{"id":811,"date":"2010-11-09T18:22:56","date_gmt":"2010-11-09T17:22:56","guid":{"rendered":"http:\/\/www.media-deluxe.de\/blog\/?p=811"},"modified":"2016-04-20T06:19:14","modified_gmt":"2016-04-20T04:19:14","slug":"der-neue-personalausweis-ist-sicher-wenn-man-ihn-nicht-benutzt","status":"publish","type":"post","link":"https:\/\/www.media-deluxe.de\/blog\/2010\/11\/der-neue-personalausweis-ist-sicher-wenn-man-ihn-nicht-benutzt\/","title":{"rendered":"Der neue Personalausweis ist sicher &#8211; wenn man ihn nicht benutzt!"},"content":{"rendered":"<p>Am Montagabend wurde sie stolz freigegeben &#8211; die AusweisApp f\u00fcr den neuen Personalausweis. Doch bereits am Dienstagmorgen ver\u00f6ffentlichte Jan Schejbal von der  Piratenpartei Deutschland einen Exploit, der zwei Designfehler ausn\u00fctzt: Ein Computer, auf dem die App  installiert wird, wird angreifbar &#8211; pikanterweise, weil die Software zur Identit\u00e4tspr\u00fcfung die Identit\u00e4t einer Signatur nicht pr\u00fcft. <!--more-->Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hatte die App gepr\u00fcft &#8211; und h\u00fcllt sich seitdem in peinliches Schweigen. Vermutlich sucht man dort noch in der Powerpoint-Pr\u00e4sentation nach der fehlerhaften Programmzeile&#8230;<\/p>\n<p>Details: <a rel=\"nofollow\" href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Neuer-Personalausweis-AusweisApp-mit-Luecken-1133376.html\" target=\"_blank\">Neuer Personalausweis: AusweisApp mit L\u00fccken (Heise)<\/a>.<\/p>\n<p>Solch ein peinlicher Pfusch ist ziemlich gef\u00e4hrlich und er besch\u00e4digt das Image des Technologie-Standorts Deutschland. Au\u00dferdem f\u00fchrt der Vorgang zu seltsamen R\u00fcckschl\u00fcssen: Noch am 29. Oktober verk\u00fcndete Bundesinnenminister Thomas de Maizi\u00e8re &#8222;Der neue Personalausweis ist sicher.&#8220; Unter Bezugnahme auf die durch den Chaos Computer Club zuvor ver\u00f6ffentlichten Sicherheitsl\u00fccken schr\u00e4nkte er jedoch ein, dass ein Computer, auf dem der neue Ausweis zur Anwendung k\u00e4me, sicher sein m\u00fcsse &#8211; und f\u00fcr die Sicherheit des eigenen Computers sei jeder selbst verantwortlich.*<\/p>\n<p>Jetzt macht aber ausgerechnet die AusweisApp einen Computer unsicher. Das ist ziemlich bl\u00f6d gelaufen und w\u00fcrde sehr deutlich zeigen wie unrealistisch die Einsch\u00e4tzungen des BMI sind &#8211; w\u00e4re da nicht der ber\u00fchmte Catch-22: Denn gl\u00fccklicherweise ist Hacken ja verboten; und somit bleibt der Ausweis per definitionem v\u00f6llig sicher, ganz gleichg\u00fcltig wie viele Sicherheitsl\u00fccken gefunden werden.<\/p>\n<p>Und wer hat&#8217;s erfunden? Der Hersteller der fragw\u00fcrdigen Software ist das Schweizer Unternehmen OpenLimit SignCubes AG (&#8222;Der Spezialist f\u00fcr die elektronische Signatur&#8220;), der Generalunternehmer ist Siemens, Auftraggeber ist das Innenministerium, als Erf\u00fcllungsgehilfe fungiert das sich mehr und mehr selbst diskreditierende BSI.<\/p>\n<hr \/>\n<p>*<\/p>\n<h3>Gesetz \u00fcber Personalausweise und den elektronischen Identit\u00e4tsnachweis (Personalausweisgesetz &#8211; PAuswG)<\/h3>\n<h4>\u00a7 27 Pflichten des Ausweisinhabers<\/h4>\n<blockquote><p>(3) Der Personalausweisinhaber soll durch technische und organisatorische Ma\u00dfnahmen gew\u00e4hrleisten, dass der elektronische Identit\u00e4tsnachweis gem\u00e4\u00df \u00a7 18 <span style=\"color: #800000\">nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik als f\u00fcr diesen Einsatzzweck sicher bewertet werden<\/span>.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Am Montagabend wurde sie stolz freigegeben &#8211; die AusweisApp f\u00fcr den neuen Personalausweis. Doch bereits am Dienstagmorgen ver\u00f6ffentlichte Jan Schejbal von der Piratenpartei Deutschland einen Exploit, der zwei Designfehler ausn\u00fctzt: Ein Computer, auf dem die App installiert wird, wird angreifbar &hellip; <a class=\"more-link\" href=\"https:\/\/www.media-deluxe.de\/blog\/2010\/11\/der-neue-personalausweis-ist-sicher-wenn-man-ihn-nicht-benutzt\/\"> Weiter&#8230;<\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,7,37],"tags":[99,98,100,97,95,96,94],"class_list":["post-811","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-e-business","category-projektmanagement","tag-bmi","tag-bsi","tag-ccc","tag-datensicherheit","tag-epa","tag-npa","tag-personalausweis"],"_links":{"self":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/811","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/comments?post=811"}],"version-history":[{"count":1,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/811\/revisions"}],"predecessor-version":[{"id":3927,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/811\/revisions\/3927"}],"wp:attachment":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/media?parent=811"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/categories?post=811"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/tags?post=811"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}