Archiv der Kategorie: ID

Aus der eID-Filterblase

Gadget, ID, Propaganda, Regierungsviertel, ,

Wie der Heise-Newsticker von der CeBIT berichtet, können Eltern die  Kindergartenplätze für ihren Nachwuchs jetzt auch mit dem neuen Personalausweis beantragen. Statt umständlich mit einem Stift Formulare auszufüllen, muss man nur noch eine App auf seinem NFC-fähigen Smartphone installieren, den Antrag ins Händi wischen und seinen Personalausweis daneben legen. Die Bewilligung wird zurück aufs Händi geschickt, das dann im Kindergarten vorzulegen ist. Wenn man Pech hat, gibt es Kindergartenplätze allerdings frühestens wieder im September und das Smartphone wird bis dahin geklaut.

Goldig ist auch die Idee der BürgerDVD aus derselben Heise-Meldung. Um meinen sicheren Identitätsnachweis im Internet nutzen zu können, beende ich gerne alle laufenden Programme, starte mein System neu und verwende ein ungewohntes Betriebssystem, das nicht mal meine Browser-Bookmarks kennt. Das kostet mich höchstens eine Viertelstunde.

The German eID system explained and discussed

English, Forschung, ID, IT, Regierungsviertel, Security, Testlabor, , , , , ,

We just finished reviewing the final, ready-to-print version of our article Electronic Identity Cards for User Authentication—Promise and Practice, which will appear in the upcoming issue of IEEE Security & Privacy Magazine (vol. 10, no. 1, jan/feb 2012, DOI: 10.1109/MSP.2011.148). We outline how the German eID system works and discuss application issues. Here is our abstract:

Electronic identity (eID) cards promise to supply a universal, nation-wide mechanism for user authentication. Most European countries have started to deploy eID for government and private sector applications. Are government-issued electronic ID cards the proper way to authenticate users of online services? We use the German eID project as a showcase to discuss eID from an application perspective. The new German ID card has interesting design features: it is contactless, it aims to protect people’s privacy to the extent possible, and it supports cryptographically strong mutual authentication between users and services. Privacy features include support for pseudonymous authentication and per-service controlled access to individual data items. The article discusses key concepts, the eID infrastructure, observed and expected problems, and open questions. The core technology seems ready for prime time and government projects deploy it to the masses. But application issues may hamper eID adoption for online applications.

We think that eID functions of government-issued ID cards will not replace means of everyday online authentication. With eID, there will be few new use cases for ID cards, eID just supports online versions of the traditional use cases. Most of the traditional use cases in Germany involve bureaucracy or legal requirements: legal protection for children and young persons, required identification of mobile phone users or bank account holders, or procedures of administrative bodies involving »Ausweis bitte!« at some point. For those who followed the debate and rollout in Germany, there should be nothing new in our article, but the article may come in handy as a reference for international audiences.

Our article will be in good company as it will appear in a theme issue on authentication. If I read the preprints collection correctly, there will be a user study by Amir Herzberg and Ronen Margulies,  Training Johnny to Authenticate (Safely), and an article by Cormac Herley and Paul van Oorschot, A Research Agenda Acknowledging the Persistence of Passwords (authors‘ version). It seems sexy to many to call the days of the password counted—IBM just predicted password authentication would die out soon—but if I had to make a bet I would follow Cormac and Paul.

The final version of our article will be paywalled by IEEE, but you can find our preprint with essentially the same contents on our website.

Identitätsmanagement für Dummies

Freundlich zum Nutzer, Geschäft, ID, Vulnerability,

Vergesst CardSpace, vergesst OpenID, vergesst den elektronischen Personalausweis. Den Identitäts- und Passwortmanager, auf den wir gewartet haben, gibt es in der Buchhandlung. Er läuft ohne Installation, out of the box, ja sogar ohne Strom, und hört auf den Namen Mein persönlicher Internet- und Passwort-Organizer:

Zuverlässig speichert er alle Benutzeraccounts alphabetisch sortiert für den schnellen Zugriff.

Bankdaten einschließlich des Passworts fürs Online-Banking können in einem eigenen Bereich abgelegt werden.

Eine Bedienungsanleitung erübrigt sich, dennoch ist eine Online-Hilfe mit Sicherheitshinweisen integriert.

Der Preis? Sagenhafte 7,99€. Ich habe mein Exemplar bei Hugendubel entdeckt und gekauft, bei Amazon gibt es ihn auch.

Respekt

Hackmeck, ID, Rechtsabteilung, So geht das, Vulnerability

Das fast perfekte Verbrechen. Dem Finanzamt falsche Gehaltsabrechnungen untergejubelt, später mit falschen Steuererklärungen Erstattungen kassiert und Ermittlungsverfahren gegen sich kurzerhand beendet:

»… auch eröffnete hin und wieder eine Staatsanwaltschaft ein Ermittlungsverfahren. Geschah dies, tarnte der Angeklagte sich kurzerhand als Rechtsanwalt, wies sich bei der Staatsanwaltschaft mit ebenfalls gefälschten Papieren aus, bekam seine Akten zugeschickt und vernichtete die dann genüsslich.«

(Echo Online: Einkommensteuererklärungen für erfundene Menschen)

Am Ende haben sie ihn doch gekriegt. Aber den Trick mit den Akten muss ich mir merken.

P.S.: Zwei Jahre und neun Monate gab’s dafür.

Meine teuerste Karte

Freundlich zum Nutzer, ID, Preisschild, Regierungsviertel, Security, Video, , , ,

X3 bringt auf den Punkt, was am neuen Personalausweis blöd ist:

(Direkt-nPA)

So etwas kommt heraus, wenn man Sicherheit als Funktion und Teilsystem missversteht und diese Funktion unabhängig vom Anwendungskontext realisiert. Wer’s besser machen möchte, muss von den Anwendungen und ihrem Sicherheitsbedarf ausgehen. Dabei können am Ende auch generische Mechanismen herauskommen. Dann aber solche, die ihr Geld wert sind und zu den jeweiligen Problemen passen. Bis das alle begriffen haben, wird meine wichtigste Karte weiterhin eine lange Nummer und das Logo einer Kreditkartenorganisation tragen. Damit kann ich online wie offline was anfangen, und Kosten wie Risiken bleiben bescheiden.

Überzeugendes Argument

ID, Propaganda, Regierungsviertel, Wahrnehmung,

Spanien hat ihn schon, seinen elektronischenneuen Personalausweis (nPA), und die Werbung dazu auch. DNI electrónico (DNI: Documento Nacional de Identidad) heißt das Stück dort und im Gegensatz zum nPA trägt er einen klassischen Chipkartenchip mit Kontakten. Aber selbst in Spanien, wo der Personalausweis im Alltag viel präsenter ist als bei uns und zum Beispiel beim Zahlen mit Kreditkarte gewohnheitsmäßig vorgezeigt wird, braucht die elektronische Version etwas Nachhilfe. Diese Nachhilfe fällt aber nur in den Augen eines Bürokraten überzeugend aus. »Deine Steuererklärung wo und wann du willst«, das ist nicht gerade die sexy Informationsgesellschaft, auf die sich alle stürzen. Web 2.0 ist hip, Youtube, Twitter, Facebook und so weiter, aber Steuererklärungen?

Werbung der Spanischen Regierung für den elektronischen Ausweis "DNI electrónico" aus der Zeitung "El País"

Tarnschminke

Biometrie, Datenschutz,

Ähnliche Probleme führen zu ähnlichen Lösungen. Wer gedient hat, kennt das: bevor es raus geht in die Natur, malt man sich oliv-braun-schwarze Flecken ins Gesicht. Das dient der Tarnung, denn in seiner natürlichen Färbung fällt es im Wald leicht auf. Zivilisten haben inzwischen an anderer Stelle ein ähnliches Problem, sie werden überall gefilmt. Nicht gegen das Filmen an sich, aber gegen eine nachfolgende Gesichtserkennung können sie sich vielleicht schützen – mit Tarnschminke. Wie das geht, untersucht Adam Harvey. (via Surveillance Studies)

Unterschätzte Risiken: Sicherheitsgesetze

Datenschutz, ID, Security, Unterschätzte Risiken, , , ,

Schon seit einigen Jahren gibt es die Vorratsdatenspeicherung light: Telekommunikationsanbieter müssen die Identität ihrer Kunden erfassen und den Sicherheitsbehörden auf Anfrage zur Verfügung stellen. Rechtsgrundlage ist der §111 TKG (im Abschnitt Öffentliche Sicherheit), der dem anonymen Verkauf von Prepaid-Karten ein Ende machte. Sicherer geworden sind wir dadurch nicht. Wo man früher nur anonym telefonieren konnte, geht das jetzt auch unter einem falschen Namen, dem die Behörden dann vielleicht eine echte, aber unbeteiligte Person zuordnen.

An der inhärent schlechten Qualität der derart erfassten Daten wird sich kaum etwas ändern lassen. Anbieter, Händler und Kunden haben kein eigenes Interesse an der Pflege der Datenbestände, die deshalb schon ohne böswillige Eingriffe schnell degenerieren. Ein Musterbeispiel für eine wirtschaftliche Fehlkonstruktion: den Nutzen haben die Sicherheitsbehörden, den Aufwand die Betreiber und Händler und den Schaden irgend jemand. Öffentliche Sicherheit kann man so nicht schaffen.

Die Datenschützer waren übrigens gleich dagegen. Sie hatten Recht. Wie oft muss die Idee von der Sicherheit durch Identifizierung eigentlich in die Hose gehen, bis wir es lernen? Je wertvoller wir Identitätsmerkmale machen, umso häufiger werden sie missbraucht werden.

Identitätsmissbrauch am Beispiel

Datenschutz, Geschäft, ID, Security

Ein schneller Lesetipp:

»Betrüger verwenden die Identität Fremder, um Straftaten zu begehen. Tina Groll hat das selbst erlebt und beschreibt, wie sich Datenmissbrauch anfühlt.«

(Zeit Online: Datenmissbrauch : Meine Identität gehört mir!, via Plazeboalarm)

Und wir wollen das Internet sicherer machen, indem wir dem Konzept der Identität mit einer Kombination aus Recht und Technik noch mehr Gewicht verleihen? Eine groteske Idee.

Unterschätzte Risiken: Leichtgläubigkeit

Biometrie, Datenschutz, Security, Unterschätzte Risiken, Wahrnehmung, , ,

Wenn sich ein Verbrecher Patrick nennt, dann bleibt der Polizei nichts anderes übrig, als alle Patricks in der Umgebung des Tatortes zu gentesten. Dass die Spur falsch, gar eine gezielte Irreführung sein könnte, auf die Idee kam man offenbar nicht:

»Hunderte Männer namens Patrick hatte die Wiesbadener Polizei nach der Vergewaltigung einer 17-Jährigen überprüft. Knapp zwei Jahre später hat sie den Täter gefunden – per Zufall. Patrick heißt er nicht.«

(HR: Zufallstreffer: Vergewaltiger heißt doch nicht Patrick)

Es sei nicht auszuschließen gewesen, dass der Name richtig sei. Dass die DNS-Rasterfahndung Blödsinn sein könnte, war offensichtlich aber auch nicht auszuschließen.

Was ist eigentlich Identität?

Begriffe, Freundlich zum Nutzer, ID, , , , ,

Warum viele auf Identitätsmanagement abfahren und sich davon einen Sicherheitsgewinn erhoffen, habe ich mich schon früher gefragt. Ein Teilproblem dabei: was ist eigentlich die Identität einer Firma oder Organisation? Warum das ein Problem ist, illustrieren jetzt ausgerechnet Verbraucherschützer, die uns beim Schutz vor Phishing helfen möchten. Sie geben die üblichen Tipps – und illustrieren ihre Erklärung über SSL ausgerechnet mit einer URL-Zeile der Dresdner Bank:

Dresdner Commerzbank Privat oder so

Die ist seit kurzem eine Marke der Commerzbank, und das zeigt der Browser auch an. Formal ist das völlig korrekt, aber dem Bankkunden hilft diese zertifizierte Identitätsinformation nur bedingt weiter. Oder gelten SSL-Zertifikate nur in Verbindung mit Nachrichten aus dem Wirtschaftsteil?

Übrigens muss der arme Nutzer nicht nur zwischen Unternehmen und Marken unterscheiden, sondern auch zwischen echten und weniger echten Warnungen. Wer bei der Adresseingabe das Präfix www vergisst, dem macht die Technik unnötig Angst:

https://dresdner-privat.de

Auch dies ist formal völlig korrekt, hilft dem Nutzer aber nicht weiter. Er kann aus solchen Beobachtungen kein einfaches, konsistentes Sicherheitsmodell entwickeln. Verbraucherportale mit wohlmeinenden Tipps ändern daran nichts und lösen deshalb auch das Problem nicht.

4 Prozent

Angst, Datenschutz, ID, Wahrnehmung, Zahlenspiele, ,

Glücksbürokraten finden es besorgniserregend, dass Kinder und Jugendliche in sozialen Netzen die informationelle Selbstbestimmung üben und Muttis Mahnungen dabei gerne ignorieren. Sorglos seien die Selbstbestimmer, man müsse ihnen mehr Angst machensie stärker sensibilisieren. Eine Begründung aber bleiben sie uns schuldig. Die handfesten Probleme durch selbstbestimmt veröffentlichte Daten im Netz halten sich anscheinend sehr in Grenzen:

»Schlechte Erfahrungen mit der Veröffentlichung ihrer Daten hätten die Befragten kaum gemacht, weiß Medienpädagogin Maren Würfel, nur 4 Prozent haben sich laut Umfrage darüber beschwert.«

(Heise Online:
„Besondere Herausforderung“ soziale Netzwerke)

Könnten wir uns dann vielleicht wieder echten Problemen zuwenden?

PS: Isotopp hat einen Artikel über unterschiedliche Schutzziele von Eltern und Kindern ausgegraben.

Kinderschützer züchten Forentrolle

Datenschutz, ID, Stammtisch, Vertrauen, ,

Während die Bundesregierung hofft, das Vertrauen ins Netz durch sichere Authentizifierung mit dem elektronischen Personalausweis zu stärken, predigen Kinder- und Jugendschützer das Gegenteil. Man möge im Netz gefälligst unter einem Phantasienamen auftreten und keinesfalls so, wie man wirklich heißt. Die offensichtlichste Folge dieses gerne beherzigten Tipps dürfte verstärktes Cyber-Mobbing sein, denn im Schutz der Pseudonymität pöbelt es sich gleich viel leichter. Ein Großteil der sozialen Selbst- und Fremdkontrolle fällt weg, wenn sich jeder von sich distanziert und unter einem Phantasienamen versteckt. Nicht umsonst ist die Diskussion um Reralnamen vs. Pseudonyme so alt wie das Netz.

Zuerst aber stellt sich die Frage, was denn eigentlich so schlimm daran ist, sich im Netz unter dem Namen zu bewegen, den man seit seiner Geburt trägt. Was, außer dem guten Gefühl, etwas getan zu haben, gewinnt man dadurch? Was kann mit im Netz passieren, wenn ich meinen Namen verrrate, das mir unter einem Pseudonym nicht passieren kann, und warum ist das Auftreten unter einem Pseudonym eine korrekte und sinnvolle Lösung des Problems?

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 3)

eBürokratie, Geschäft, ID, IT, Regierungsviertel, Security, , , ,

[Teil 1Teil 2 – Teil 3 – Teil 4]

Während man beim SmartCard-Workshop die üblichen Visionsschablonen ausmalt, holt die EU-Kommission aus, der rechtsverbindlichen digitalen Signatur einen weiteren Sargnagel einzuschlagen. Wie der Heise-Ticker meldet, möchte die EU-Kommission die Rechnungssignatur kippen.

Die Rechnungssignatur ist eine Regelung aus dem Umsatzsteuerrecht und eine der wenigen realen Anwendungen für rechtsverbindliche Signaturen. Nicht dass man sie technisch brauchte, aber sie ist vorgeschrieben: zum Vorsteuerabzug dürfen elektronische Rechnungen nur verwendet werden, wenn sie digital signiert sind. Entgegen aller großen Hoffnungen hat sich die digitale Signatur als Rechtskonstrukt bislang fast nur in solchen Zwangsanwendungen durchgesetzt. Wer die freie Wahl hat, benutzt sie normalerweise nicht, denn sie ist umständlich und schafft dem Anwender vor allem Nachteile.

Das hat nun auch die EU-Kommission erkannt und festgestellt, dass die zugrundeliegende Richtlinie – die im deutschen Recht verschärft wurde – die Verbreitung elektronischer Rechnungen behindert hat. Dass man mit formaler Sicherheitstechnik die Verbreitung von irgend etwas fördern könnte, wie es die Visionäre gerne unterstellen, ist vielleicht nichts als ein Traum.

PS.: Die Bundesregierung hat gerade die Signaturpleite der nächsten Generation beschlossen. Bürgerportal und De-Mail heißen die Stichworte und über einen späteren Anschlusszwang wird bereits spekuliert.

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2)

eBürokratie, Fundbüro, ID, IT, Security,

[Teil 1 – Teil 2 – Teil 3Teil 4]

Ich hatte vor einem halben Jahr bereits verhalten gejubelt. Anlass war damals die Meldung, dass Kommunen in ihren eVerwaltungs-Angeboten auf den Zwang zur digitalen Signatur verzichten wollen, damit die Bürger diese Dienste auch nutzen. Jetzt fragt Sascha Kremer in seinem Blog rhetorisch: »Qualifizierte Signaturen: zum Scheitern verurteilt?« und weist sogleich auf das für Juristen offensichtlichste Problem dieser Technik hin:

»Tatsächlich schafft der Verbraucher mit der via qualifizierter elektronischer Signatur sicheren und vielleicht sogar verschlüsselten elektronischen Kommunikation zunächst einmal einen Beweistatbestand gegen sich selbst. Und genau das ist es, woran der Verbraucher weder im E-Commerce noch im Web 2.0 Interesse hat.«

Mein Reden seit Jahren und übrigens exakt der Grund, aus dem ich höchst selten E-Mail signiere. Der Rest seines Textes ist auch äußerst lesenswert, eine knappe, aber gute Analyse der Situation. R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2) weiterlesen

Unterschätzte Risiken: Amtsanmaßung

Biometrie, Unterschätzte Risiken, ,

Das Darmstädter Echo meldet:

»Nicht wenig überrascht war der Inhaber eines Betriebes im Bruchwiesenweg, als am Mittwoch um 10 Uhr zwei angebliche Zollbeamte in seiner Firma auftauchten. Die Männer präsentierten ihm einen Durchsuchungsbeschluss und einen auf ihn ausgestellten Haftbefehl. Sie durchsuchten das Büro und konfiszierten mehrere tausend Euro Bargeld, Schmuck und Aktenordner. Der Firmenchef wurde daraufhin gebeten, sich gute Kleidung anzuziehen, da man zusammen in der Bank den Safe überprüfen wolle. Während sich der arglose 68 Jahre alte Mann umzog, suchten die falschen Zöllner das Weite.«

Unsere Empfehlung: verlangen Sie vor der Durchsuchung einen biometrischen Ausweis und prüfen Sie, ob der Fingerabdruck des vermeintlichen Beamten zum gespeicherten Muster passt. Wer sich unter einem Vorwand weigert, ist kein Beamter, sondern Terrorist.

R.I.P.: Die rechtsverbindliche digitale Signatur

eBürokratie, Fundbüro, ID, Security, , , ,

[Teil 1 – Teil 2Teil 3Teil 4]

Kluge Menschen wussten es schon vor Jahren, jetzt ist es amtlich: die rechtsverbindliche digitale Signatur ist tot. Heise berichtet:

Jede vierte Kommune will ihre Verwaltungsvorgänge entsprechend anpassen, sodass man zukünftig etwa Personalausweise oder Pässe elektronisch beantragen kann. Um die Hemmschwelle bei den Bürgern zu senken und die Nutzung zu erleichtern, wollen die Kommunen auf den Zwang zur digitalen Signatur verzichten. Ein Teil von ihnen plant weitere Service-Angebote per E-Mail, zum Beispiel das Beantragen von Beglaubigungen oder Führungszeugnissen, Gewerbe- und KfZ-Anmeldungen sowie Vorgänge zur Abfallwirtschaft.

(Hervorhebungen von mir.)

Wenn selbst die Leute vom Amt vernünftig werden und statt aufgeblasener Technikwichserei lieber etwas nehmen, das funktioniert, dann können wir das Thema getrost abhaken.

Mir passt diese Meldung vorzüglich in meinen Vortrag auf dem CAST-Workshop heute. Geplant ist ein Rundumschlag, der noch etwas weiter reicht. Ich halte den Begriff der Identität in der IT-Sicherheit für überschätzt und damit alles, was mit dem Begriff zusammenhängt: Identitätsdiebstahl, Authentisierung und so weiter. »On the Internet, nobody knows you’re a dog«, das wissen wir schon seit 1993. Langsam begreifen wir auch, dass wir das nicht ändern können, sondern damit leben müssen.

Update: Detlef Borchers berichtet auf heise.de über den CAST-Workshop.