Aug
28
2010

Chaos Computer Club bescherte unserem Blog diese Woche hohe Aufmerksamkeit

Wir hatten diese Woche eine doppelte Besucherzahl auf unserem Blog. Dabei waren es zwei Posts, die besonders besucht wurden. Beide sind Erfahrungsberichte mit dem neuen Personalausweis in der Testphase. Der Post Ich habe ihn, meinen neuen Personalausweis (zumindest Test-…) hat heute die 1000 Klicks erreicht, davon allein 535 in dieser Woche. Und obwohl in Deutsch verfasst mit Besuchern aus allen Herrenländern. Vergleicht man diese Zahl mit den Lesungen auf dem in Deutschland gut bekannten BPM-Netzwerk mit über 7.000 registrierten Bentuzern, dann ist das sehr viel. Hier eingestellte Fachartikel erhalten etwa 100 Lesungen pro Monat.

Grund für die erhöhte Aufmerksamkeit war eine Recherche von ARD´s Plus-Minus nach Hinweisen auf Sicherheitslücken durch den Chaos Computer Club beim Umgang mit dem neuen Personalausweis speziell mit den einfachen Basis-Kartenlesegeräten. Ein medienwirksamer Rummel um eigentlich nichts anderes, was jeder Internetbenutzer täglich wie beim Sex achten muss: Ohne Schutz läuft nichts. Wer sich nicht mit Aids anstecken will schützt sich mit einem Kondom. Wer seinen Computer nicht mit Viren oder Trojaner infizieren möchte, schützt ihn mit Sicherheitssoftware wie Firewall und Virenschutz. Und schon funktioniert´s auch mit dem neuen Personalauswei (siehe auch meinen Kommentar zum Post Neuer Personalausweis: Soll ich nun oder doch nicht? ).

Übrigens ist der Schutz mit den Standard- und Komfortlesegerät gleich höher. Kosten den Bürger aber auch wieder mehr. Ich bin mal gespannt, ob hier die Plattformanbieter  wie Kommunen, Banken, Versicherungen und Online Shops noch mehr subventionieren werden. Denn tun Sie dies nicht, werden die erhöhten Kosten viele Bürger nicht dazu bringen, sich die Geräte für die Nutzung des neuen Personalausweises im Internet zu kaufen, geschweige denn das notwendige Zertifikat zum elektronischen Unterschreiben besorgen. Schau´n wir als mal, was sich in den nächsten Monaten noch Spannendes tut.

Ergänzung vom 13.09.2010:

Schon wieder kommt eine schlechte Medienrecherche daher und titelt: WDR-Sendung “markt“: Neuntklässler löschen persönliche Daten auf neuem Personalausweis – Schüler-Test im Auftrag des WDR entlarvt weitere Sicherheitslücke

Heute Abend um 21h soll gezeigt werden, wie Sie den Chip auf dem Personalausweis mit einfachen Mitteln ausßer Kraft setzen. So wären dann die optional aufgespielten bi0metrischen Daten des eigenen Fingerabdrucks nicht mehr nutzbar. Aber ist das so dramatisch? Wenn ich den jetzigen Personalausweis verbrenne, kann ich auch nichts mehr mit ihm anfangen. Und wenn der Chip auf dem Ausweis zerstört ist, weist es auf eine Manipulation hin und der aktuelle Besitzer und ggf. Täuscher fliegt auf. Fingerabdruck-nicht-mehr-vergleichen-können hin oder her.

Ergänzung vom 22.09.2010:

Und schon wieder schon wieder hat der CCC zugeschlagen. Heute meldet Heise ein Update zum schon gemeldeten ersten Beitrag: CCC zeigt Sicherheitsprobleme beim elektronischen Personalausweis auf. In Fortsetzung hätte man es nun geschafft, den ausgespähten PIN dazu zu benutzen, eine neue PIN auf den Aufweis aufzubringen. Denkbar sollte es nun sein, die PIN auch für eine weitere Internettransaktion zu nutzen.

