Diaspora: SciFi@pod.geraspora.de · Jabber: SciFi@jabber.ccc.de · Twitter: SciF0r

SuisseID: Wo bleibt das SECO?

03.09.2010 | 6 Kommentare

Da mich Claudia Roy dazu aufforderte habe ich nun meine Kritik an der SuisseID in die Diskussionen der Amazee-Gruppe eingebracht. Doch wo bleibt nun die versprochene Konversation mit angeregten Pro/Contras, wie sie uns Frau Roy so schön ausformuliert anbot? Bisher gab es auf meine drei Diskussionsbeiträge genau vier Antworten – im Unterschied zu meinem angeblich nicht öffentlichen Blog wo bisher rund 20 Antworten folgten. Vom SECO kam seit meinen Amazee-Beiträgen keine Stellungsnahme und keine Reaktion. War das Interview mit Christian Weber die angekündigte Diskussion ohne Schönmalerei? Ich hoffe es nicht!

Erfreulich ist hingegen Michaels Zusammenfassung seiner Recherchen um die SuisseID. Er hat sie als Kommentar in meinem Blog gepostet. Danke Michael für die super Zusammenstellung mit Quellenangaben! Hier noch einmal in voller Länge:

Bis in vier Monaten soll es ja gem. SECO 300’000 (!) SuisseID-Besitzer geben (http://bit.ly/dqiHDz). Damit meine eigenen Erkenntnisse zur Un-Sicherheit der SuisseID der Nachwelt erhalten bleiben (mit Nachwelt meine ich die vielen tausenden SuisseID-Besitzer welche dieses Blog noch lesen werden) habe in meine zwei Hauptkritikpunkte „kurz“ zusammengefasst:

1. SuisseID wurde ohne Zusammenarbeit mit der Wirtschaft entwickelt d.h. vorallen ohne Zusammenarbeit mit unseren beiden Grossbanken – tatsächlich wurden diese vom Bund nicht einmal angefragt. UBS / CS haben fast 15 Jahre Erfahrung auf dem Gebiet PKI / Smartcard, Millionen von Benutzern und das Wichtigste: grundsätzlich Interesse an Zusammenarbeit. Die Folge ist nun, dass wir mit der SuisseID eine teure Insellösung haben welche die beiden Banken aufgrund der Sicherheitsmängel nicht einsetzen werden. UBS hat bereits reagiert und verteilt Ihren Kunden eine eigene, günstigere und zugleich sicherere Lösung: http://bit.ly/cwvOBi. Die vom SECO immer wieder betonte Zusammenarbeit mit den SuisseID Anbietern (Post / QuaVadis etc.) ist von mir aus gesehen eine Farce. Diese Unternehmen sind in erster Linie daran interessiert, möglichst viele SuisseID’s mit einer möglichst hohen Gewinnmarge zu verkaufen. Dies im Gegensatz zu den Banken welche aus Eigeninteressen an der Sicherheit sehr stark interessiert sind.

2. Auch Deutschland beschäftigt sich seit Jahren mit einer entsprechenden Lösung für seine Bürger. Leider wurde auch hier offenbar nicht miteinander gesprochen: die deutsche Lösung ist mit unserer grösstenteils inkompatibel. Die „Eckdaten“ vom elektronischen Personalausweise (ePA) sind aus Schweizer Sicht aber interessant:

Kosten DE: Der elektronischen Personalausweise (ePA) kostet 29 Euro und ist 10 Jahre gültig. Der benötigte Kartenleser kostet einmalige 35 Euro zusätzlich.
Kosten CH: SuisseID kostet alle 3 Jahre ca. CHF 160.–. ID muss separat gekauft werden

Sicherheit DE: Beim ePA erfolgt die Authentisierung (Login) bei Anwendungen mit einem Klasse 1 Leser, für Qualifizierte Elektronische Signatur (QES) wird ein Klasse 4 Leser eingesetzt. Das BSI (siehe Link unten) begründet dies wie folgt:

„Über die Terminalauthentisierung [PIN-Eingabe auf dem Lesegerät -> “Terminal“] weist sich der Leser als bestätigtes Signaturterminal aus. Über diesen Mechanismus kann der Ausweis den Einsatz in einer für die QES geeigneten Umgebung zumindest zum Teil überprüfen, somit wird das Sicherheitsniveau der QES-Erzeugung deutlich angehoben.“
Sicherheit CH: SuisseID verwendet für Alles einen Klasse 1 Reader (=niedrigste Sicherheitsstufe), also auch für QES

Zwar haben unsere lieben Nachbarn noch gar nicht damit begonnen ihren ePA an die Bürger zu verteilen (erst ab November), schon jetzt steht aber auch dieser in heftiger Kritik weil für die Authentisierung nur ein Klasse 1 Reader verwendet wird. Zur Erinnerung: Bei der SuisseID wird sogar für die Qualifizierte Elektronische Signatur (QES) ein Klasse 1 Reader eingesetzt. In Deutschland wäre die SuisseID damit gem. den Richtlinien des „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) offiziell nicht zugelassen http://bit.ly/brKCPM [PDF-Datei].

Links auf die entsprechenden Heise Artikel: http://bit.ly/aCUEMU und http://bit.ly/4Oj1pF

Zum Schluss möchte ich noch auf einen Beitrag verweisen, welcher von der ARD diese Woche ausgestrahlt wurde mit dem Titel: „Der neue Personalausweis: Höhere Gebühr – weniger Sicherheit“. Die darin geäusserte Kritik zur Sicherheit gilt 1:1 auch für die SuisseID:

Youtube: http://bit.ly/be6aFV
Direkt Link ARD: http://bit.ly/cjvSX5

Verwandte Beiträge:

  1. SuisseID: Sicherheit ist für das SECO zu teuer
  2. SuisseID: Der verlorene Newsletter
  3. Unglaublich! SuisseID von jedem für jeden?

Kategorie: Politik
Tags: >

Kommentare

6 Responses to “SuisseID: Wo bleibt das SECO?”

  1. Kaspar Zbinden
    September 3rd, 2010 @ 16:47

    Diese Kritik habe ich auf Facebook in der Datenschutzgruppe und in der PCTipp-Gruppe auch schon geäussert. Aber es interessiert niemanden. Eigentlich wäre eine eUnterschrift für die Schweiz wichtig – aber mit der gewählten Lösung werden wichtige schweizer Werte wie Sicherheit und Zuverlässigkeit sträflich missachtet. Trojaner sind eine ernsthafte Bedrohung und wenn es nicht mal der Bund schafft, seine Departemente sauber zu halten, wie soll das der einfache Konsument schaffen?

  2. Michael
    September 5th, 2010 @ 03:50

    War gerade auf Amazee. Offenbar kommt jetzt doch noch etwas Bewegung in die Sache. Wenn ich die Antworten von Christian Weber und QuoVadis aber so lese, dann scheint es mir, als haben die sich bei der Konzeption der SuisseID gar nie wirklich Gedanken zur Sicherheit gemacht. So wie ich es interpretiere, hat das SECO den SuisseID-Anbietern weder Vorschriften noch Empfehlungen bez. den Smartcard-Readern gegeben.

    Zumindest wissen wir nun, dass die vom SECO gemachte Aussage in der Weltwoche („Man könne sich ja einen Kartenleser der Stufe 2 kaufen.“ http://sharetext.org/KZ78 ) definitiv FALSCH ist. Ein class 2+ Leser kann derzeit nicht einfach so ohne weiteres benutzt werden, die QuoVadis weiss im Moment ja nicht einmal ob diese mit der jetzigen middleware überhaupt funktionieren würde http://bit.ly/9z0Hzs Wäre cool, wenn der http://twitter.com/SuisseIDler in den nächsten Tagen mal noch seine Erfahrungen mit seinen 2+ Reader hier posten könnte.

    Anyway, gut zu wissen, dass das SECO unsere Anliegen jetzt endlich ernst nimmt. Vielen Dank Denis an dieser Stelle für die vielen Blog Beiträge in den letzten Wochen hier und auf Amazee. Ohne dein Engagement wäre wohl nichts passiert. Hoffen wir, dass bald auch Taten folgen.

  3. Denis Simonet
    September 5th, 2010 @ 11:53

    Oh ja, es tut sich was. Ich hoffe, Herr Weber hält nun was er verspricht. Die Reaktion von QuoVadis stimmt zuversichtlich :).

  4. QuoVadis
    September 15th, 2010 @ 16:43

    Guten Tag
    Vielen Dank für euer Engagement. Wir von QuoVadis setzen alles daran, unseren Part zu erfüllen.
    Wir arbeiten für die Peripherie mit einem neuen Partner zusammen, weswegen künftig eine andere Middleware für die QuoVadis SuisseID eingesetzt wird. Diese wird mit Class2-Readern funktionieren (die alte leider nicht). Allerdings läuft die Class2-fähige Middleware anfänglich nur auf Windows. Mac wird leider generell nicht so gut unterstützt, wie sich das die Anwender wünschen. Für uns ist aber wichtig, dass die Middleware auf allen Platformen gut läuft, da wie viele Mac-Kunden haben und auch die Linux-User zufrieden stellen möchten. Wir sind mit dem Hersteller in entsprechenden Verhandlungen.

  5. QuoVadis
    September 21st, 2010 @ 10:01

    Nachtrag:

    QuoVadis setzt weiterhin SafeSign als primäre Middleware ein. Gemäss dem Hersteller A.E.T. soll demnächst ein Update geliefert werden, der den Einsatz von Class2 Lesern unterstützen soll.

    Nichtsdestotrotz möchte QuoVadis sein Angebot für SuisseID-Anwender erweitern und wird deshalb die EAL4+ zertifizierte Software CC-Sign von OPENLiMiT (http://www.openlimit.com) ins Shop-Angebot aufnehmen. Diverse Class2-Leser werden von CC-Sign direkt unterstützt. Zurzeit kann CC-Sign jedoch nur unter Windows eingesetzt werden.

    QuoVadis prüft regelmässig Softwarepakete diverser Hersteller auf die Verträglichkeit mit der QuoVadis SuisseID mit dem Ziel diese auf allen gängigen Plattformen (Windows, Mac OS X und Linux) einsetzen zu können.

  6. Denis Simonet
    September 21st, 2010 @ 10:06

    Danke für diese Informationen!

    Es ist aber noch eine Frage offen: Wie sehen Ihre Pläne für Class 3 und Class 4 Reader aus? Könnte vielleicht eine Zusammenarbeit mit der UBS, die jahrelange Erfahrung hat, stattfinden?

Leave a Reply





Notify me of followup comments via e-mail. You can also subscribe without commenting.

  • Aktuell

  • Meta

  • Archiv

  • Tags

    ACTA AdACTAday Bern Buchpreisbindung BWIS BÜPF Computerspieleverbot Datenschutz Digitalpolitik EDÖB Europarat FDP Freiheit Google GPS Grossratswahlen Grundrechte Grüne HADOPI IFPI IGE Informationsveranstaltung Jungfreisinnige Luzern Netzneutralität Piraten Piratenpartei Politik Privatsphäre Seco Sony Stand SUISA SuisseID SVP Transparenz Transparenz-Initiative Treffen Urheberrecht Urteil Wahlen Wahlkampf Wikileaks Zensur Überwachung

  • Count per Day

    • 582This post:
    • 93314Total visitors:
    • 12Visitors today:
    • 2Visitors currently online: