Zumindest wissen wir nun, dass die vom SECO gemachte Aussage in der Weltwoche („Man könne sich ja einen Kartenleser der Stufe 2 kaufen.“ http://sharetext.org/KZ78 ) definitiv FALSCH ist. Ein class 2+ Leser kann derzeit nicht einfach so ohne weiteres benutzt werden, die QuoVadis weiss im Moment ja nicht einmal ob diese mit der jetzigen middleware überhaupt funktionieren würde http://bit.ly/9z0Hzs Wäre cool, wenn der http://twitter.com/SuisseIDler in den nächsten Tagen mal noch seine Erfahrungen mit seinen 2+ Reader hier posten könnte.

Anyway, gut zu wissen, dass das SECO unsere Anliegen jetzt endlich ernst nimmt. Vielen Dank Denis an dieser Stelle für die vielen Blog Beiträge in den letzten Wochen hier und auf Amazee. Ohne dein Engagement wäre wohl nichts passiert. Hoffen wir, dass bald auch Taten folgen.

Vielen Dank für die ausführliche Zusammenfassung. Ich muss mich jetzt mal durch die Links arbeiten . Ich werde übrigens auch noch Beiträge auf Amazee hinzufügen. Dein Kommentar wird eine wertvolle Argumentationsreferenz sein.

Lieber Gruss,
Denis

Danke für die Zusammenfassung, kann dir grundsätzlich nur zustimmen. Ich hab heute noch ein wenig rumgesurft und bin auf eine für uns Kritiker erfreuliche Info gestossen: In Deutschland wird genau das Gleiche bemängelt (weiter unten die Details). Erfreulich für uns deswegen, weil wir nun nicht mehr die Einzigen sind und sich in DE jetzt auch grössere Organisationen (mit mehr Ressourcen) wie z.B. der CCC mit diesem Thema befassen.

Da Frau Roy in den nächsten 2 Wochen ja in den Ferien ist und damit offenbar auch das ganze SECO nicht mehr “erreichbar” ist (WTF?), habe ich mir heute selber nochmals ein paar Gedanken gemacht zu diesem Thema und folgende 3 Punkte festgestellt:

1. Das SECO denkt weiterhin die SuisseID sei in der jetzigen Form sicher
2. Ich denke weiterhin die SuisseID ist in der jetzigen Form unsicher
3. Weder das SECO noch ich lassen sich im Moment vom Gegenteil überzeugen

Aufgrund dieser ansich ja simplen Feststellung habe ich mich entschlossen, mich in Zukunft mit anderen Themen zu widmen (z.B. mit den rechtlichen Aspekten der SuisseID) und diese Diskussion für den Moment anderen zu überlassen.

Bis in vier Monaten soll es ja gem. SECO 300’000 (!) SuisseID-Besitzer geben (http://bit.ly/dqiHDz). Damit meine eigenen Erkenntnisse zur Un-Sicherheit der SuisseID der Nachwelt erhalten bleiben (mit Nachwelt meine ich die vielen tausenden SuisseID-Besitzer welche dieses Blog noch lesen werden) habe in meine zwei Hauptkritikpunkte „kurz“ zusammengefasst:

1. SuisseID wurde ohne Zusammenarbeit mit der Wirtschaft entwickelt d.h. vorallen ohne Zusammenarbeit mit unseren beiden Grossbanken – tatsächlich wurden diese vom Bund nicht einmal angefragt. UBS / CS haben fast 15 Jahre Erfahrung auf dem Gebiet PKI / Smartcard, Millionen von Benutzern und das Wichtigste: grundsätzlich Interesse an Zusammenarbeit. Die Folge ist nun, dass wir mit der SuisseID eine teure Insellösung haben welche die beiden Banken aufgrund der Sicherheitsmängel nicht einsetzen werden. UBS hat bereits reagiert und verteilt Ihren Kunden eine eigene, günstigere und zugleich sicherere Lösung: http://bit.ly/cwvOBi. Die vom SECO immer wieder betonte Zusammenarbeit mit den SuisseID Anbietern (Post / QuaVadis etc.) ist von mir aus gesehen eine Farce. Diese Unternehmen sind in erster Linie daran interessiert, möglichst viele SuisseID’s mit einer möglichst hohen Gewinnmarge zu verkaufen. Dies im Gegensatz zu den Banken welche aus Eigeninteressen an der Sicherheit sehr stark interessiert sind.

2. Auch Deutschland beschäftigt sich seit Jahren mit einer entsprechenden Lösung für seine Bürger. Leider wurde auch hier offenbar nicht miteinander gesprochen: die deutsche Lösung ist mit unserer grösstenteils inkompatibel. Die „Eckdaten“ vom elektronischen Personalausweise (ePA) sind aus Schweizer Sicht aber interessant:

Kosten DE: Der elektronischen Personalausweise (ePA) kostet 29 Euro und ist 10 Jahre gültig. Der benötigte Kartenleser kostet einmalige 35 Euro zusätzlich.
Kosten CH: SuisseID kostet alle 3 Jahre ca. CHF 160.–. ID muss separat gekauft werden

Sicherheit DE: Beim ePA erfolgt die Authentisierung (Login) bei Anwendungen mit einem Klasse 1 Leser, für Qualifizierte Elektronische Signatur (QES) wird ein Klasse 4 Leser eingesetzt. Das BSI (siehe Link unten) begründet dies wie folgt:

„Über die Terminalauthentisierung [PIN-Eingabe auf dem Lesegerät -> “Terminal“] weist sich der Leser als bestätigtes Signaturterminal aus. Über diesen Mechanismus kann der Ausweis den Einsatz in einer für die QES geeigneten Umgebung zumindest zum Teil überprüfen, somit wird das Sicherheitsniveau der QES-Erzeugung deutlich angehoben.“
Sicherheit CH: SuisseID verwendet für Alles einen Klasse 1 Reader (=niedrigste Sicherheitsstufe), also auch für QES

Zwar haben unsere lieben Nachbarn noch gar nicht damit begonnen ihren ePA an die Bürger zu verteilen (erst ab November), schon jetzt steht aber auch dieser in heftiger Kritik weil für die Authentisierung nur ein Klasse 1 Reader verwendet wird. Zur Erinnerung: Bei der SuisseID wird sogar für die Qualifizierte Elektronische Signatur (QES) ein Klasse 1 Reader eingesetzt. In Deutschland wäre die SuisseID damit gem. den Richtlinien des „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) offiziell nicht zugelassen http://bit.ly/brKCPM [PDF-Datei].

Links auf die entsprechenden Heise Artikel: http://bit.ly/aCUEMU und http://bit.ly/4Oj1pF

Zum Schluss möchte ich noch auf einen Beitrag verweisen, welcher von der ARD diese Woche ausgestrahlt wurde mit dem Titel: „Der neue Personalausweis: Höhere Gebühr – weniger Sicherheit“. Die darin geäusserte Kritik zur Sicherheit gilt 1:1 auch für die SuisseID:

Youtube: http://bit.ly/be6aFV
Direkt Link ARD: http://bit.ly/cjvSX5

So, Thats it. Werde diesen Text in gekürzter Form auch noch auf Amazee posten (weil nur dann ist er ja öffentlich Bin gespannt wie es weitergeht und hoffe sehr, dass doch noch etwas passieren wird bez. Sicherheit. Um Albert Einstein zu zitieren: „Man muss das Beste hoffen, das Schlimme kommt von selbst.“

Anyway, danke für die Bemühungen. Mal schauen ob sich Ihr Chef, Christian Weber, jetzt dann mal selber bei uns meldet und unsere Fragen und Kritiken direkt beantwortet, hier oder auf Amazee. Auf Amazee ist Herr Weber ja Admin d.h. im Gegensatz zu Denis sollte er dort die nötigen Rechte haben um an der Diskussion teilzunehmen.