English

Trügerische Sicherheit: Der elektronische Personalausweis

2013-09-15 20:52:00, henning

Auf die Frage, was uns alle die zwangsweise biometrische Vermessung für den von Sicherheitslücken betroffenen Rohrkrepierer "elektronischer Personalausweis" kostet, hat die Bundesregierung nun einige Angaben gemacht. Zu den technischen Details der Antworten nimmt der Chaos Computer Club (CCC) hiermit Stellung.

Die Marketing-Abteilungen der üblichen Industrie-Verdächtigen haben dem Bundesministerium des Innern (BMI) einige Stichworte aufgeschrieben, um kritische Nachfragen des Abgeordneten Jan Korte (Die Linke) zur Sicherheit und zu den Kosten des elektronischen Ausweises (ePA) zu parieren. Heraus kamen einige Aussagen, die wir nicht unkommentiert lassen wollen:

Das BMI behauptet, es gäbe seit der Einführung des ePA "keinerlei Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen". Ob Zweifel nicht doch angebracht wären, sei dahingestellt. [6] Daß bisher keine Fälle bekanntgeworden sind, ist im Umkehrschluß kein Beweis dafür, daß der im ePA verwendete Chip nicht bereits geöffnet, reverse engineered und geklont worden wäre.

Das Reverse Engineering von Sicherheitschips ist ein ausgesprochen angesagtes Forschungs- und Interessensgebiet. Daß der im ePA verwendete Chip dran glauben wird, ist somit nur eine Frage der Zeit. Wohl nur das Desinteresse von Ausweisbesitzern und Unternehmen, die neuen Funktionen des ePA zu nutzen, kann erklären, warum bisher keine entsprechenden Ergebnisse publiziert wurden.

Das unter Internetvollprofi Hans-Peter Friedrich irrlichternde Ministerium argumentiert außerdem, die vom Ausweis übertragenen Informationen seien "mit dauerhaft wirksamen [...] Verschlüsselungsverfahren sicher geschützt". Wie "dauerhaft" ein Verschlüsselungsverfahren Daten sichert, muß nicht nur angesichts der Snowden-Enthüllungen und der bekanntgewordenen Angriffe verschiedener Geheimdienste auf die Sicherheit kryptographischer Anwendungen neu bewertet werden, sondern auch anhand der kryptographischen Forschung. [3] Die Haltbarkeit von Schlüssellängen verschiedener Verfahren erwies sich in der gesamten Geschichte der Kryptographie stets als wenig "dauerhaft".

Den Vogel schießt das BMI allerdings mit der Behauptung ab, der Bürger könne sich doch "durch regelmäßige Aktualisierung des Betriebssystems, ein aktuelles Virenschutzprogramm sowie eine Firewall schützen". Diese Behauptung ist nicht nur vielfach widerlegt, [4] sondern schiebt die Verantwortlichkeit einfach auf den Bürger ab – ganz so wie der Noch-Ministeriumschef statt Maßnahmen gegen NSA und GCHQ lieber zur Verschlüsselung der eigenen E-Mails rät.

Moderne Schadsoftware wird oft nicht von Antiviren-Programmen und anderem Snake-Oil erkannt. Und wie eine Firewall gegen einen Keylogger helfen soll, möge das BMI bitte erst einmal erklären. Daß es aber möglich ist, unentdeckbare Spionagesoftware – beispielsweise auf dem Rechner eines Beschuldigten, der mit einem Staatstrojaner ausspioniert werden soll – zu verankern, sollte das BMI mittlerweile wissen. Immerhin nimmt es sich selber vor, das "Risiko einer Entdeckung [des Staatstrojaners] durch geeignete technische Maßnahmen so gering wie möglich" zu halten. [5]

Eine bereits entlarvte Desinformation wiederholt das BMI ebenfalls: "Der Ausweis kann also bei Kenntnis der PIN nur missbraucht werden, wenn er selber zur Verfügung stünde (z. B. gestohlen wird) und die eID noch nicht im Sperrregister gesperrt wurde." Zwar ist derzeit noch kein Verfahren publiziert, wie ein ePA-Chip (zerstörungsfrei) geklont werden kann. Allerdings ignoriert das BMI folgendes praktisches Szenario: Ein Angreifer kann den kompletten Kartenleser inklusive des daraufliegenden ePA aus der Ferne übernehmen. [4], [7] Es mag sein, daß die Voraussetzungen für einen erfolgreichen breiten Angriff nur eingeschränkt vorhanden sind. Dennoch bestehen diese Risiken und sollten den ePA-Nutzern nicht weiterhin verschwiegen werden.

Das BMI erspart uns auch nicht den Blümschen Imperativ: "Die Online-Ausweisfunktion ist sicher." Das Ministerium attestiert dem System weiterreichende Sicherheit als das bloße Verwenden veränderbarer Paßwörter. In Wahrheit wird aber gerade keine Rechtssicherheit hergestellt, obwohl mit dem ePA autorisierte Transaktionen rechtlich bindend sein sollen. Immerhin soll die Online-Ausweisfunktion gerade davor schützen, was Botnetze zehntausendfach ausnutzen: Nach der Übernahme der Kontrolle eines Rechners ist dieser prinzipiell nicht mehr vertrauenswürdig. Auch bei den Angriffen gegen das Online-Banking werden oft nicht die Paßwörter geklaut, sondern die Transaktionen im Browser manipuliert. Gegen solche in Echtzeit durchgeführten Angriffe während elektronischer Transaktionen schützt der ePA eben gerade nicht. Schlimmer noch: Der Benutzer wägt sich in trügerischer Sicherheit.

Daß der Schutz gegen den "zunehmenden Identitätsdiebstahl im Internet", wie die Antwort des BMI behauptet, "wirksam" sei, ließe sich widerlegen, wenn die Technologie tatsächlich mal für irgendwas Relevantes genutzt würde. Im Rahmen einer Anhörung [2] der Internet-Enquête des Deutschen Bundestages attestierte der geladene Sachverständige des CCC, Thorsten Schröder, dem System, daß es den Identitätsdiebstahl erst begünstige. Zuvor hatte Kriminalhauptkommissar Mirko Manske (BKA) ausgeführt, daß insbesondere der Identitätsdiebstahl eine besonders große Rolle in der Internet-Kriminalität spiele. Manske bestätigte Schröders Ausführungen und bemerkte zur Manipulation von Transaktionen in Echtzeit, daß sich nicht mehr die Frage stelle, ob jemand eine Transaktion durchgeführt habe, sondern ob die getätigte Transaktion wirklich die gewesen sei, die er auslösen wollte. Durch die einmalige Identifizierung werde fälschlicherweise eine Sicherheit vorgegaukelt, so Manske.

Die Gefahr durch die Einführung des ePA (im Behördenslang: nPA) besteht nicht durch die zugrundeliegende Technik selbst, sondern durch die mangelhafte Aufklärung und Sensibilisierung der Nutzer durch das BMI hinsichtlich der Risiken, die durch diese Verfahren unausweichlich vorhanden sind. Anstatt sich der Problematik zu stellen und die Risiken durch Aufklärung zu minimieren, setzt das BMI offenbar auf staatlich behauptete IT-Sicherheit und erklärt dem Trend der Zeit folgend das ePA-Sicherheitsproblem für beendet.

Allein die Einführung des elektronischen Ausweises hat bis Ende 2011 über 16 Millionen Euro gekostet, zusätzlich zu den 41 Millionen Euro für das irreführende Online-Ausweis-Marketing. Ende des Jahres dürfen wir vielleicht erfahren, was die Gesamtkosten des ePA-Experiments sind: Am 30. Dezember soll der Rechnungsprüfungsausschuß über die Ausgaben informiert werden.

Anders als beim biometrischen Gesichtsbild ist die Abgabe der Finderabdrücke für den ePA freiwillig, genauso wie das Aktivieren der Online-Ausweisfunktion. Ein einfaches Nein genügt.

Links:

Weitere Informationen: https://www.ccc.de/de/biometrie