Moment Mal: gehen wir mal davon aus, dass wirklich kein Virenschutz benutzt wurde. Würden Sie den Ausweis im Kartenlesegerät lassen, wenn Sie Ihre Transkation abgeschlossen haben. Das wäre so, als würde ich meinen Personalausweis am Ladeneingang offen auf der Theke liegen lasse, bis ich meinen Einkauf fertig habe und ihn beim Rausgehen wieder an mich nehme. Sorry, so kann man eine gut gemachte Technik immer dumm aussehen lassen.

Da gibt es andere Dinge, die man hätte anprangern müssen. Nämlich dass so wenig Werbung für den neuen Personalausweis gemacht wird. So hört man als unbedarfter Bürger fast nur diese – sorry – Scheißhausparolen, die einem die neuen Möglichkeiten gleich verleiden. So kommen wir auch nicht weiter. Jedenfalls ist das Authentisierungsverfahren mit dem neuen Ausweis deutlich sicherer als wie bisher mit Benutzername und Passwort!

Ergänzung vom 23.09.2010:

Ich habe mir nun auch den Bericht aus Brüssel und auch im Fernsehen angeschaut. Wer ihn verpasst hat, hier ist er:

Und ich bleibe dabei: dieser Bericht ist extrem kontraproduktiv. Wer mit einem abgesicherten PC sein Internet Banking macht, und das sind Millionen in Deutschland, werden auch sicher den Personalausweis nutzen können. Und das mit deutlich höherer Sicherheit als zuvor mit Username und Passwort. Wenn durch solche Aktivitäten die neuen Möglihckeiten vonvornherein madig gemacht werden, kommen wir nicht vom Fleck und können das Henne-Ei-Problem nicht auflösen:
Anwendungen gibt es dann, wenn Anwender fordern. Gibt es zu wenig Ausweiskarten, mit der die eID-Funktionen genutzt werden will, sehen die Anbieter weniger grund, ihre Anwendungen auf die Technologie zu bringen. Dann war der ganze Aufwand für die Katz. D.h. die bisherigen Steuergelder in deutlich 2-stelliger Millionenhöhe, die bisher ausgegeben wurden, werden durch solche Beiträge mal eben verpulvert :-(

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general | Tags: , , , ,

3 Comments »

  • Dirk Böttjer

    Vermutlich ist der Chaos Computer Club gemeint. http://www.ccc.de/

    Comment | 30 August 2010
  • Axel Kroll

    Und mal ganz abgesehen davon, daß man sich in der Tat schützen muß: selbst wenn also ein böser Russe/Ukrainer/Chinese (sorry, ich mach mal eben den Sarrazin :-)) mühsam per Trojaner die PIN rausbekommen hat, dann muß er zusätzlich auch noch zielgenau den Perso klauen. Und dann kann er sich (bis zur Anzeige des Diebstahls, also bestimmt mehrere Stunden) als Lieschen Müller ausgeben. Toll. Soviel Aufwand macht doch keiner, der in der gleichen Zeit per Botnet Tausende scheffeln kann.

    Ergo: wieder mal das übliche “ich habe keine Ahnung, muß aber Spalten füllen” Presse-Geseiere, das einem schon bei Google-Street-View das Frühstück vermiest.

    Comment | 30 August 2010
  • Die Diskussion hat sich – nicht nur durch den Plusminus-Bericht – emotionalisiert. Verschärft der nPA die digitale Spaltung? Denkbar. Versuchen wir mal eine kleine „Tour d‘ Horizon“ derzeitiger Stimmungsströmungen, Stand 3. September 2010:

    Zunächst mal Kompliment an Herrn Bartonitz: Der Vergleich mit dem ungeschützten Verkehr (vgl. Prozess um Nadja Benaissa) hat etwas aktuelles und etwas treffendes. Ihre Blogs sind erfrischend klar, keine Jubelarien sondern Sachinformation und alles andere als dröge. Dafür an dieser Stelle vielen Dank.

    Es gibt Nutzer die so wie sie sich verhalten nicht in den digitalen Verkehr gehören, aber sie sind da. So wie es auch Geisterfahrer gibt die nachher “die anderen” verantwortlich machen. Geisterfahrer ob auf Autobahn oder im Netz scheinen unbelehrbar. Und sie werden eher mehr: Eine Studie der Fiducia (http://ow.ly/2yq91) berichtet von einer steigenden Anzahl von Nutzern die ein “All Inclusive Paket” erwarten und nicht bereit sind sich mit dem Thema Sicherheit zu beschäftigen. Wohlgemeinte Kampagnen wie „Deutschland sicher im Netz“ scheinen diese Unbelehrbaren nicht zu erreichen.

    Dann gibt es diejenigen die schlichtweg die Aus-Taste drücken („Ist mir alles zu kompliziert“). Absolut kein Einzelfall – sondern eine echte Verweigerungs-Welle. Anders gesagt haben die die Haltung: “e-Banking – mir e-gal”. Das sind dann auch diejenigen die sagen: Schon aus Protest nehme ich keinen nPA (oder tPA = teueren Personalausweis) sondern einen Reisepass. Der kostet 59 Euro ist für zahlreiche Reiseziele eh nötig und das “Zeugs” bei nPA braucht man ja – aus Sicht dieser Zielgruppe – eh nicht. Konsequent setzt sich dann die Verweigerungshaltung auch fort … e-Postbrief? e-gal. > Ist ja laut Stiftung Warentest Heft 9/2010 bis jetzt eh Murks (so wiederum die zugespitzte Wahrnehmung der e-gal-Fraktion – nicht zuletzt wegen des verheerenden Medienechos)…

    Warum werden nach wie vor in Deutschland so viele Überweisungsträger auf Papier ausgefüllt und unterschrieben? Nicht zuletzt aus wachsender Angst vor Gefahren beim Online-Banking. Der Chef des deutschen Bundeskriminalamts, Jörg Ziercke, verzichtet auf die Nutzung von Online-Banking und macht dies auch immer wieder öffentlich. Damit ist er nicht allein:

    Jeder fünfte deutsche Kontobesitzer verzichtet bereits auf Bankgeschäfte im Netz. Diese Angaben einer repräsentativen Umfrage findet sich im (N)Onliner-Atlas der Initiative D21, der im Juli 2010 veröffentlicht wurde. Im Vergleich zur Erhebung 2009 hat sich die Anzahl der Online-Banking-Verweigerer verfünffacht.

    Im August 2010 sah sich jeder zweite Deutsche beim Online-Banking verunsichert. Das ergab eine repräsentative Umfrage im Auftrag der Firma PPI.

    Entscheidend für den Rückgriff auf den Überweisungsträger auf Papier ist weniger die tatsächliche Bedrohungslage als das rapide gesunkene Vertrauen. Die Verunsicherung dürfte durch Aussagen des BKA-Chefs am 1.9. nicht abgenommen haben: In einer Pressekonferenz warnte er, dass auf das Online-Banking derzeit „ein Angriff in unvorstellbarem Ausmaß“ vorgenommen werde. 2009 registrierte das BKA 2923 Fälle von Phishing-Angriffen.

    Die Fiducia-Studie über “Onlinebanking mit Sicherheit” zeigt, dass die meisten Nutzer nicht bereit sind für höhere Sicherheit zu bezahlen oder selbst etwas für eine höhere Sicherheit zu unternehmen. Knapp ein Fünftel der Befragten wollten sogar auf ihrem PC keine Sicherheitssoftware installieren. Es könnte sich um das gleiche Fünftel handeln, das seinen PC nicht zum Online-Banking nutzt. Erfahrene Kriminalbeamte gehen laut BKA-Chef Zielcke betreiben ihre Bankgeschäfte übers Netz auch besonders vorsichtig: “Meine BKA-Kollegen haben zwei Computer, einen nur für das Banking und einen, der gar nicht ans Internet angeschlossen ist.”

    Weiterführendes Lesefutter zum Kommentar – mit Links auch zu den angesprochenen Studien in den verlinkten Berichten.

    Bericht in Heise.de
    http://ow.ly/2utVS
    Bericht in Sueddeutsche.de
    http://ow.ly/2yngS
    Studie der Fiducia
    http://ow.ly/2yq91

    Comment | 3 September 2010

RSS feed for comments on this post. TrackBack URL

Leave a comment


nine − 7 =

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions