Diaspora: SciFi@pod.geraspora.de · Jabber: SciFi@jabber.ccc.de · Twitter: SciF0r

SuisseID: Sicherheit ist für das SECO zu teuer

27.08.2010 | 2 Kommentare

Seit ich über die fehlende Debatte um die Sicherheit der SuisseID schrieb, geht die Post ab. Eine Mitarbeiterin des SECO hat zu mir gefunden und sich auf eine Diskussion eingelassen. Gut gemeint ist aber leider nicht gut gemacht. Zwar forderte uns Frau Roy zum ungeschminkten Austausch auf der offiziellen Amazee-Plattform auf. Sie ergänzte: “Ohne ein Monolog zu sein, ohne Schönmalerei, mit angeregten Pro/Contras und Fakten.” Doch was ich dort vorfand war alles andere als einladend. Eigentlich existierte überhaupt kein Bereich, wo man die SuisseID hätte kritisieren könnten. Aus diesem Grund bat ich die Admins der Gruppe um ein Forum “Kritik an der SuisseID”. Erfreulicherweise wurde dieses kurz darauf erstellt. Somit kann die ersehnte Debatte ja endlich beginnen! Oder doch nicht?

Leider nein. Denn die Gruppe ist nicht öffentlich, man muss ihr also beitreten um mitdiskutieren zu können. Dafür muss natürlich auch ein Benutzerkonto erstellt werden. Man kann sich zwar über Facebook, OpenID und die SuisseID authentifizieren. Nur funktionierte bei meinem Testlogin diese Schnittstelle nicht wirklich. Also musste ich mühsam einen Account registrieren. Die nächste Überraschung: Nur die Wall kann man ohne Gruppenangehörigkeit beschreiben. Da die Gruppenbeitritte moderiert werden, musste ich auf den Folgetag warten, um mich endlich an den Diskussionen beteiligen zu können.

Zusammenfassend sind die Bestreben des SECO gut – sie haben immerhin eine offizielle Gruppe auf Amazee gegründet. Für ein Bundesamt sehr fortschrittlich! Die Umsetzung ist aber leider mangelhaft. Ich hoffe nun, dass unsere Feedbacks ernst genommen werden. Claudia Roy ist zwar für zwei Wochen in den Ferien, hat aber Besserung versprochen. Veronika Mischler hiess mich heute in der Gruppe willkommen und freut sich auf unsere Anmerkungen. Nun muss sich nur noch die Einsicht festigen, dass die Gruppe eine Dienstleistung des SECOs an uns ist und nicht umgekehrt. Ein wirklich offener Dialog besteht erst, wenn die Kommentare direkt beantwortet werden. Das Amazee-Interview mit Christian Weber wie es Frau Roy gestern führte und veröffentlichte ist gut und recht. Es beantwortet aber nur selektiv Fragen und wirft wieder neue auf.

Abschliessend will ich eine solche stellen. Denn kein Anbieter empfiehlt einen Class 2 (oder höher) Reader und das SECO bezeichnet die Standardlösung (Class 1 Reader zur SuisseID) als bedenkenlos sicher. Doch warum wäre, wie es Christian Weber behauptet, ein sichererer Class 2 oder Class 3 Reader als empfohlenes Standardlesegerät zu teuer? Die UBS verteilt für 65 Franken top moderne Leser der Klasse 4 und Postfinance gibt ihre Lesegeräte mit Pinpad sogar jedem Kunden gratis ab! Warum soll das also bei der SuisseID nicht gehen? Sollte uns unsere Identität die paar Franken nicht wert sein?

Verwandte Beiträge:

  1. SuisseID: Wo bleibt das SECO?
  2. SuisseID: Der verlorene Newsletter
  3. Unglaublich! SuisseID von jedem für jeden?

Kategorie: Politik
Tags: > >

Kommentare

2 Responses to “SuisseID: Sicherheit ist für das SECO zu teuer”

  1. Michael
    August 28th, 2010 @ 23:50

    Hi Denis,

    Danke für die Zusammenfassung, kann dir grundsätzlich nur zustimmen. Ich hab heute noch ein wenig rumgesurft und bin auf eine für uns Kritiker erfreuliche Info gestossen: In Deutschland wird genau das Gleiche bemängelt (weiter unten die Details). Erfreulich für uns deswegen, weil wir nun nicht mehr die Einzigen sind und sich in DE jetzt auch grössere Organisationen (mit mehr Ressourcen) wie z.B. der CCC mit diesem Thema befassen.

    Da Frau Roy in den nächsten 2 Wochen ja in den Ferien ist und damit offenbar auch das ganze SECO nicht mehr “erreichbar” ist (WTF?), habe ich mir heute selber nochmals ein paar Gedanken gemacht zu diesem Thema und folgende 3 Punkte festgestellt:

    1. Das SECO denkt weiterhin die SuisseID sei in der jetzigen Form sicher
    2. Ich denke weiterhin die SuisseID ist in der jetzigen Form unsicher
    3. Weder das SECO noch ich lassen sich im Moment vom Gegenteil überzeugen ;-)

    Aufgrund dieser ansich ja simplen Feststellung habe ich mich entschlossen, mich in Zukunft mit anderen Themen zu widmen (z.B. mit den rechtlichen Aspekten der SuisseID) und diese Diskussion für den Moment anderen zu überlassen.

    Bis in vier Monaten soll es ja gem. SECO 300’000 (!) SuisseID-Besitzer geben (http://bit.ly/dqiHDz). Damit meine eigenen Erkenntnisse zur Un-Sicherheit der SuisseID der Nachwelt erhalten bleiben (mit Nachwelt meine ich die vielen tausenden SuisseID-Besitzer welche dieses Blog noch lesen werden) habe in meine zwei Hauptkritikpunkte „kurz“ zusammengefasst:

    1. SuisseID wurde ohne Zusammenarbeit mit der Wirtschaft entwickelt d.h. vorallen ohne Zusammenarbeit mit unseren beiden Grossbanken – tatsächlich wurden diese vom Bund nicht einmal angefragt. UBS / CS haben fast 15 Jahre Erfahrung auf dem Gebiet PKI / Smartcard, Millionen von Benutzern und das Wichtigste: grundsätzlich Interesse an Zusammenarbeit. Die Folge ist nun, dass wir mit der SuisseID eine teure Insellösung haben welche die beiden Banken aufgrund der Sicherheitsmängel nicht einsetzen werden. UBS hat bereits reagiert und verteilt Ihren Kunden eine eigene, günstigere und zugleich sicherere Lösung: http://bit.ly/cwvOBi. Die vom SECO immer wieder betonte Zusammenarbeit mit den SuisseID Anbietern (Post / QuaVadis etc.) ist von mir aus gesehen eine Farce. Diese Unternehmen sind in erster Linie daran interessiert, möglichst viele SuisseID’s mit einer möglichst hohen Gewinnmarge zu verkaufen. Dies im Gegensatz zu den Banken welche aus Eigeninteressen an der Sicherheit sehr stark interessiert sind.

    2. Auch Deutschland beschäftigt sich seit Jahren mit einer entsprechenden Lösung für seine Bürger. Leider wurde auch hier offenbar nicht miteinander gesprochen: die deutsche Lösung ist mit unserer grösstenteils inkompatibel. Die „Eckdaten“ vom elektronischen Personalausweise (ePA) sind aus Schweizer Sicht aber interessant:

    Kosten DE: Der elektronischen Personalausweise (ePA) kostet 29 Euro und ist 10 Jahre gültig. Der benötigte Kartenleser kostet einmalige 35 Euro zusätzlich.
    Kosten CH: SuisseID kostet alle 3 Jahre ca. CHF 160.–. ID muss separat gekauft werden

    Sicherheit DE: Beim ePA erfolgt die Authentisierung (Login) bei Anwendungen mit einem Klasse 1 Leser, für Qualifizierte Elektronische Signatur (QES) wird ein Klasse 4 Leser eingesetzt. Das BSI (siehe Link unten) begründet dies wie folgt:

    „Über die Terminalauthentisierung [PIN-Eingabe auf dem Lesegerät -> “Terminal“] weist sich der Leser als bestätigtes Signaturterminal aus. Über diesen Mechanismus kann der Ausweis den Einsatz in einer für die QES geeigneten Umgebung zumindest zum Teil überprüfen, somit wird das Sicherheitsniveau der QES-Erzeugung deutlich angehoben.“
    Sicherheit CH: SuisseID verwendet für Alles einen Klasse 1 Reader (=niedrigste Sicherheitsstufe), also auch für QES

    Zwar haben unsere lieben Nachbarn noch gar nicht damit begonnen ihren ePA an die Bürger zu verteilen (erst ab November), schon jetzt steht aber auch dieser in heftiger Kritik weil für die Authentisierung nur ein Klasse 1 Reader verwendet wird. Zur Erinnerung: Bei der SuisseID wird sogar für die Qualifizierte Elektronische Signatur (QES) ein Klasse 1 Reader eingesetzt. In Deutschland wäre die SuisseID damit gem. den Richtlinien des „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) offiziell nicht zugelassen http://bit.ly/brKCPM [PDF-Datei].

    Links auf die entsprechenden Heise Artikel: http://bit.ly/aCUEMU und http://bit.ly/4Oj1pF

    Zum Schluss möchte ich noch auf einen Beitrag verweisen, welcher von der ARD diese Woche ausgestrahlt wurde mit dem Titel: „Der neue Personalausweis: Höhere Gebühr – weniger Sicherheit“. Die darin geäusserte Kritik zur Sicherheit gilt 1:1 auch für die SuisseID:

    Youtube: http://bit.ly/be6aFV
    Direkt Link ARD: http://bit.ly/cjvSX5

    So, Thats it. Werde diesen Text in gekürzter Form auch noch auf Amazee posten (weil nur dann ist er ja öffentlich ;-) Bin gespannt wie es weitergeht und hoffe sehr, dass doch noch etwas passieren wird bez. Sicherheit. Um Albert Einstein zu zitieren: „Man muss das Beste hoffen, das Schlimme kommt von selbst.“

  2. Denis Simonet
    August 29th, 2010 @ 20:22

    Hoi Michael

    Vielen Dank für die ausführliche Zusammenfassung. Ich muss mich jetzt mal durch die Links arbeiten :). Ich werde übrigens auch noch Beiträge auf Amazee hinzufügen. Dein Kommentar wird eine wertvolle Argumentationsreferenz sein.

    Lieber Gruss,
    Denis

Leave a Reply





Notify me of followup comments via e-mail. You can also subscribe without commenting.

  • Aktuell

  • Meta

  • Archiv

  • Tags

    ACTA AdACTAday Bern Buchpreisbindung BWIS BÜPF Computerspieleverbot Datenschutz Digitalpolitik EDÖB Europarat FDP Freiheit Google GPS Grossratswahlen Grundrechte Grüne HADOPI IFPI IGE Informationsveranstaltung Jungfreisinnige Luzern Netzneutralität Piraten Piratenpartei Politik Privatsphäre Seco Sony Stand SUISA SuisseID SVP Transparenz Transparenz-Initiative Treffen Urheberrecht Urteil Wahlen Wahlkampf Wikileaks Zensur Überwachung

  • Count per Day

    • 683This post:
    • 93316Total visitors:
    • 14Visitors today:
    • 1Visitors currently online: