Der Neue Personalausweis ist … also … oder doch nicht
Das ARD Magazin übte gestern Skandal. Hui, da hatten sie in Zusammenarbeit mit dem CCC herausgefunden, dass der Neue Personalausweis unsicher ist. Na, da war ich aber neugierig. Ich meine, an dem Ding wird ja nicht gerade seit gestern gearbeitet. Haben hunderte von IT- und Sicherheitsexperten Mist gebaut?
Was ist also los? Nun, man kann den Neuen Personalausweis mit einem Lesegerät am Computer nutzen. Es gibt verschiedene Anwendungsfälle. So kann man (auf Wunsch) den Ausweis auch als Signaturkarte nutzen. Oder man kann – über eine 3. Stelle (den eID-Provider) – Seine Adressdaten direkt an den Onlineshop schicken.
Es gibt 3 Sicherheitsklassen von Lesegeräten. Die einfachste – und unsicherste – Version besitzt weder Display noch Tastatur. Da man zum Auslesen der Daten eine PIN benötigt, würde man die PIN in diesem Fall nicht im Gerät, sondern am Computer eingeben. Mit der sichersten, und teuersten, Version des Lesegerätes kann man kann Onlinebaking machen und seine Geldkarte auslesen.
Die Technischen Spezifikationen zum Ausweis schreiben, dass ein Lesegerät ohne Tastatur natürlich nicht so sicher sein kann, schließlich benötigt man den Computer und dieser kann ja kompromitiert sein.
Und genau diese nicht nur bekannte, sondern dokumentierte Tatsache war eigentlich der Inhalt des Berichtes. Super… In letzter Zeit scheint es Mode geworden zu sein, große IT Vorhaben ohne jeden Sachverstand zu kritisieren. Wer sich mal einen lustigen Nachmittag machen möchte, liest erst die Richtlinien zu De-Mail und dann die verschiedenen Kritiken dazu – er wird den Eindruck haben, dass es verschiedene Spezifikationen geben muss – oder die Kritiker die Spezifikationen entweder nicht gelesen oder nicht verstanden haben.
Das Problem ist halt, dass man viele Lesegeräte verteilen möchte, aber auf die Kosten geschaut hat. Und daher werden die preiswerten Geräte ohne Tastatur von mehreren Stellen kostenlos verteilt. Ja, da kann man drüber diskutieren. Auf der anderen Seite braucht man die teuren Lesegeräte halt für viele Dinge gar nicht.
Aber das daraus ein so extremes Rauschen im Blätterwald wird finde ich schon bemerkenswert.
‹ Christoph Schlingensief Sarrazin und die Medien ›
Naja, spätestens seit dem peinlichen „Maut-Debakel“ oder den jahrelangen Problemen mit dem Projekt „Herkules“ (Modernisierung der Bundeswehr IT) stehen IT-Großprojekte zu recht auf dem öffentlichen Prüfstand.
„De-Mail“ und (um ein weiteres ähnliches Beispiel zu nennen) „Elena“ bringen dem eigentlichen Nutzer (Bürger oder Firmen) wenig Nutzen, dafür deutlich mehr Kosten und mehr Risiko (z.B. Beweisrisiko). Um vermeintliche Verwaltungskosten beim Staat einzusparen, werden diese nicht verringert, sondern verschoben, und damit bei den Leidtragenden (die als „Nutzniesser“ dargestellt werden) abgekippt.
Der „Skandal“ (falls es denn einer ist) besteht beim neuen Perso übrigens nicht darin, dass ein Lesegerät ohne Tastatur und Display unsicher ist, sondern darin, diesen vergleichsweise unsicheren Weg überhaupt zu erlauben. Ein IT-System ist halt nur so gut/sicher, wie die schlechteste seiner Komponente. Und wenn man unsichere Komponenten erlaubt, macht man damit das ganze System unsicher(er).
Nur dadurch, weil die „Experten“ wissen, dass es schlecht ist und man etwas schlechtes in die technische Spezifikation schreibt, und es damit offiziell erlaubt, wird es noch lange nicht gut. Das einzige was man damit erreicht: Man kann belegen, dass man keine Schuld hat. Ist ja auch immer ganz wichtig bei IT-(Groß)-Projekten.
@Andreas: Das De-Mail Firmen Kosten und wenig Nutzen bringt ist … eine Meinung … Viele Firmen sehen jedoch die Vorteile der Sache.
Mögliche Anwendungsfälle (um nur wenige zu nennen):
– Entgeltmitteilungen: Wenn Du diese nicht mehr per Post schickst, sparen größere Firmen 7-stellige Beträge im Jahr. Das machen z.B. schon Firmen aus dem Pilotprojekt in Friedrichshafen
– Kontoauszüge: Banken müssen nachweisen, dass Du von den Auszügen Kenntnis bekommen hast. Diese ganzen „Krücken“ mit Onlineauszügen und zusenden wenn nicht abgeholt kann man sich durch De-Mail schenken.
