neue elektronische Personalausweis auf einem PC abgefragt werden kann. In Zusammenarbeit mit den an der Softwareentwicklung beteiligten Firmen Siemens IT Solutions & Services GmbH sowie dem Subunternehmer OpenLimit SignCubes AG soll in Kürze eine neue Version der AusweisApp bereitgestellt werden. Ausweisbesitzer, die bereits die AusweisApp heruntergeladen haben, werden ausdrücklich davor gewarnt, nicht die Update-Funktion dieser Software zu benutzen: Die aufgedeckte Sicherheitslücke betrifft genau die Update-Funktion. Ausnahmslos alle Nutzer der Software müssen eine Neuinstallation durchführen.
In der ausführlichen Stellungnahme des BSI wird die Lücke bestätigt, die der IT-Fachmann Jan Scheijbal von der Piratenpartei Deutschland entdeckt hat und die in den Tests von heise online nachvollzogen werden konnte. Einschränkend wird in der Stellungnahme des BSI von einer "theoretischen Möglichkeit" gesprochen, nicht von einem Fehler mit durchaus praktischen Konsequenzen: "Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen." Als theoretische Möglichkeiten werden in der Security-Welt die Probleme angesehen, wenn eine kryptographische Schwäche die Komplexität einer Sicherheits-Software verringert. Handwerkliche Programmierfehler fallen nicht unter diesen Begriff.
In den Worten des BSI wird die Lücke so dargestellt: "Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die Verwendung der AusweisApp selbst, sondern auf die automatische Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines sogenannten DNS-Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens download.ausweisapp.bund.de zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren."
Dabei legt das BSI Wert auf die Feststellung, dass durch die aufgedeckte Sicherheitslücke die AusweisApp weder angegriffen noch verfälscht werden könne. "Auch beeinflusst dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führt auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden können." Damit tritt das BSI vor allem Presseberichten entgegen, die davon berichtet haben, dass der Personalausweis ein zweites Mal gehackt worden sei. Als erstes Mal gilt ein vom CCC veröffentlichter Ansatz mit einem durch Spyware infizierten PC und einem Basiskartenleser ohne eigene Tastatur.
Wann die neue AusweisApp verfügbar sein wird, steht noch nicht fest. Zum Korrektur-Verfahren selbst äußert sich die Pressemitteilung recht wolkig: "Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitigung implementiert, um auf derartige Probleme kurzfristig reagieren zu können."
Ob die genannten Fehlerbeseitigungsverfahren alleine ausreichen, wird die Zukunft der AusweisApp zeigen müssen. Zumindest die über 100 MByte große Ubuntu-Version der App kippte dem Autor eine Menge Müll auf den Rechner, darunter eine veraltetes JRE und Datenbank-Middleware aus der Zeit, als die AusweisApp noch als "Bürgerclient" für alle Kartenprojekte des Bundes konzipiert war, also auch mit der elektronischen Gesundheitskarte zusammenarbeiten sollte. Nach Informationen von heise online ist die AusweisApp vom BSI zudem auch noch gar nicht zertifiziert worden.
Quelle : www.heise.de
-
Erst erwiesen sich die Basislesegeräte ohne eigene Tastatur als unsicher, nun wurde die AusweisApp gehackt. Jan Korte fordert deshalb, das ganze Projekt E-Personalausweis sofort zu beenden.
Der Innenexperte der Linken, Jan Korte, forderte nach dem Hack der AusweisApp heute das Bundesinnenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf, "die Ausgabe der neuen Ausweise umgehend zu stoppen".
Wer noch gültige Ausweisdokumente habe, sollte aus Sicherheitsgründen von der Beantragung des "Pfusch-Persos" absehen. "Durch das gefährliche Experiment einer Kombination von Pflichtdokumenten mit unsicheren Identitätsschlüsseln für Internet und E-Government werden alle Bürger zu Versuchskaninchen", sagte Korte.
Die AusweisApp, die das Bundesinnenministerium seit kurzem für den neuen E-Personalausweis zum Download anbot, hatte eine Sicherheitslücke. Die AusweisApp holt sich ihre Updates von einem per SSL gesicherten Server und überprüft, ob ein gültiges SSL-Zertifikat vorliegt, aber nicht, ob dieses auch zum Server passt. Um das auszunutzen, müsste ein Angreifer den Client auf einen anderen Server lenken, beispielsweise über einen manipulierten DNS-Server. Der Fehler ist für die Entwickler der AusweisApp jedoch leicht zu korrigieren. "Die beteiligten Firmen Openlimit, Signcubes und Siemens IT Solutions and Services werden in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt", hatte das BSI mitgeteilt. FDP-Fraktionssprecher Marc Jungnickel hatte erklärt, die Auslieferung der wenigen ersten Ausweise beginne "erst dieser Tage, so dass bislang kein Schaden entstehen konnte".
Doch das reicht für Korte nicht aus: "Da die Technik ganz offensichtlich nicht ausgereift ist, ist die übereilte Einführung des elektronischen Personalausweises fahrlässig und geht auf die Kappe des Bundesinnenministers." Erst hätten sich die bislang verfügbaren Lesegeräte als unsicher erwiesen und jetzt auch die nötige Onlinesoftware. Tests des Chaos Computer Clubs und des ARD-Magazins Plusminus hatten ergeben, dass die Basislesegeräte ohne eigene Tastatur, die die Bundesregierung ausgeben wird, keinen Schutz bieten, wenn der Computer des Anwenders durch einen Keylogger verseucht ist.
Quelle : www.golem.de
-
Die Pannenserie beim neuen elektronischen Personalausweis reißt offenbar nicht ab. Das ARD-Magazin Monitor berichtet, dass die neue Software der Bundesdruckerei keinen Rufnamen mehr anzeigt, wenn ein Mensch mehrere Vornamen hat. Die Bundesdruckerei verweist auf das Innenministerium.
(http://www.golem.de/1011/79503-5540-1290078560_grafik-zum-e-perso.png)
Durch eine Änderung in der Software wird im neuen elektronischen Personalausweis der Rufname in der maschinenlesbaren Zone für Ämter und Behörden offenbar nicht mehr aufgeführt. Das Problem tritt nur auf, wenn ein Mensch mehrere Vornamen hat. "Für die Betroffenen kann das zu massiven Problemen vor allem bei Banken, Kfz-Zulassungsbehörden oder Fernreisen führen. Erste Fälle gibt es bereits", erklärte die Monitor-Redaktion. Bundesdruckerei-Sprecherin Antonia Voerste sagte Golem.de, dass es sich bei den Softwareeinstellungen zum Rufnamen "um eine Vorgabe des Bundesministerium des Innern handelt".
Das Bundesinnenministerium rechtfertigte die Änderung gegenüber Monitor mit Empfehlungen der internationalen Organisation für zivile Luftfahrt und lehnte neuerliche Änderungen an der Software ab.
Der neue Personalausweis beinhaltet einen Chip, auf dem das digitale Lichtbild sowie die Informationen abgespeichert sind, die auf dem Dokument sichtbar sind. Das sind Familien- und Geburtsname, Vornamen, Doktorgrad, Tag und Ort der Geburt, Foto, Anschrift, Staatsangehörigkeit, Seriennummer sowie Ordens- oder Künstlername. Zudem ist möglich, bei der Beantragung auch zwei Fingerabdrücke auf dem Chip hinterlegen zu lassen. Auf Wunsch können im Chip zusätzlich die Zertifikatsinformationen zur Nutzung einer Qualifizierten Elektronischen Signatur (QES) gespeichert werden.
Das Rufnamenproblem ist bereits die dritte Panne beim Start des E-Personalausweises. Erst hatten sich die derzeit verfügbaren Lesegeräte als unsicher erwiesen, wenn Computer mit Trojanern verseucht waren. Dann musste die Anwendungssoftware für den Ausweis, die AusweisApp, die eine verschlüsselte Verbindung zwischen dem neuen Personalausweis und dem eID-Server herstellt und die Zertifikats- und Authentizitätsprüfung vornimmt, wegen einer Sicherheitslücke zurückgezogen werden.
Quelle : www.golem.de
-
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) heute mitteilt, haben OpenLimit SignCubes und Siemens IT Solutions and Services eine neue Version der Software zur Nutzung des neuen Personalausweises fertig gestellt. Das BSI teste die AusweisApp derzeit ausführlich. Nach Abschluss dieser Tests werde die Software zum Download bereitgestellt. Ein genauer Termin wird nicht genannt.
Seit einer Woche warten Besitzer des neuen Personalausweises vergeblich auf die Software. Die erste Version der AusweisApp wurde nach Bekanntwerden eines Sicherheitsproblems vom Downloadserver entfernt und das BSI versprach, "in Kürze" eine neue Version zum Download bereitzustellen.
Um künftig von Nutzern und Diensteanbietern gemeldete Probleme "schnellstmöglich" auswerten und Updates liefern zu können, hat das BSI nach eigenen Angaben die mit dem Update-Verfahren verbundenen Prozesse einer eingehenden Prüfung unterzogen. Das Bundesamt will außerdem zu regelmäßigen Terminen kumulierte Updates zum Download bereitstellen.
Die heutige Mitteilung enthält auch eine Art Erklärung zu den Startproblemen: "Die AusweisApp wurde bereits im Vorfeld der Einführung des neuen Personalausweises von einer Vielzahl von Diensteanbietern und Nutzern getestet, im Rahmen von Begleitforschungsprojekten untersucht und dabei ständig weiterentwickelt. Trotzdem kann nicht ausgeschlossen werden, dass bei einer erstmaligen Bereitstellung einer komplexen Software, die für eine Vielzahl von Nutzern bei unterschiedlichsten Gerätekonfigurationen einsetzbar sein muss, weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind. Auch das Bekanntwerden von Sicherheitsproblemen ist insbesondere während des Einführungszeitraums ein Phänomen, von dem nicht nur die AusweisApp betroffen ist."
Das BSI begrüße außerdem Vorschläge, Anregungen und Kommentierungen von Nutzern, die dazu beitragen, den Bedienungskomfort, die Leistungsfähigkeit und die Sicherheit der AusweisApp kontinuierlich zu verbessern. Vorschläge nimmt das Bundesamt per E-Mail an ePA@bsi.bund.de oder im Internet entgegen.
Quelle : www.heise.de
-
Am 3. Dezember bekommt Bundesinnenminister Thomas de Maizière in Berlin seinen neuen Personalausweis. Ein schöner Bildtermin, der vergessen machen soll, dass der Ausweis seine Startschwierigkeiten hat. Produktionsprobleme des Ausweises wie Probleme mit der AusweisApp behindern die Einführung. Alle Beteiligten an dieser Einführung treffen sich in Berlin zu einem Krisengespräch.
Der neue Personalausweis soll alle Bürger mit einem modernen Identifikationssystem für das Internet-Zeitalter versorgen. Außerdem soll seine Einführung ein Beweis für die Fähigkeit von Staat und Wirtschaft sein, ein modernes IT-Projekt zum Abschluss zu bringen. In dieser Hinsicht ist der Personalausweis das Gegenstück zur elektronischen Gesundheitskarte, deren Einführung weit hinter den ursprünglichen Planungen hinterherhinkt und nun unter Androhung von Mittelkürzungen im Jahre 2011 erfolgen soll. Nach den Planungen des Bundesinnenministeriums sollten noch in diesem Jahr rund 360.000 Ausweise ausgegeben werden, nach Schätzungen von IT-Experten sind bisher aber nur 60.000 Ausweise produziert worden. Obendrein gibt es Berichte, dass fehlerhafte Personalausweise ausgeliefert wurden.
Verglichen mit der elektronischen Gesundheitskarte ist der neue Personalausweis ein kleines, überschaubares IT-Projekt. Das machen schon die Zahlen deutlich, die das Bundesinnenministerium nach einer Kleinen Anfrage der Linksfraktion (PDF-Datei) vorgelegt hat. Danach kostete die Einführung des Ausweises in diesem Jahr 4.992.149,66 Euro, zu denen 10.261.313,53 Euro für allgemeine IT-Investitionen der Behörden gerechnet werden müssen. In dieser Summe sind nicht die Mittel für die Ausgabe von "IT-Sicherheitspaketen" enthalten, die sich auf 24 Millionen Euro belaufen und mit denen 230.000 Standard- und Komfort-Lesegeräte sowie 1.237.000 Basisleser ausgeliefert werden. Auch die Mittel für die Entwicklung der AusweisApp als Open Source-Anwendung für 800.000 Euro sind in der Aufstellung des Bundesinnenministeriums getrennt aufgeführt.
Damit der neue Ausweis abseits der Startschweirigkeiten von den Bürgern angenommen wird, müssen vor allem sinnvolle Angebote für seine Nutzung abseits der staatlichen Identifizierungsfunktion vorhanden sein. In der kommenden Woche will der Bundesverband des deutschen Versandhandels passend zum IT-Gipfel 2010 in Dresden erste Lösungen vorstellen, wie mit dem Personalausweis Waren online geordert werden können. Eine weitere Maßnahme spricht direkt die an IT interessierten Bürger an und wird offiziell auf besagtem IT-Gipfel vorgestellt: Alle Bürger, die einen neuen Ausweis besitzen und die elektronische Identifikation auf ihrem Ausweis freigeschaltet haben, können kostenlos die CeBIT 2011 besuchen. Dieses Angebot soll die Möglichkeiten des Ausweises "fassbar" machen, heißt es in der Meldung der Messe AG in Hannover.
Quelle : www.heise.de
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ankündigt, dass die AusweisApp am 3. Januar 2011 unter diesem Link (https://www.ausweisapp.bund.de/) zur Verfügung stehen wird. Zuvor soll die Software für das Auslesen von elektronischen Identifikationsdaten aus dem neuen Personalausweis von den Teilnehmern des Anwendungstests eingehend geprüft werden.
Die für den neuen Personalausweis so wichtige AusweisApp wurde vom Netz genommen, als eine Sicherheitslücke in der Update-Routine entdeckt wurde. Nun soll dieses Problem behoben sein. Die neue Version der AusweisApp ist dem BSI zufolge "soweit fortgeschritten, dass den am Anwendungstest beteiligten Firmen eine Vorabversion der Software zur Entwicklung und zum Test ihrer jeweiligen Dienstangebote bereitgestellt werden kann". Rund 30 Firmen und Behörden aus dem Anwendungstest sollen die AusweisApp einer genauen Prüfung unterziehen. Ihre Rückmeldungen zur Brauchbarkeit der Software sollen in die Version einfließen, die am 3. Januar 2011 erscheinen soll. Bis dahin wird es für Inhaber des neuen Personalausweises mit freigeschalteter eID-Funktion keine Möglichkeit geben, sich elektronisch zu identifizieren.
Wie viele Bürger überhaupt den beantragten neuen Personalausweis seit dem Start am 1. November bekommen haben, darüber gibt es unterschiedliche Angaben. Die Schätzung von IT-Experten, dass etwa 60.000 Ausweise in den Portemonnaies der Bürger stecken, wird von der Bundesdruckerei ausdrücklich widersprochen. Nach ihren Angaben wurden 250.000 Ausweise ausgeliefert. "Dabei hielten sich die bei derart umfangreichen Projekten üblichen Verzögerungen in Grenzen", heißt es in einer Mitteilung. "Lediglich bei einem Bruchteil der Beantragungen benötigte der Ausweis eine längere Lieferfrist als geplant. Damit konnte die erste Phase der Einführung mit Erfolg abgeschlossen werden." Da die Produktion sukzessiv anlaufe, könne es für einzelne Bürger zu verlängerten Wartezeiten kommen.
Quelle : www.heise.de
-
Ist der neue Personalausweis bei der Behörde, der PIN/PUK-Brief aber nicht eingetroffen, so kann dennoch die elektronische Identifikation (eID) freigeschaltet werden. Darauf wies der für die Ausweis-Einführung zuständige BMI-Referatsleiter Andreas Reisen am Rande einer Tagung über den neuen Personalausweis hin.
Andreas Reisen hatte als regelmäßiger Leser des c't-Blogs den Bericht unseres Kollegen Axel Kossel gesehen. Dieser gehört zu der Gruppe von Bürgern, bei denen der PIN/PUK-Brief der Bundesdruckerei zur Meldebehörde geschickt werden sollte. Als die Nachricht kam, dass der Ausweis abgeholt werden kann, fehlte der Brief aber. Sicherheitshalber wurde deshalb die eID-Funktion des Ausweises gesperrt. Denn falls jemand den Brief abgefangen habe und gezielt auch noch den dazugehörigen Ausweis stehle, könne er die eID missbräuchlich verwenden, hatte man Kossel erklärt.
Nach Darstellung von Andreas Reisen ist dieses Verfahren unnötig und eine Lösung in den behördlichen Unterlagen behandelt. Erklärt ein Bürger gegenüber der Behörde, den PIN/PUK-Brief nicht erhalten zu haben, kann die Behörde die eID des Ausweises am Änderungsterminal (ÄNTE) kurz scharf stellen und die PIN-Änderungsfunktion aufrufen. Zahlt der Bürger 6 Euro in die Gemeindekasse, darf er dann sofort eine neue PIN eingeben. Will er die 6 Euro nicht bezahlen, bleibt die eID gesperrt und der Bürger muss warten, bis der PIN/PUK-Brief auftaucht. Dies war beim Betroffenen genau einen Tag später der Fall. Das Entsperren der Funktion erfolgte in diesem Fall dann kostenlos.
Außer den Kosten hat das Ersatzverfahren noch den Nachteil, dass der Bürger keine PUK hat, mit der er die gesperrte eID-Funktion nach dreimal falsch eingegebener PIN selbst entsperren kann. Doch auch eine solche PUK kann bei der zuständigen Behörde nachgekauft werden, da die PUK des Ausweises nach zehnmaliger Nutzung gesperrt wird.
Quelle : www.heise.de
-
Aus einem Bericht des Mitteldeutschen Rundfunks (MDR) geht hervor, dass bei dem neuen elektronischen Personalausweis eine weitere Panne ausfindig gemacht wurde. Dabei soll es sich um Produktionsschwierigkeiten handeln.
Angeblich wurde der elektronische Personalausweis teilweise mit leeren Datenchips hergestellt, so der MDR. Wie viele der 650.000 Antragsteller konkret von dieser Problematik betroffen sind, konnte ein Sprecher des Bundesinnenministeriums nicht konkret beziffern.
Abgesehen davon spricht der 'MDR' von vereinzelten Problemen mit dem Sperrkennwort und Lieferengpässen. In einer offiziellen Stellungnahme ist diesbezüglich die Rede von Schwierigkeiten in einer Umstellungsphase.
Wenige Tage nach dem Start wurde ein kritischer Fehler in der so genannten AusweisApp, der zugehörigen Software für den elektronischen Personalausweis, von Jan Schejbal entdeckt. Wegen einer Sicherheitslücke bei der eingebauten Update-Funktion könnte ein Angreifer unter Umständen Daten auf die Festplatte der Anwender einschleusen, heißt es.
Die insgesamt 5300 zuständigen Behörden in Deutschland geben seit dem 1. November nur noch den neuen elektronisch lesbaren Personalausweis aus.
Quelle : http://winfuture.de
-
Ohne Worte: anschauen und lachen oder weinen. Je nach Einstellung ;)
Für die Onlinefunktion des neuen Persos brauchen Sie nur ein Lesegerät, Anti-Viren-Programme, eine Firewall, diverse Updates und PINs – Ein Film von Alexander Lehmann.
-
Die Einführung des neuen Personalausweises (nPA) ist ein Hindernis-Parcours. Nachdem die Bundesdruckerei offenbar die Produktion der neuen Ausweise in Gang gebracht hat und den 500.000ten Ausweis melden konnte, sorgen die Änderungsterminals (ÄNTE) auf den Behörden für Ärger. Die Beamten kämpfen mit Verbindungsabbrüchen der Terminals, die sich jeden Morgen bei den nPA-Servern der Bundesdruckerei anmelden müssen.
Für viele Bundesbürger, die frühzeitig den neuen Personalausweis beantragt haben, wird "meine wichtigste Karte" nicht unter dem Weihnachtsbaum liegen. Nach einer Übersicht der Nachrichtenagentur dpa warten die Bürger entweder auf den Ausweis oder auf den PIN/PUK-Brief, der zum neuen Ausweis gehört. Gegenüber dem Stern erklärte ein Sprecher des Bundesinnenministeriums, es sei ärgerlich, dass es beim Ausweis Verzögerungen gegeben habe.
Auch für die Bürger, die bereits den PIN/PUK-Brief erhalten haben und den Ausweis auf ihrer Behörde abholen wollten, droht in einigen Städten und Gemeinden Ungemach. Vor allem in Kommunen mit ländlichem Internet-Zugang, die mit dem Citrix Terminal Server oder der Citrix XenApp arbeiten, funktionierte die Kommunikation mit den ÄNTE-Geräten nicht, wenn kein 6000er DSL-Anschluss vorhanden war. Hier haben die Techniker der Bundesdruckerei in aller Eile einen Patch entwickelt, mit dem das Timeout-Verhalten den ländlichen Gegebenheiten angepasst werden konnte. Die Arbeit mit Virtualisierungslösungen wurde relativ spät ins Pflichtenheft zum neuen Personalausweis aufgenommen: Bis zum Oktober galt die Annahme, dass Virtualisierung in Verbindung mit der Ausweistechnik nicht akzeptiert wird, was auf massiven Protest der Kommunen hin geändert wurde.
ÄNTE-Timeouts sorgen weiterhin dort für Probleme, wenn morgens die Zugangskarten der ÄNTE aus dem Safe geholt werden und viele Geräte gleichzeitig das Login-Prozedere auf den nPA-Servern starten. Hier rät die Bundesdruckerei, die Geräte nacheinander anzustellen. Ohne funktionierende ÄNTE können die Besitzer eines neuen nPA keine eigene PIN setzen oder die Nutzung der elektronischen Identifikation (eID) sperren lassen. Die Behörden können wiederum keine Adressenänderung nach einem Umzug in den Ausweischip schreiben.
Die Grünen kritisieren derweil das ehemalige rot-grüne Prestigeprojekt, das Anfang 2004 gestartet wurde: Der komplizierte Start befördere die Verunsicherung der Bürger und schaffe kein Vertrauen in die Technik.
Über die Festtage und den Jahreswechsel hinweg haben die am nPA beteiligten Programmierer Zeit, die Terminal- und Software-Probleme zu beheben. Ähnliches gilt auch für die AusweisApp, ohne die der neue Ausweis nicht bei der eID funktioniert. Sie soll am 3. Januar zum Download zur Verfügung stehen.
Quelle : www.heise.de
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 1.0.2 der AusweisApp zum Download freigegeben. Die vorerst nur in der Windows-Variante verfügbare Software zum Zugriff auf den neuen Personalausweis (nPA) kann über das AusweisApp-Portal (https://www.ausweisapp.bund.de/) geladen werden. Varianten für Linux und Mac OS sollen demnächst folgen.
Nach Angaben des BSI wurde die neue Version der AusweisApp von den Firmen OpenLimit SignCubes und Siemens Solutions and Services überarbeitet und vom BSI getestet. Die erste Version der AusweisApp wurde von den Servern genommen, nachdem eine Sicherheitslücke in der für Hotfixes wichtigen Update-Routine entdeckt worden war. In Zukunft sollen kumulierte Updates der AusweisApp bereit gestellt werden. Beim Auftreten besonders kritischer Sicherheitslücken sollen Hotfixes die Aktualisierung der Software besorgen.
Das BSI hat zwischen den Jahren auch an den Lesegeräten für den neuen Personalausweis gearbeitet. Am 29. Dezember hat mit dem CyberJack RFID Standard von Reiner SCT der erste Standardleser die Zertifizierung für den nPA erhalten. Die Zertifizierung weiterer Geräte von Kobil und SCM Microsystems ist im Gange. Standardleser besitzen eine eigene Tastatur für die PIN-Eingabe, sind aber nicht für das Nachladen und den Umgang mit der qualifizierten elektronischen Signatur (QES) geeignet. Die "Mittelklasse" unter den nPA-Lesegeräten soll zum Einsatz kommen, wenn nPA-Besitzer den Ausweis "außer Haus" einsetzen, etwa bei dem automatischen Ausfüllen des Meldebogens im Hotel.
Quelle : www.heise.de
-
In einigen Meldeämtern soll die Software für die Registrierung bereits gedruckter neuer Personalausweise abstürzen, wenn der Name des Ausweisinhabers diakritische Zeichen enthält. Dies meldete die Frankfurter Rundschau. Demgegenüber betont die Bundesdruckerei, dass diese Zeichen bei der Ausweisproduktion keine Probleme bereiten: Bundesinnenminister de Maizière, einer der ersten Empfänger eines neuen Personalausweises, kann trotz des accent grave auf einen korrekt gedruckten Namen verweisen. Nur in der maschinenlesbaren Zone (MRZ) auf der Rückseite, die nach ICAO-Norm nur Großbuchstaben kennt, fallen diakritische Zeichen weg.
Das in Deutschland geltende Prinzip des Föderalismus ist in der Datenverarbeitung nicht unbedingt förderlich. Bund, Länder und Kommunen setzen höchst unterschiedliche Software für ihre Verwaltungsaufgaben ein. Beim neuen Personalausweis kommt ein Dutzend Frontends zum Einsatz, die von den Anbietern kommunaler Software geschrieben wurde. Dazu kommen von Bundesland zu Bundesland unterschiedliche Verfahren, wie die Änderungsterminals (ÄNTE) mit den Servern der Bundesdruckerei kommunizieren. Nach anfänglichen Problemen mit Citrix-Systemen mit langsamer Internet-Anbindung auf dem Lande sorgen nun diakritische Zeichen dafür, dass es bei der Ausgabe produzierter Ausweise Probleme gibt. Laut dem Zeitungsbericht sind offenbar die Berliner Bezirksämter von diesem Fehler betroffen, in denen Thin Clients und TerminalServer eingesetzt und vom IT-Dienstleistungszentrum betreut werden. Die Fehlersuche dauert zurzeit an.
Auch bei der neuen AusweisApp läuft noch nicht alles, was laufen soll. So funktioniert die AusweisApp zwar unter Windows, doch selbst der Funktionstest eines Ausweises ist noch nicht möglich. Korrespondierend ist das aktuelle Angebot an Nutzungsmöglichkeiten beim nPA eine ziemliche Enttäuschung. Nach Angaben von Jens Fromm vom Fraunhofer Fokus, das die Einführung des Ausweises betreut, ist das Angebot der SCHUFA derzeit das einzige Projekt mit funktionierender nPA-Integration. Tests der Redaktion wurden jedoch auch hier mit Fehlern quittiert.
Wie im Personalausweis-Blog berichtet gibt es unter Blinden Unmut darüber, dass die neue AusweisApp die Zusammenarbeit mit Screenreadern verweigert. Was in der ursprünglichen Version der Software barrierefrei funktionierte, wurde vorerst gestoppt, weil die Techniker beim Code Review eine Sicherheitslücke in der "Java Access Bridge" fanden, die zur Ansteuerung der Screenreader benötigt wird. Diese Sicherheitslücke soll mittlerweile geschlossen worden sein. In der nächsten Version der AusweisApp wird die Unterstützung von Screenreadern wieder aktiviert sein, erklärte Peer Dietrich vom "Arbeitskreis Barrierefreiheit Personalausweis".
Quelle : www.heise.de
-
Die PIN des neuen Personalausweises lässt sich auch ohne Malware leicht stehlen, meint Jan Schejbal und zeigt einen einfachen Angriff. Nach einem Hinweis Schejbals auf eine Sicherheitslücke in der Updatefunktion der AusweisApp war diese zuvor zurückgezogen worden.
Schejbal zeigt unter fsk18.piratenpartei.de einen Weg, um an die Ausweis-PIN eines Nutzers zu gelangen. Er nutzt keine technische Schwachstelle, sondern setzt auf einen sorglosen Umgang der Nutzer mit ihrer Software.
Die Website verspricht, eine Altersprüfung vorzunehmen und fordert dazu auf, einem Link zu folgen. Dieser zeigt dann im Browserfenster eine Grafik an, mit der vorgetäuscht wird, dass die AusweisApp geöffnet worden ist. Der Nutzer wird zur Eingabe seiner PIN aufgefordert. Da die Eingabe in ein Webformular erfolgt, das lediglich aussieht wie die AusweisApp, erhält der Websitebetreiber Zugriff auf die PIN.
(http://scr3.golem.de/screenshots/1101/nPa-Phishing/thumb480/npa1.jpg)
Schejbals Angriff (https://janschejbal.wordpress.com/2011/01/17/eperso-pin-diebstahl-ohne-malware/) setzt also auf Phishing, die Sicherheitstechnik des neuen Personalausweises wird nicht ausgehebelt. Dabei sollte nicht vergessen werden, dass eine der größten Schwachstellen in solchen Sicherheitssystem eben vor dem Bildschirm sitzt.
Die AusweisApp-Simulation von Schejbal ist recht primitiv und soll nur die Gefahr aufzeigen. So lässt sich das angezeigte Fenster der AusweisApp nicht verschieben, was Nutzer stutzig machen sollte. Denkbar wäre aber durchaus, mit Javascript dafür zu sorgen, dass das vermeintliche Applikationsfenster zumindest innerhalb des Browserfensters verschiebbar ist. Auch ließe sich die Optik anhand der Browserkennung an des jeweilige Betriebssystem anpassen. Und auch eine Bildschirmtastatur ließe sich simulieren, so Schejbal.
"Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll – aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?", fragt Schejbal.
Darüber hinaus signalisiert die AusweisApp, wenn sie bei aufgelegtem Ausweis aktiv ist. Dann wechselt das in der Taskleiste angezeigte Chipsymbol von grün zu blau. Auch daran wäre der Angriff leicht als solcher zu erkennen, sagt Schejbal.
Um die Identität des Ausweisbesitzers zu missbrauchen, reicht die PIN unterdessen nicht aus. Auf dem Chaos Communication Congress Ende 2010 (27C3) zeigten allerdings Frank Morgner und Dominik Oepen (http://www.golem.de/1012/80347.html), was sich mit einer PIN anstellen lässt.
Quelle : www.golem.de
-
Während der Bremer E-Government-Veranstaltung in medias res wurde der neue Personalausweis (nPA) kontrovers diskutiert. Was die Beteiligten zu berichten hatten, deutet darauf hin, dass noch längst nicht die Holperstrecke des Ausgabestarts überwunden ist.
Für Jens Fromm vom Fraunhofer Fokus und seinem Kompetenzzentrum Personalausweis ist der nPA auf einem guten Wege. Nach seiner Auskunft sind fünf Basis- sowie ein Standard-Kartenleser vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert und verfügbar. Ein Komfort-Kartenleser werde gerade zertifiziert. Zwei Certificate Authorities, die die Berechtigungszertifikate für Behörden und Firmen zum Zugriff auf den nPA vergeben, seien gestartet. Drei Anbieter von eID-Serversystemen, acht Anbieter von eiD-Services sowie viele kleinere und größere Support-Firmen zeigen nach Aussage von Fromm, dass sich rund um den neuen Ausweis ein Ökosystem für die elektronische Identifikation (eID) entwickelt. Dass die AusweisApp einen "durchwachsenen Start" hinter sich habe und nur wenige Unternehmen online seien, bedauerte Fromm. Zur CeBIT werde sich die Situation deutlich verbessern.
Die CeBIT selbst ist für die Befürworter des neuen Personalausweises allerdings noch problematisch, erklärte Stephan Klein von bremen online services (bos). Seine Firma liefert mit Governikus Autent die Komponenten für das Ticketsystem der Deutschen Messe, damit wie angekündigt alle Besitzer eines nPA kostenlosen Zutritt zur Messe haben. Diese Regelung wird derzeit von Juristen überprüft, die wegen der sehr langen Wartezeiten auf den Ausweis Diskriminierungsklagen gegen das Eintrittsgeschenk befürchten. Klein berichtete, dass nach den aktuellen Zahlen 40 bis 50 Prozent der nPA-Besitzer die elektronische Funktion freischalten lassen. Halte der Trend an, könne sich ein attraktiver Markt für elektronische Identifikationsdienste bilden. Seine Firma hat bei der Kölner Vergabestelle für Berechtigungszertifikate die Genehmigungen für zwei Anwendungen eingeholt und nach drei Tagen die nötigen Urkunden erhalten.
Ab März will bos für Bremer einen "Bürgersafe" anbieten, in dem der elektronische Schriftverkehr mit den Behörden, aber auch elektronische Reiseunterlagen oder Scans von wichtigen persönlichen Unterlagen gespeichert werden können. Der Zugriff soll hauptsächlich anonym über das "dienste- und kartenspezifische Kennzeichen" des nPA (Pseudonymfunktion) erfolgen. Ein zweites bos-Projekt ist ein zusammen mit der Firma Wincor Nixdorf entwickeltes Selbstbedienungsterminal für den Umzug innerhalb von Bremen. Rund 80.000 Bürger ziehen nach Angaben von Klein jährlich innerhalb des Stadtstaates um und sollen die Adressänderung im Einwohnermeldeamt weitgehend eigenständig abwickeln. Die Sachbearbeiter im Meldeamt müssen dann nur noch prüfen, ob die neue Adresse korrekt vom Ausweischip gespeichert wurde und ein Etikett auf die Rückseite des nPA kleben, da kein neuer Ausweis produziert wird.
Der Informatiker Herbert Kubicek vom Institut für Informationsmanagement Bremen kritisierte die Befürworter des Ausweises. Der neue Ausweis biete keine einzige Anwendung, die nur mit der elektronischen Identifikation genutzt werden kann und dabei noch einen attraktiven Anreiz zum Umstieg auf den nPA biete. Kubicek berichtete zuerst von seiner Vergleichsstudie zur Nutzung elektronischer Ausweise in acht europäischen Ländern. Diese ergab, dass sich Ausweissysteme dort durchsetzen konnten, wo Banken als Diensteanbieter einbezogen wurden. Kubicek wies darauf hin, dass deutsche Banken beim nPA sehr zurückhaltend seien und weiter auf iTAN und mTAN setzten. Höchstens 20 Prozent der Bundesbürger werden nach der Prognose des Informatikers die elektronische Identifikation nutzen.
Kubicek betonte, dass der neue Ausweis nur dann erfolgreich sein kann, wenn es "niedrigschwellige Angebote" gibt, ihn einzusetzen. Außerdem sei der Gesetzgeber gefordert, die "Schriftformerfordernisse" deutlich abzusenken, damit der nPA eine Rolle in der Kommunikation zwischen Bürgern und Behörden spielen kann. Auf die Frage, ob Ausländer von den Segnungen der elektronischen Identifikation profitieren können, verwies Fromm auf den elektronischen Aufenthaltstitel, der Mitte 2011 eingeführt und wie der nPA mit einem Chip ausgestattet werden soll. Für nichtdeutsche Europäer, die in Deutschland leben, soll es erste Überlegungen geben, eine eID-Karte anzubieten. Klein verwies darauf, dass die qualifizierte elektronische Signatur (QES) wohl im Sommer 2011 für den Ausweis verfügbar sein wird. Diese werde für Banken sehr wichtig werden, wenn in einigen Jahren Ersatzverfahren für TAN-Systeme benötigt werden. Zusammen mit einem drastischen Preisverfall bei der QES habe der Ausweis alle Chancen, sich im digitalen Alltag durchzusetzen.
Quelle : www.heise.de
-
Seit der Einführung am 1. November sind bisher 1,1 Millionen elektronische Personalausweise beantragt worden. Das Interesse, ihn auch für Internet-Transaktionen einzusetzen, bleibt aber sowohl bei Anbietern wie auch bei den Anwendern weit hinter den Erwartungen zurück. Die zugehörige AusweisApp zur Nutzung der elektronischen Identifikation (eID) auf dem neuen Personalausweis (nPA) haben sich bisher nur 29.000 Bürger heruntergeladen. Doch immerhin fast jeder zweite lässt sich die eID-Funktion bei der Ausstellung auch aktivieren.
Diese Zahlen wurden jetzt auf der Omnicard, dem alljährlichen Branchenkongress der Chipkarten-Branche in Berlin genannt, auf dem sich die Fachwelt über die ersten Erfahrungen mit dem IT-Großprojekt austauschte. Probleme bei der Einführung hatte es ja etliche gegeben, von der vorhersehbaren Kritik an den unter dem Stand der Sicherheitstechnik bleibenden Kartenlesern, dem vermasselten Start mit dem Sicherheitsloch in der AusweisApp, den störungsanfälligen Terminals in Meldeämtern, Schwierigkeiten mit Sonderzeichen im Namen der Antragsteller, bis zu den fehlenden Anwendungen für diejenigen, die die eID-Funktion tatsächlich nutzen wollten.
"Manches hätte besser gehen können", gestand der für das Pass- und Ausweiswesen zuständige Referatsleiter im Bundesinnenministerium (BMI), Andreas Reisen, ein, "aber im Ergebnis können wir ganz zufrieden sein". Probleme hätte es vor allem mit den in den ersten beiden Wochen beantragten Ausweisen gegeben, von denen die letzten aber in den nächsten Tagen ausgeliefert würden. Inzwischen seien auch "weit mehr als zwei Drittel" der Änderungsterminals, mit denen PIN- oder Adressenänderungen bei bereits ausgefertigter Ausweise durchgeführt werden und deren Software gepatched werden musste, "in einem Status, dass sie einwandfrei funktionieren". Jedenfalls sei "die Grundversorgung in den 5300 Personalausweisbehörden gewährleistet".
Diensteanbieter, die eID-Applikationen im Netz bereitstellten, gebe es noch nicht viele, sagte der BMI-Vertreter. Auf der nPA-Portalseite des BMI führt eine 12-seitige Liste zwar 62 Anbieter auf, die von der Vergabestelle für Berechtigungszertifikate beim Bundesverwaltungsamt ein Zertifikat zur Nutzung der eID-Funktion erhalten haben, doch tatsächlich im Wirkbetrieb genutzt werde das Verfahren nur von 16 Firmen, wie der Geschäftsführer der Bundesdruckerei-Tocher D-Trust, Matthias Merx, berichtete; 14 Unternehmen seien mit dem eID-Verfahren im Referenzbetrieb, und weitere 17 befänden sich in Vertragsverhandlungen.
Die Kosten für ein Berechtigungszertifikat gab Merx mit 2000 bis 3000 Euro an, und den Aufwand, die Ausweis-gestützte Authentisierung der Kunden in die elektronischen Geschäftsprozesse zu integrieren, bezifferte er auf zwei bis drei Monate. Deshalb sei es ratsam, zur Einführung "ein kleines Projekt mit zwei, drei Mitarbeitern anzusetzen".
Weil das die Kräfte der meisten Klein- und Einzelunternehmer übersteigen dürfte, sucht das BMI nun in Zusammenarbeit mit dem Kompetenzzentrum elektronischer Personalausweis des Fraunhofer-Instituts FOKUS nach Wegen, dieser Zielgruppe, die immerhin rund drei Millionen Unternehmen in der Bundesrepublik umfasst, den Einstieg zu erleichtern. "Wir werden mit großer Kraft daran arbeiten, die ins Boot zu holen", erklärte Reisen, denn andernfalls drohe das eID-Verfahren "eine Privilegierten-Technologie" zu werden.
Quelle : www.heise.de
-
Im Rahmen eines Pressegesprächs bei der Bundesdruckerei zog der dortige Projektleiter für den neuen Personalausweis Klaus-Peter Bastian Bilanz: "Ich bin mit dem Stand derzeit sehr zufrieden." Man habe bislang 1,35 Millionen Ausweise ausgeliefert. Bastian räumte Anlaufschwierigkeiten ein; es habe etwas gedauert, "bis der Motor rund lief". Derzeit liege die Durchlaufzeit von Auftragseingang bis Versand bei etwa zwei Wochen. Man hoffe, diese noch um drei bis vier Tage verkürzen zu können.
(http://www.heise.de/imgs/18/6/2/1/5/7/6/9eb837b114318768.jpeg)
Der neue Personalausweis
besteht nicht aus einem
Kartenkörper, sondern wird
aus verschiedenen Schichten
zusammengesetzt.
Einige der frühen Antragsteller mussten allerdings bis zu zwei Monate warten. Das erklärte Bastian damit, dass anfangs die Fehlerrate bei einzelnen Maschinen noch zu hoch lag, man die betroffenen Ausweise aber alle Produktionsschritte durchlaufen ließ, ehe man sie aussortierte, um Erfahrungen zu sammeln. Außerdem sortierte die Steuerung neue Aufträge vor den Wiederholungsproduktionen fehlerhafter Ausweise ein. Nach 4 bis 5 Wochen habe man dieses Problem gelöst; seither erhalten Wiederholungsproduktionen die höchste Priorität. Außerdem wurde die Ausschussrate gesenkt: Seit Anfang Januar liege sie auf "Zielniveau". Eine Zahl wollte Bastian aber nicht nennen.
Die Produktionsstraße umfasst rund 36 Maschinen, in der Bundesdruckerei modifizierte Sonderanfertigungen von verschiedenen Herstellern. Der Ausweis besteht aus mehreren Schichten Polycarbonat, in die Sicherheitsmerkmale eingebracht werden. Das Ganze beginnt mit dem Druck des biometrischen Farbfotos, wobei sich die Kunststoffarbe mit dem Trägermaterial verbindet. Dieses Verfahren ist nach Angaben der Bundesdruckerei weltweit einzigartig. Danach werden der Chip mit Antenne, der personalisierte, maschinenlesbare Sicherheitsfaden und mehrere Schichten zusammengesetzt und unter Druck verschweißt. In weiteren Schritten werden Hologramme aufgebracht, außerdem die Lasergravuren und weitere Sicherheitsmerkmale, wie das Identigram, das Bundesadler, stilisiertes Lichtbild des Inhabers sowie Namen und Seriennummer holografisch wiedergibt. Die Programmierung des Chips erfolgt am Ende der Produktion.
(http://www.heise.de/imgs/18/6/2/1/5/7/6/b8d66c02192e2081.jpeg)
In einer Schicht liegt der Chip mit Antenne.
Bastian betonte, dass nicht nur die Produktion selbst komplex sei. So verwenden die rund 5500 Ausweisbehörden außer der Software und den Fingerbadrucklesern der Bundesdruckerei auch Hardware von Drittherstellern wie Fotoscanner oder Signaturtabletts zum Erfassen der Unterschrift, die in die Prozesse eingebunden werden müssen. Ab August 2010 konnten alle 5500 Ausweisbehörden die zur Verfügung gestellten Komponenten testen, rund die Hälfte hat diese Möglichkeit wahrgenommen.
Nicht überall klappte alles auf Anhieb. Supportmitarbeiter der Bundesdruckerei halfen telefonisch und vor Ort, tauschten selten defekte Geräte und lösten häufig einfache Probleme wie überlastete USB-Hubs oder falsch konfigurierte Firewalls. Das Gesamtsystem umfasst aber noch weitere Komponenten, wie die Datenübertragung zwischen Ausweisbehörde und Bundesdruckerei über DVDV oder den globalen Sperrdienst des Bundesverwaltungsamts, bei dem die Bundesdruckerei für jeden produzierten Ausweis ein Sperrmerkmal hinterlegt. Die Ausweisbehörden monieren häufig, dass das Starten der Änderungsterminals zu lange dauere, da dabei ein Berechtigungszertifikat angefordert wird. Laut Bastian vergehen dabei derzeit rund 3 Minuten, man wolle den Prozess aber bald auf etwa 30 Sekunden verkürzen.
(http://www.heise.de/imgs/18/6/2/1/5/7/6/d064d986d091fb0c.jpeg)
Am Ende der Produktion werden die Daten auf den
Chip geschrieben.
Einige Probleme kamen auch durch Missverständnisse zustande. So landeten PIN/PUK-Briefe am Anfang statt beim Bürger beim Amt, weil die Bearbeiter dort es so angegeben hatten. Oder Bürger wurden zum Abholen ihres Ausweises aufgefordert, bevor der PIN/PUK-Brief angekommen war. Den darf die Bundesdruckerei nämlich erst drucken, nachdem sie den zugehörigen Ausweis bereits verschickt hat. Und fehlerhafte Aufträge, in denen beispielsweise die ausstellende Behörde falsch bezeichnet ist, darf sie nicht korrigieren.
Quelle : www.heise.de
-
Auf dem 21. Smartcard-Workshop des Fraunhofer SIT war die Sicherheit des neuen Personalausweises ein Schwerpunkt der zweitägigen Veranstaltung. Alle Teilnehmer der Konferenz bekamen einen Standardleser und genossen einen Blick in die Zukunft, in der der Ausweis mit dem Mobiltelefon zusammenarbeitet und nicht auf den verseuchten PC angewiesen ist.
Neben der Zukunft der Smartcards und der Angriffssicherheit auf ihre Chips war die "Systemsicherheit des neuen Personalausweises" (nPA) das Schwerpunktthema des Smartcard-Workshops. Kim Nguyen von der Bundesdruckerei lieferte einen routinierten Vortrag zum System der elektronischen Identifikation (eID) mit Schwerpunkt auf dem eID-Service. Die Möglichkeit, dass Firmen und Behörden den Umgang mit der eID an zertifizierte Service Provider auslagern können, soll der Einführung des Personalausweises zusätzlichen Schwung verleihen. Als Vertreter eines derartigen Service Providers referierte Christian Kahlo von der Ageto-Tochterfirma Synchronity, die das Ausweis-Portal betreibt, über die Sicherheit des Gesamtsystems. Mögliche Gefahrenquellen liegen nach Kahlo nicht in einem "Chip-Hack" oder sonstigen Hackerangriffen auf das System, sondern vielmehr in unsachgemäß programmierten, proprietären oder freien Clients, die parallel zur AusweisApp auf die Lesegeräte zugreifen. Auch Datenlecks bei Diensteanbietern, unzureichend gesicherte Datenbanken mit Ausweisdaten und der Missbrauch von Berechtigungszertifikaten seien wichtige Probleme, die nach Kahlo bislang kaum beachtet wurden. Schließlich sollte in der Diskussion um die Sicherheitslücken des nPA auch gefragt werden, ob bestimmte Kreise nicht einen Vorteil daraus ziehen, wenn das eID-System schlechtgeredet wird und die eID keine große Verbreitung findet.
Zumindest ein Vortrag zeigte, dass Kahlos Argument von der Vorteils-Verurteilung nicht gänzlich aus der Luft gegriffen ist. Als Kritiker trat Detlef Hillen von SRC Security Consulting auf, der einstmals an der Entwicklung der Geldkarte beteiligt war und vor allem Banken berät. Unumwunden kritisierte Hillen die Zulassung und dazu die staatliche Förderung von Basis-Lesegeräten als "Achillesferse" des Gesamtsystems. Aus der Sicht eines Diensteanbieters sei dies ein kapitaler Fehler in der Gesamtkonstruktion, weil dem Diensteanbieter nicht bekannt ist, mit welchem Lesegerät sich ein Kunde anmeldet. Also müsse dieser immer davon ausgehen, dass am anderen Ende der Leitung ein Basislesegerät und ein unsicherer PC arbeiten. Unter diesem Gesichtspunkt sei der Ausweis nicht geeignet, in irgendeiner Form die Transaktionssicherheit zu unterstützen, wie sie etwa bei Überweisungen im Online-Banking gefordert sind. Auch die reine Authentifizierung wurde von Hillen als unzureichende Funktion beschrieben: Weder könne sicher angenommen werden, dass das Auslesen der Ausweisdaten willentlich vom Benutzer veranlasst wurde, noch könne ein Dienstleister feststellen, ob Ausweisinhaber und Benutzer identisch seien. Schließlich warnte Hillen vor der AusweisApp: Sie werde ein beliebtes Probierfeld für Angriffe aller Art werden, da Hacker hier ihre Reputation steigern können.
Ein Angriff auf das Ausweis-System wurde vor wenigen Wochen auf dem Jahreskongress des Chaos Computer Clubs von Forschern der Humbold Universität vorgeführt. Ihre Diplomarbeiten über den neuen Ausweis wurden in Darmstadt von ihrem Betreuer Wolf Müller mit weiteren Arbeiten über den mobilen Einsatz des Ausweises zusammengeführt. Ein Smartphone, an das via USB ein Lesegerät angeschlossen ist, oder besser noch ein Smartphone mit NFC-Funktion, das selbst den Ausweischip auslesen kann, ist unterwegs eine gute Lösung, wenn man überhaupt kein Vertrauen in die "feindliche Umgebung" haben kann. Wer beispielsweise in einem Internet-Cafe seinen Ausweis einsetzen will, soll nach den Vorstellungen von Müller die PIN auf dem Telefon eingeben können. Aus diesem Grund arbeitet seine Gruppe daran, eine mobile eCard-API zu entwickeln, die kombiniert mit einer speziellen intuitiven AusweisApp als integrierte Lösung eine Alternative zum unsicheren PC ist. Ein Telefon mit NFC-Funktion könnte überdies einen Schwachstelle des nPA-Systems ausbügeln und dem Ausweisinhaber melden, welche Daten an öffentlichen Terminals (z.B. auch an Zigarettenautomaten) überhaupt übertragen werden. Solche Meldungen werden an Standard- oder Komfortleser gesendet, nicht aber an einen Basisleser bzw. an den neuen Personalausweis. Für die gelungene Verschmelzung des nPA mit dem zweiten auf dem Workshop intensiv diskutierten Thema "NFC als Zukunft der Smartcard" gab es kräftigen Beifall.
Quelle : www.heise.de
-
Das Unternehmen Synchronity will auf der Computermesse CeBIT in Hannover eine eigene AusweisApp vorstellen, die für geringen Speicherbedarf optimiert und auf 1 MByte abgespeckt wurde. Das Java-Programm könnte auch auf Mobilgeräten eingesetzt werden und neue Einsatzfelder für den elektronischen Personalausweis (nPA) erschließen. Die AusweisApp soll zuerst in Telematik-Lösungen des Speditionsgewerbes eingesetzt werden, wenn Fahrer von Gefahrenguttransporten gemäß dem elektronischen Abfallverfahren ihre Transportpapiere digital signieren müssen. Zur Messe will Synchronity außerdem eine Android-App für den entstehenden Markt für NFC-fähige Smartphones entwickeln. An ihr sollen besonders Banken interessiert sein.
Noch ist, wie "nPA in Aktion" zeigt, das Angebot an Anwendungen für den elektronischen Personalausweis gering und dürfte auch kaum Anreize bieten, sich um einen neuen Personalausweis zu bemühen. Als größte Bremse gilt derzeit die offizielle AusweisApp, die derzeit nur für Windows verfügbar ist und nicht besonders schonend mit den Ressourcen umgeht. Je nach System werden bis zu 110 MByte Arbeitsspeicher belegt. Um die Lage zu bessern, wollen auf der CeBIT über ein Dutzend Unternehmen im "Public Sector Parc" (Halle 9) an zwei "nPA-Tagen" am 2. und 3. März über ihre Erfahrungen und Pläne mit dem Ausweis berichten. Die Leistungsschau soll von der Bundes-CIO Cornelia Rogall-Grothe eröffnet werden.
Das zum Ageto-Konzern gehörende Unternehmen Synchronity, das die nPA-Unterstützung für den Fujitsu-Shop entwickelte, sieht neben den Anforderungen der Logistik-Branche vor allem auf Mobilgeräten Einsatzchancen. So könne das mobile Login in soziale Netzwerke über die eID-Funktion des Ausweises abgewickelt werden. Auch Banken zeigten Interesse daran, mit einer nach ihren Wünschen gestalteten App den Ausweis im mobilen Banking einzusetzen: Im Unterschied zur AusweisApp des Bundes erzwingt die Software die Benutzung von Lesegeräten mit einem eigenen PINpad (Standard- oder Komfortleser). Dementsprechend will Synchronity seine Software vom ZKA der Banken und Sparkassen zertifizieren lassen.
Die CeBIT will Tagesbesuchern, die einen neuen Personalausweis besitzen, freien Eintritt gewähren. Doch auch diejenigen, die noch den alten Ausweis besitzen, sollen von der "wichtigsten Karte" profitieren: So will die Init AG auf der Messe mehrmals täglich Gutscheine verlosen, mit denen die Beantragungsgebühr des Personalausweises übernommen wird. Gewinner können sich zum Lesegeräte-Hersteller Reiner SCT begeben, der kostenlos biometrische Passfotos für den Ausweis anfertigen will.
Quelle : www.heise.de
-
Seit sechs Monaten wird in Deutschland der chipbasierte elektronische Personalausweis mit elektronischer ID ausgegeben. Noch ist dieser neue Personalausweis (nPA) nicht wirklich im deutschen Alltag angekommen. Das zeigt die Anwendung, die zum kleinen Jubiläum gestartet wurde: Ab dem heutigen Montag können Autofahrer ihren Punktestand beim Kraftfahrt-Bundesamt in Flensburg mit dem nPA abfragen. Die Antwort kommt noch schwarz auf weiß per Post ins Haus.
Nach Eingabe eines Captchas und einer Reihe von seltsamen Meldungen auf dem Display des Kartenlesers, die jeweils mit OK bestätigt werden müssen, sowie der doppelten Eingabe des Geburtsnamens gratuliert das Kraftfahrt-Bundesamt zur erfolgreichen Nutzung des nPA und verspricht in den nächsten Tagen Briefpost. Die neue Online-Abfrage des Punktekontos ist eine hybride Sache. Erst wenn die rechtsverbindliche De-Mail gestartet ist, will man die Auskunft auch online verschicken. Vielleicht wird sie ja die Killer-Applikation für den kleinen Ausweis: Das Verkehrsministerium plant eine Reform des Punktesystems, bei der Punkte unabhängig voneinander verjähren sollen. Sollte diese Regelung umgesetzt werden, schadet es nichts, online nachzufragen, was die diversen Punkte so auf dem Buckel haben.
Ohne die Punktestandsabfrage sind derzeit 20 Anwendungen (davon 6 Demo-Anwendungen) im Internet verfügbar, bei denen die elektronische Identifikation des nPA eingesetzt werden kann. Als beliebteste Anwendung gilt das Service-Portal der Deutschen Rentenversicherung, gefolgt von der Abfrage der Kindergeldleistungen bei der Arbeitsagentur. Mit der Stadt Münster und der Stadtverwaltung Hagen sind zwei Kommunen dabei, die in ersten Ansätzen zeigen, wie moderner Bürgerservice aussehen kann. Die Anmeldung zur Hundesteuer oder zur Elektroschrott-Abholung mögen ein Lächeln abnötigen, doch schon die Meldung der Anschaffungswünsche bei der Stadtbücherei zeigt, wohin die Reise gehen kann.
Ob das ausreicht, der elektronischen Identifikation den nötigen Anschwung zu geben, wird sich weiterhin zeigen müssen. Gegenüber heise online gibt sich Jens Fromm etwas skeptisch. Der die Einführung des Personalausweises begleitende Leiter der Forschungsgruppe elektronische Identitäten am Fraunhofer FOKUS-Institut verweist auf die zunehmend poröse Privatsphäre im Internet: "Der Ansatz des Datenschutzes beim neuen Personalausweis und die damit verbundene technische Komplexität treffen auf eine Welt im Internet, in der diese Ansätze immer weiter in den Hintergrund treten." Ungünstig ist derzeit auch, dass die für den Einsatz des nPA notwendige Ausweis-App immer noch ausschließlich unter Windows läuft und die Linux- und Mac-Versionen der Anbindung auf sich warten lassen. Als nächste Verbesserung steht zunächst die Unterstützung von Firefox 4 unter Windows auf der Tagesordnung. Erwähnt werden sollte noch, dass die Komfort-Leser zwar zertifiziert, aber noch nicht im Handel sind. Da auch das Nachladen einer qualifizierten elektronischen Signatur auf den nPA noch nicht angeboten wird, ist dies allerdings nicht gerade tragisch.
Im Alltag sieht es etwas anders aus, nämlich lustiger. Es gibt nur noch wenige Situationen, in denen der neue Ausweis neugierig beäugt wird. Ein Hotel verweigerte dem Verfasser rundweg die ID-Legitimation mit der neuen Karte, konnte aber mit dem Ausweis der Transnationalen Republik beruhigt werden, der stark dem herkömmlichen Personalausweis ähnelt.
Quelle : www.heise.de
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 1.1 der AusweisApp zum Download (https://www.ausweisapp.bund.de/pweb/filedownload/download_pre.do) freigegeben. Die neue Version der Anwendung für den elektronischen Personalausweis unterstützt nun auch den Browser Firefox 4. Außerdem arbeitet sie wieder mit der optional installierbaren Java Access Bridge zusammen, die die Kommunikation mit Vorlese-Anwendungen (Screen Reader) wie JAWS und NVDA besorgt.
Die mit der Einführung des neuen Personalausweises erschienene Version der AusweisApp konnten auch Blinde benutzen. Mit dem nach einer entdeckten Sicherheitslücke notwendigen Update war das nicht mehr möglich, weil die Java Access Bridge von der Software nicht länger unterstützt wurde. Nach einiger Kritik von den Blindenverbänden ist diese Funktion in Version 1.1 der App wiederhergestellt. Die Screen Reader funktionieren wieder, auch die Vergrößerung von Schrift- oder Dialogfeldern für Sehbehinderte ist jetzt eingebaut.
Die Version 1.1. der AusweisApp unterstützt noch nicht das auf dem BSI-Kongress demonstrierte Nachladen einer qualifizierten elektronischen Signatur (QES) auf den Personalausweis. Außerdem ist auch Version 1.1 nur für Windows-Systeme verfügbar; die Linux-Variante wird im Juni, die MacOS-Variante zum Sommerende erwartet.
Quelle : www.heise.de
-
Die AusweisApp, der Anwendersoftware für den neuen Personalausweis, unterstützt ab sofort auch Linux. Auf dem offiziellen AusweisApp-Portal des Bundesamtes für Sicherheit in der Informationstechnik kann sich jeder Internetnutzer die AusweisApp für die Distributionen Ubuntu und Debian herunterladen.
Mit der AusweisApp soll dem Anwender eine Software zur Verfügung gestellt werden, die Funktionen für eine sichere, digitale Identitätsverwaltung im Internet bereitstellt. Die Grundlage hierfür stellt der neue Personalausweis dar, der unter anderem mit einer ID-Funktion (Electronic Identity) ausgestattet ist. Mittels spezieller Software kann der Anwender sich gegenüber Behörden oder Organisationen identifizieren.
Nutzbar ist die Online-Ausweisfunktion bei den Anbietern, die das Online-Ausweisen in ihren Diensten unterstützen. Das können prinzipiell die Online-Dienste von privatwirtschaftlichen Unternehmen, wie Online-Shops, Banken, E-Mail-Anbietern oder sozialen Netzwerken sein. Aber auch Behörden können das Online-Ausweisen im Rahmen ihrer E-Government-Dienstleistungen anbieten, wie zum Beispiel bei der Kfz-Ummeldung oder bei der Beantragung von Geburtsurkunden.
Die Praxis sieht jedoch noch recht enttäuschend aus. Wie eine jüngst von Stiftung Warentest veröffentlichte Studie belegt, sind die Einsatzmöglichkeiten des neuen Ausweises praktisch nicht vorhanden. So haben die Tester erfahren müssen, dass die zur Identifikation vorgesehene Funktion von bislang nur 18 Stellen im Internet effektiv genutzt wurde. »Grund für die insgesamt dürftigen Online-Einsatzmöglichkeiten des neuen Personalausweises ist offenbar: Der technische Aufwand ist hoch«, schreiben die Tester. Hinzu kamen noch technische Probleme. Unter Linux kam noch erschwerend hinzu, dass die zur Abfrage benötigte Applikation gar nicht freigegeben wurde.
Wie OpenLimit nun bekannt gab, steht interessierten Anwendern ab sofort die AusweisApp unter Debian und Ubuntu zur Nutzung bereit. Auf dem offiziellen AusweisApp-Portal des Bundesamtes für Sicherheit in der Informationstechnik kann sich jeder Internetnutzer die Anwendung nun für die zwei unterstützten Distributionen herunterladen. »Wir sind nun einen wichtigen Schritt vorangekommen, allen Ausweisinhabern eine Software für Windows und Linux bereitzustellen, die das digitale Vertrauen in die elektronische Kommunikationsprozessen für den Bürger sicherstellt,« sagt Dirk Arendt, Head of Corporate Communications bei OpenLimit.
Anwender von nicht Debian- und Ubuntu-Distributionen müssen sich allerdings noch gedulden. Denn das zu herunterladende, knapp 90 MB große ZIP-Archiv (https://www.ausweisapp.bund.de/pweb/filedownload/download_pre.do) enthält neben Anleitungen im PDF-Format nur DEB-Pakete.
Quelle : www.pro-linux.de
-
Seit einem Jahr gibt es den neuen elektronischen Personalausweis, mit dem sichere elektronische Identitäten (eID) im Internet abgebildet werden sollen. Vom "nPA" sind inzwischen 8,5 Millionen Exemplare nach Angaben der Bundesdruckerei im Umlauf. Etwa bei einem Drittel dieser Ausweise sind nach Angaben des Bundesinnenministeriums auf Wunsch des Inhabers die eID-Funktionen eingeschaltet – eine Speicherung dieser Information ist untersagt. 600.000 Standard- und Komfort-Lesegeräte konnte Reiner SCT verkaufen, der bislang einzige Lieferant dieser Geräteklassen.
(http://www.heise.de/imgs/18/7/3/0/7/4/6/nt-1.jpg-d693a7df65175aab.jpeg)
Für Martin Schallbruch, IT-Direktor im Bundesministerium ist die Sache eindeutig. Nach seiner Einschätzung kommt der Ausweis gut an und hat sich nach überwundenen Anfangsschwierigkeiten als "universelles Werkzeug für verlässliche Identifikation im Netz bewährt". Die mit großem Abstand beliebteste Anwendung des nPA ist der Abruf des Punktekontos beim Verkehrszentralregister in Flensburg. Es schickt seine Antwort dem Ausweisinhaber aber klassisch per Post.
Bis Ende 2011 werden voraussichtlich 10 Millionen Ausweise im Einsatz sein und das Vertrauen und die Sicherheit im Internet bestärken, erklärte Schallbuch auf einer "Bilanz-Pressekonferenz" in Berlin. Noch euphorischer drückt sich sein Chef, Bundesinnenminister Hans-Peter Friedrich (CSU) aus. In einer Pressemitteilung lobte Friedrich den fälschungssichersten Ausweis der Welt: "Er erhöht die Sicherheit der Bürgerinnen und Bürger im Internet. Die Infrastruktur Deutschlands für elektronische Identitäten erfüllt die hohen nationalen und europäischen Anforderungen an Sicherheit und Datenschutz."
(http://www.heise.de/imgs/18/7/3/0/7/4/6/nt-2.jpg-588ca8afbf598f1a.jpeg)
Ungetrübt ist die Bilanz nicht. Bürger mit Apple-Rechnern müssen bis Ende des Jahres warten, bis es für sie eine Variante der kostenlosen AusweisApp gibt. Linux-Nutzer können nur solche Desktops nutzen, über deren Taskleiste der aktuelle Status von AusweisApp und Lesegerät sichtbar ist. Es gibt gravierende Probleme mit dem Browser Firefox im Zusammenspiel mit der AusweisApp. Schließlich lässt die mit dem Ausweis mögliche Nutzung einer qualifizierten elektronischen Signatur weiter auf sich warten. Wenn alles klappt, soll sie Ende des ersten Quartals 2012 zur Verfügung stehen, hieß es auf der Bilanz-Konferenz.
Das größte Hindernis ist freilich der Bürger. Zwar spricht der Bitkom in seiner Bilanz davon, dass der Ausweis eine positive Resonanz erfährt, doch die Zahlen der Bitkom-Umfrage nach einem Jahr nPA sind nicht so positiv: 45 Prozent der Bundesbürger stehen der "wichtigsten Karte" positiv gegenüber, 44 Prozent lehnen sie ab und zehn Prozent wissen nicht, was sie von der Technologie halten sollen. Beachtliche 28 Prozent der Befragten haben "Angst vor Datenklau". Die Kampagne gegen die unsicheren Basisleser hat Spuren hinterlassen. Bitkom-Präsident Dieter Kempf forderte darum in der Stellungnahme des Verbandes, dass Politik und Wirtschaft weiter aktiv um Vertrauen für den neuen Personalausweis werben müssten.
Dieses Vertrauen beginnt bei der AusweisApp. Sobald ihr Produzent, die Firma OpenLimit, alle Punkte des Vertrages erfüllt hat, soll diese sehr umfangreiche Software vom Bundesinnenministerium als Open Source freigegeben werden. Dies bestätigte Andreas Reisen, der im Ministerium für den Personalausweis zuständige Referatsleiter gegenüber heise online. So sollen auch Befürchtungen entwertet werden, dass die AusweisApp ein Spähprogramm enthalten können.
(http://www.heise.de/imgs/18/7/3/0/7/4/6/nt-3.jpg-897343f087ee0970.jpeg)
Kempf leitet im Hauptberuf die Steuerberater-Genossenschaft Datev, die für den internen Gebrauch eine Pilotanwendung programmiert hat, mit der ihre Angestellten ihre Lohn- und Gehaltsabrechnung über die eID-Funktion des nPA einsehen können. 800 Mitarbeiter machen von dieser Möglichkeit Gebrauch. Zum Geburtstag des nPA verkündete die Datev, dass die Anwendung in Kürze für externe Nutzer wie Steuerberatungskanzleien und mittelständischen Unternehmen bereitgestellt wird. Außerdem arbeite sie an einer schlanken Alternative zur AusweisApp, heißt es aus Nürnberg.
In Berlin selbst stellte das Fraunhofer FOCUS, das die Einführung des nPA begleitet, drei Anwendungen im Rahmen des neu gegründeten Kompetenzzentrums sichere Identität vor. Zu ihnen gehört ein "Identity Cockpit", das auf dem Rechner des Ausweisinhabers gespeichert wird und eine Vielzahl von Daten speichern soll. Neben der eID-Funktion könnten das die Nummern von Bankkonten, die mit dem Ausweis mögliche Schufa-Abfrage und Zugänge zu kommunalen Angeboten sein. Vorgeführt wurde das Szenario am Beispiel der Bestellung eines Anwohner-Parkausweises in Berlin, bei der neben der Adresse des KFZ-Halters sein Konto, die KFZ-Nummer beim Kraftfahrt-Bundesamt und eine Schufa-Abfrage in einem Abwasch zusammengeführt und übertragen werden.
Eine weitere Anwendung ist der Zugriff auf Smart Meter über ein Gateway. Detaildaten über den aktuellen Stromverbrauch werden nur ausgegeben, wenn sich der Stromkunde mit seinem Ausweis identifiziert hat. Außerdem programmierte das FOCUS eine eigene Version der mobilen AusweisApp in C++ für Android-Telefone mit eingebauter NFC-Schnittstelle. Künftig sollen so Smartphones direkt via NFC/RFID auf den Ausweis zugreifen können. Im Test mit dem neuen Galaxy Nexus klappte das nur mittelbar über Bluetooth und ein Bluetooth-fähiges Lesegerät, weil das Gerät offenbar zu schwache Antennen hatte, um die Kommunikation mit dem Ausweis zu zu initiieren.
Nicht nur auf der Client-Seite tut sich was, auch für Online-Dienste gibt es zum Jahrestag neue Angebote. So stellte die Init AG ihre Software easy nPA vor, ein Programmpaket für die Integration des Ausweises in Online-Portalen. Dabei agiert die Firma als Identity-Service Provider und übernimmt die technische Gestaltung im Hintergrund. Ein wichtiger Bestandteil des Programmpaketes sind Beratungsleistungen, wie die eID-Funktion richtig eingesetzt werden kann. Cornelia Rogall-Grothe, IT-Beauftragte der Bundesregierung, lobte den Ansatz von easy nPA als wichtigen Beitrag für die fortschreitende Akzeptanz des Ausweises.
Wissenschaftler sind dabei, die nächste Ausweis-Generation auszutüfteln. Die aufgebrachte Chip-Technik soll erheblich erweitert werden. So soll die Zahl der Sensoren und Aktuatoren erhöht werden, damit die "multimodale Biometrie" den Ausweis noch enger mit seinem Inhaber verknüpft. Wie Ullrich Hamann, Chef der Bundesdruckerei in Berlin ausführte, sind mehrere Anwendungen in der Erprobung, darunter ein bereits auf der CeBIT präsentiertes Volumen-Hologramm, dass eine "Kamerafahrt" um den Kopf des Ausweisinhabers anzeigt. Zusätzlich kann ein Fingerabdrucksensor auf der Karten angebracht werden, damit der Ausweis selbst entscheiden kann, ob er vom rechtmäßigen Inhaber benutzt wird. Auch soll eine biometrische Aufzeichnung der Unterschrift eingebaut werden, die Druckstärke und Schreibschwünge misst, damit die Unterschrift wirklich fälschungssicher wird.
Ferner wird laut Hamann ein DNA-Sensor in der Ausführung als Micro-TAS-Chip (micro total analysis-System) mit subkutaner Probeentnahme bereits erprobt. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten "neuen" Personalausweises die Massenfahndung und -auswertung von DNA-Daten entscheidend erleichtern, hieß es unter Verweis auf Polizeiwünsche. Ob all das, was mit der nächsten Generation des Ausweises technisch möglich sein wird, auch verwirklicht wird, muss zwischen Ausweisbehörden, Datenschützern und Bürgern verhandelt werden. Nicht jeder Polizeiwunsch ist ein Produktionsbefehl.
Quelle : www.heise.de
-
Da haben wir ja schon den Datenirrsinn im Klartext:
am Beispiel der Bestellung eines Anwohner-Parkausweises in Berlin, bei der neben der Adresse des KFZ-Halters sein Konto, die KFZ-Nummer beim Kraftfahrt-Bundesamt und eine Schufa-Abfrage in einem Abwasch zusammengeführt und übertragen werden...
...erkennen wir, dass hiermit Dinge leichtsinnig miteinander verbunden werden, die man besser strikt getrennt hält.
Was hat das Kraftfahrt-Bundesamt mit der Schufa zu tun?
Oder der Parkausweis? Nur für Reiche?
Warum nicht gleich Flensburg-Punkte nach Score, mit Wohngegend-Rabatt oder -Aufschlag?
-
Verträge unterschreiben, den Wohnsitz ummelden, ein Konto eröffnen – das ginge auch online. Ein Ausweis mit Chipkarte macht es möglich. Die EU-Kommission möchte, dass elektronische Personalausweise auch im europäischen Ausland nutzbar sind. Einen entsprechenden Vorschlag will EU-Kommissarin Neelie Kroes am kommenden Montag vorlegen.
Zwar bieten neben Deutschland 14 weitere EU-Länder die Möglichkeit, sich online auszuweisen, darunter Italien, Spanien und Portugal. Doch der elektronische Identitätsnachweis (eID) lässt sich nicht ohne weiteres außerhalb des Herkunftslandes nutzen.
In Deutschland können sich Bürger seit Herbst 2010 einen elektronischen Personalausweis ausstellen lassen. Mit der Plastikkarte können sie zum Beispiel beim Online-Shopping ihr Alter nachweisen oder einen Blick aufs Rentenkonto werfen. 85 Dienstleister unterstützen das Projekt laut Bundesinnenministerium bisher in Deutschland. 13,5 Millionen Deutsche haben einen der neuen E-Persos. Doch nur 3,8 Millionen von ihnen haben die elektronischen Funktionen aktivieren lassen.
Für die Datensicherheit des elektronischen Identitätsnachweises sollen nach dem Willen der EU-Kommission auch bei dem neuen Gesetz die Länder zuständig bleiben, aus denen das System stammt. Auch die elektronische Signatur will die EU-Kommission grenzüberschreitend verwendbar machen. Zwar gibt es bereits seit zwölf Jahren ein EU-Gesetz dazu. Doch seitdem sind zum Beispiel neue Technologien hinzugekommen, die das alte Gesetz noch nicht vorsieht.
Quelle : www.heise.de
-
Chaos Computer Club und Linke wollen wissen, ob die Bundesregierung plant, genetische Daten im elektronischen Personalausweis zu speichern. Der Chef der Bundesdruckerei soll darüber gesprochen haben. Doch deren Sprecher dementiert.
Der Chaos Computer Club (CCC) und Abgeordnete der Partei Die Linke wollen von der Bundesregierung wissen, welche Pläne es gibt, genetische Daten in Ausweispapieren zu speichern. "Der Nutzen der Biometrie in Ausweispapieren ist nach wie vor unbelegt, von der Aufnahme genetischer Daten ganz zu schweigen. Das kann aus unserer Sicht einzig dem Aufbau umfangreicher staatlicher Biometriedatenbanken dienen.", sagte CCC-Sprecher Dirk Engling.
Ein Reisepass ist nicht ohne Fingerabdrücke erhältlich. "Die zwangsweise Abgabe von Fingerabdrücken in Ausweispapieren stellte bereits die Bürger unter Generalverdacht. Die Vorstellung, dass in gar nicht allzu ferner Zukunft staatliche Stellen einen unkontrollierbaren Vollzugriff auf die genetischen Daten der Bevölkerung haben, ist jedoch mehr als gruselig", erklärte Jan Korte, Innenexperte der Linksfraktion. "Wir verlangen daher eine umfassende Auskunft über Pläne und bereits laufende Forschung in diesem Bereich."
"Wir würden gern wissen, auf welche Weise die genetischen Proben für den Ausweis gesammelt werden sollen", sagte Engling. "Wir sind gespannt, ob die Bundesregierung in Zukunft auch hochauflösende Bilder der Arschrosetten der Bürger erheben und speichern möchte." Die Antworten der Bundesregierung werde bis zum 19. Juni 2012 erwartet.
Ullrich Hamann, Chef der Bundesdruckerei in Berlin, sagte laut einem Bericht von Heise Online im November 2011, dass ein DNA-Sensor als Micro-TAS-Chip (Micro Total Analysis System) mit subkutaner Probeentnahme bereits erprobt werde. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten neuen Personalausweises die Rasterfahndung und Vorbereitung einer DNA-Reihenuntersuchung entscheidend erleichtern.
Bundesdruckerei: Da wird eine Schimäre aufgezeigt
Der Sprecher der Bundesdruckerei, Martin Gosen, hat den Heise-Online-Bericht auf Nachfrage von Golem.de dementiert. "Das war eine Veranstaltung, auf der das Fraunhofer Lab, was wir haben, in ein Kompetenzzentrum umgewandelt wurde. In dem Zusammenhang hat Herr Hamann solche Äußerungen so nicht gemacht. Ich war selbst dabei. Er hat eine Folie aufgelegt, wo wir über Forschungsprojekte und Felder der Zukunft gesprochen haben. Eines der Forschungsfelder betrifft auch DNA. Wie forschen aber im Moment nicht an DNA-Sensoren. Es ist vorstellbar, dass wir das in der Zukunft machen. Es gibt aber keinen Auftrag."
In den Monaten seit dem Treffen, das Ende Oktober 2011 stattfand, sei auch nichts Neues passiert, sagte Gosen. Mit dem Bericht werde eine Schimäre aufgezeigt. Aber die Bundesdruckerei müsse sich Gedanken machen, "was die Zukunft bringt und auf welchen Feldern man sich mit Wissen versorgen muss". Zu einer neuen Generation von elektronischen Personalausweisen gebe es auch noch keine konkreten Planungen, sagte Gosen.
Quelle : www.golem.de
-
Welche Drogen nehmen die denn...
Meine DNA habe ich sowieso immer massenhaft dabei, also brauche ich keine elektronische Sicherheitskopie davon.
Und ohne (mindestens) eine richterliche Anordnung auch niemand sonst.
"Subkutane Probeentnahme" geht mir auch viel zu sehr unter die Haut...
Sowas darf nur ich selbst und bestimmtes medizinisches Fachpersonal.
Aber ganz bestimmt kein "Micro-TAS-Chip".
Ein Perso, der einem in den Finger sticht, das ist eine absolut perverse Idee.
Körperverletzung im Amt, mindestens.
Wer sich solch einen Bockmist ausdenkt, der gehört entmündigt, seiner Bürgerlichen Ehrenrechte beraubt und endgültig weggesperrt.
Bürger und Gesellschaftssystem haben einen verbrieften Anspruch auf Schutz vor solchen Monstren.
Ich glaube nicht an eine Fehlinterpretation, die übliche Ausrede zur Beschwichtigung der Öffentlichkeit.
Was ist denn noch alles in der Pipeline, ein Spermien-Fahrtenbuch, Online-Kontrolle gegen überlaufende Galle, Gedanken- / Emotionskontrolle per UMTS und GPS mit Remote-Abstrafung per Elektroschock ???
Jürgen