CR161 SuisseID und der deutsche elektronische Personalausweis

Der digitale Stirnabdruck ()

Unser Personalausweis geht ins Internet! Handlich, praktisch und elektronisch soll das neue Personaldokument nun auch digital aus dem Wohn- oder Schlafzimmer natürlich einhundertprozentig sicher dem Gegenüber unsere Identität nachweisen können und dabei auch gleich noch die persönliche, handgeschriebene Unterschrift unter den wichtigsten Dokumenten ersetzen können. Zu sicher, um wahr zu sein?Die Schweizer Bürger dürfen sich bereits sicher fühlen. Das hiesige Pendant zum elektronischen Personalausweis, genannt SuisseID, ist bereits weitverbreitet, jedoch noch nicht gesetzlich vorgeschrieben.Was macht nun diese Identitätsdokumente so unglaublich sicher, sicherer noch als herkömmliche und unhandliche Ausweise? Sind es die von den Herstellern propagierten unhackbaren Smartcard-Chips? Oder die Firewall auf Deinem asiatischen DSL-Router? Deine breiten Schultern oder gar die Irrelevanz Deiner digitalen Identität? Oder daß Du den Ausweis immer nur wenige Sekunden am Rechner hast?Wir haben in den vergangenen Tagen demonstriert, daß ein tiefes Wissen und hoher Aufwand keineswegs notwendig ist, um eine solche Identität zu kapern. Laßt uns wissen, ob wir etwas übersehen, vernachlässigt oder auch übertrieben haben – ob ihr Betroffene oder betroffen Machende seid.Die SuisseID ist eine Schweizer Lösung zur elektronischen Authentifizierung und digitalen Signatur im Internet. Max Moser und Thorsten Schröder kratzten bereits eifrig an der Oberfläche dieses offenbar brüchigen Gebildes, als die ersten semi-offiziellen Meldungen die Runde machten, der CCC würde den neuen, elektronischen Personalausweis in Deutschland gehackt haben. Im Vorfeld des im September geplanten Vortrages der beiden auf einer Züricher Sicherheitskonferenz ging bei vielen beteiligten Institutionen bereits die Alarmsirene an: Fortan sollte die Gerüchteküche brodeln, und alle spielten verrückt.Mit einfachen Mitteln sollte das Konzept der SuisseID auseinandergenommen werden – und zwar so, daß jedem Marketingmenschen, der die Totale Sicherheit (tm) durch Smartcards ausrief, jedes Argument aus den Händen geschlagen wird. Schnell wurde klar, daß die gleichen Angriffe analog auch beim deutschen ePA (neuerdings nPA) wirken, weswegen in diesem Zuge gleich noch das deutsche Pendant zur Schweizer SuisseID mit den simpelsten Mitteln zerlegt wurde.Die sehr einfachen Angriffe wurden in Text, Ton und Bild festgehalten und detailliert dokumentiert. Letzten Mittwoch machte die Kunde die Runde, und der Bundesinnenminister Thomas de Maizière (CDU) sah sich genötigt, in die tagesschau zu rufen: "Irgendwelche Hacker mögen immer irgendwas hacken können, äh, aber, ähm, die [...] Sicherheit des neuen Personalausweises steht nicht in Frage."Wir möchten mit Euch über die trivialen Angriffsflächen diskutieren und herausfinden, ob Herrn de Maizière Recht gegeben werden kann oder nicht. Die Reaktionen und Argumente, die sich anschließend in der Diskussion nach der Veröffentlichung entwickelten, werden ebenfalls diskutiert. Wir möchten von Euch wissen: Versteht ihr den Impact dessen, was wir hier angerissen haben, oder fehlen Euch noch Argumente, die bislang nicht den Weg in die Öffentlichkeit fanden? Hörer, Politiker und Hersteller, Befürworter und Gegner der (exemplarisch) thematisierten Techniken sind aufgerufen, sich an dieser Diskussion zu beteiligen.Links:* CCC: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis http://ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa

3 Gedanken zu „CR161 SuisseID und der deutsche elektronische Personalausweis

  1. Ähm,… ich habe mir auch noch nen alten Personalausweis geholt, musste aber bereits ein Biometrisches Bild abgeben (wie beim Reisepass vor 2 Jahren übrigens auch).
    Gibt es hierfür einen Grund oder waar das unnötig?

  2. @Kai: Das war unnötig. Ich habe letzte Woche auch einen herkömmlichen Personalausweis beantragt und musste nur ein ganz normales Passfoto abgeben.

  3. Ok, der neue Perso ist also nicht sicher. Aber unsicherer wie andere Praktiken?
    Wenn man von einem Man-in-the-Browser Angriff ausgeht, ist doch auch das herkömmliche TAN Verfahren unsicher. So gesehen ist doch einfach jedes OnlineBanking Verfahren unsicher, oder nicht?
    Ich sehe noch nicht, was daran so schlimm sein soll, so wie es sich für mich anhört, ist es vielleicht nicht wirklich sicherer aber doch komfortabler.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.