– Änderung von AGBs o.ä. bei Versicherungen: Auch das muss nicht mehr per Brief geschickt werden.
Es geht nicht darum, Verwaltungskosten beim Staat einzusparen. In Östereich hat man ja mit diesem Ansatz vor mehreren Jahren angefangen (da gab es eine Behördenmail) und die Wirtschaft hat aber sehr schnell gemerkt, dass sie das auch wollen. Daher gibt es dort jetzt auch etwas wie De-Mail. Ähnliche Systeme haben auch schon viele andere Länder erfolgreich im Einsatz.
Bzgl. des von Dir angesprochenen Beweisrisikos kusiert leider auch viel Unsinn. De-Mail bringt ganz im Gegenteil mir sogar Vorteile. Die „Zustellfiktion“ bei der Briefpost ist eine schwierige Geschichte. Wie soll ich bweisen, dass mich ein Brief nicht erreicht hat. Hierzu gibt es viele – teils unterschiedliche – Gerichtsurteile. Bei der De-Mail kann ich genau nachweisen, was mich wann mit welchem Inhalt erreicht hat. Das macht die Sache sehr einfach.
Bzgl. der Lesegeräte beim Ausweis solltest Du bedenken, dass Du halt nicht für alle Anwendungsfälle ein teures Lesegerät brauchst. Für viele Leute reicht sicherlich die kleinste Sicherheitsklasse aus.
Abgesehen liegt es ja im Ermessen der Firmen, was sie Dir als Kunde für ein Gerät geben (die Geräte werden nicht von den Behörden ausgegeben!)
@Sven: Natürlich schreibe ich meine Meinung, so wie Du die Deine.
Es ist normalerweise keine gute Idee, Probleme zu versuchen mit IT zu lösen, die man besser anders lösen könnte. So ist es mit der „Zustellfiktion“, die nicht Gottgegeben ist, sondern so vom Gesetzgeber gewollt und deren Probleme eher ein Thema für den Gesetzgeber als für die IT sind.
Daß die völlig unverschuldet notleidenden von Dir genannten Banken und Versicherungen mit DE-Mail finanziell entlastet werden sollen, OK. Das hilft natürlich den Richtigen. Leider zu Lasten des Empfängers, denn de-fakto hat er jetzt trotzdem die Beweislast, mehr eigentlich als vorher, und muss belegen, dass ein „perfektes“ System Fehler hat, wenn er tatsächlich etwas nicht bekommen hat, das System aber etwas anderes gemeldet hat. Mal abgesehen davon, dass es gar keine echte Ende-zu-Ende Verschlüsselung/Verifizierung gibt, und für den Empfänger damit nicht prüfbar ist, ob die Nachricht nicht doch irgendwo beim Provider verändert wurde.
Ja ich weiss, man wollte DE-Mail auch mit „Spam- und Virenschutz“ dem Enduser schmackhaft machen und hat es deswegen etwas unsicherer
gemacht.
Solch ein (nicht ausschließbarer) Fehler im System ist ja bestimmt genauso einfach für den Betroffenen zu beweisen (aka „gar nicht“) wie „damals“ bei der ec-Karte, welche ja auch ein perfektes System war, so behaupteten die Banken jahrelang, so dass jeder Fall eines Kartenmißbrauchs immer die Schuld des Kunden war, weil ein Betrüger nur durch den Leichtsinn des Karteninhabers an die PIN kommen konnte.
Du verzeihst meinen Sarkasmus, aber ich habe den Eindruck, dass man besonders bei (staatlich beteiligten) IT-Großprojekten, die unser Gemeinwesen stark verändern, nicht wirklich aus der Vergangenheit gelernt hat.
Ach Andreas …
Ob jemand etwas von De-Mail hat oder nicht und es nutzt oder nicht bleibt jedem selber überlassen. Ich finde es gut, wenn ich für meine Kontoauszüge meiner diversen Konten nicht 5 Seiten aufrufen muss, sondern die einfach in einem Postfach landen.
Es ist darüber hinaus nicht unsicherer spezifiziert, weil man Spam- und Virenschutz haben wollte. Es wird in der Diskussion einfach ständig End2End Verschlüsslung (die man auch bei De-Mail machen kann) mit einer Hop2Hop Verschlüsselung verwechselt.
Klar könnte die Nachricht (die erst beim Provider durch neue Header und Hashwert zur wirklichen De-Mail wird) noch verändert werden wenn man sie nicht vorher selber signiert hat (was man ja machen kann).
Darum muss jeder Provider neben 100 anderen Zertifikaten auch eine Zertifizierung nach IT-Grundschutz nachweisen. Das ist ein Katalog von 1200 Maßnahmen die aktuell meines Wissens nach kein Massenprovider in Deutschland erfüllt. Sprich, die Latte für De-Mail hängt echt hoch.