|
|
|
 |
 |
 |
SuisseID - Fluch oder Segen? |
 |
|
|
SuisseID ist, wenn nicht in Aller, dann doch in Vieler Munde - während die Einen auf die praktischen Vorteile verweisen («Kein Schlangestehen mehr auf den Ämtern») und die Einführung eines elektronischen Identitätsnachweises für überfällig hielten, warnen andere vor den möglichen Gefahren durch Datenausspähung oder gar Datenklau oder anderen kriminellen IT-Machenschaften, die in der möglichen Manipulation der Sicherheitsinfrastruktur liegen könnten. Zu Recht?
Mit SuisseID lassen sich unstrittig viele Dinge erledigen, für die man andernfalls persönlich vorsprechen oder sich anderweitig umständlich als derjenige ausweisen müsste, der man zu sein vorgibt. Online-Einkäufe, Ummeldungen, gesicherter Emailversand und der Online-Nachweis der Volljährigkeit zum Bezug bestimmter beschränkter Software, Computerspiele oder ähnlichem sind nur einige der vielen Vorteile, auf die Befürworter der SuisseID gerne verweisen. Sogar die Post ist auf den Zug aufgesprungen und präsentiert mit Post SuisseID ihrer Version der digitalen Identitifizerungstechnik. Laut Eigenaussage auf http://postsuisseid.ch ist SuisseID «Ihr virtueller Pass und Ihr Kugelschreiber zugleich», und die Nutzer gingen "mit der Post SuisseID (…) auf Nummer sicher im elektronischen Geschäftsverkehr".
Wie sind solche Aussagen zu werten - als nichtssagende Werbesprüche? Als selbstgefälliges, aber die Sicherheit ignorierende virtuelle Schulterklopferei, da mit SuisseID alles technisch Machbare unternommen wurde, um die Identitätsprüfung narren- und vor allem fälschungssicher zu gestalten?
Zuerst einmal muss festgestellt werden, dass SuisseID ein elektronischer Identitätsnachweis ist - nicht mehr und nicht weniger. Im typischerweise anonymen Internet gilt es nicht nur, die Übertragung von Daten zu verschlüsseln, sondern auch sicherzustellen, dass Absender und Empfänger tatsächlich diejenigen sind, für die sie sich ausgeben. Die Seite der Absender-, Kunden- oder Käuferverifizierung soll SuisseID erledigen: mittels Chipkarte oder USB-Stick soll die Echtheit der persönlichen, digitalen Signatur garantiert werden. Hat die Gegenstelle - die selbstverständlich in die SuisseID-Infrastruktur eingebunden sein muss - die Signatur überprüft und akzeptiert, stehen dem Nutzer der SuisseID vielfältige Einsatzmöglichkeiten offen - vom gesicherten Onlineeinkauf über Verifizierung beim Emailversand bis hin zur elektronischen Ausweiskontrolle beim Zugang zum Firmennetz … gerade der letzte Punkt ist natürlich für Unternehmen interessant, die sicherstellen wollen, dass nur ihre Mitarbeiter einen Zugang zum Firmennetzwerk erlangen - Stichwort VPN. Allerdings muss man auch wissen, dass die SuisseID kein Verschlüsselungszertifikat enthält - sie besorgt nur die Verifizierung der Person, die sie benutzt.
Technischer Hintergrund des Ganzen ist eine so genannte Public Key Infrastructure (PKI), also ein Geflecht aus Zertifizierungsstellen, Zertifizierungsgebern und –nehmern. Privatpersonen können - ebenso wie Unternehmen - die SuisseID von der QuoVadis Schweiz und der Schweizerischen Post resketive der SwissSign AG erhalten, während die Swisscom ausschliesslich Unternehmen beliefert. Das Bundesamt für Informatik und Telekommunikation (BIT) schliesslich liefert die SuisseID für Verwaltungszwecke; eine Liste der Anbieter finden Sie unter www.suisseid.ch. Kostenlos ist der elektronische Identitätsnachweis nicht - bei QuoVadis etwa kostet die SuisseID etwa 18o,- CHF, bei einer Laufzeit von drei Jahren. Erwähnenswert ist noch, dass die Einführung der ID 2010 beschlossen wurde und seitdem massiv beworben wird. Interessant auch, dass der Bund im vergangenen Jahr 2010 für 17 Millionen Franken den Erwerb einer SuisseID mit einem Betrag von 65 Fr subventionierte.
Sicherheitsbedenken?
Aber es gibt Bedenken, und die sind nicht unbedingt gegen die SuisseID an sich gerichtet, sondern gegen vorgeblich fälschungs- und missbrauchssichere elektronische Sicherheitssysteme in ihrer Gesamtheit. So hat beispielsweise der bundesdeutsche Ärztetag im Jahr 2010 die e-Card und die Onlinestammdatenverwaltung in den Arztpraxen abgelehnt. In einem interessanten Radiobeitrag (siehe Link zu www.dradio.de) im Deutschlandradio von Ende Januar dieses Jahres wies der renommierte Wissenschaftsjournalist Peter Welchering darauf hin, dass letztlich jedes elektronische System manipuliert werden kann – da helfen auch nicht die Beteuerungen der SuisseID-Betreiber, dass ihr System sicher sei und sämtlichen aktuellen Standards entspreche. So heisst es auch auf der Webseite von SuisseID:
«Die sichere SuisseID wird in einem Gesamtsystem von Mensch, Computer und Internet eingesetzt, deren totale Kontrolle ausserhalb der Möglichkeiten einer SuisseID liegt. Als Benutzer können Sie jedoch die Sicherheit dieses Gesamtsystems massgeblich beeinflussen ... »
Und genau hier sind die beiden Gefahrenpunkte, die auch die SuisseID betreffen, genannt – der eine Punkt berührt den Unsicherheitsfaktor Mensch, der andere die empirische Tatsache, dass kein elektronisches System zu 100% sicher ist – auch, wenn immer von der «technisch maximal erreichbaren Sicherheit» oder ähnlichem gesprochen wird. Der Autor dieser Zeilen beispielsweise erinnert sich nur zu gut an die zu jeder neuen Version des Betriebssystems Windows aus dem Hause Microsoft gebetsmühlenartig wiederholten Behauptung, dass «das neue (aktuelle) Windows das sicherste Windows» sei, was es jemals gegeben habe - was einerseits einen gewissen Wortklamauk beinhaltet, denn wieviel »mehr sicher» als «sicher» ist «noch sicherer» … ? Andererseits dürften jeder Leser und jede Leserin nur zu gut um die zahlreichen Sicherheitslücken wissen, die auch nach Herausgabe dieser Werbeaussage aufgetreten sind - und das trifft beileibe nicht nur Systeme aus dem Hause Microsoft …
Nun ist natürlich ein vielfältiges Betriebssystem wie Windows oder das MacOS nicht mit einer relativ schlanken und stringenten Sicherheitsinfrastruktur wie der zu vergleichen, die hinter SuisseID steckt - es bleibt aber die nicht nur theoretische oder «gefühlte» Bedrohung durch Schwachstellen, die auszuspähen immer lohnender wird, je weiter die SuisseID Verbreitung und Anwendung finden wird. So hat der Chaos Computer Club (CCC) bereits vor eineinhalb Jahren erhebliche Schwachstellen der SuisseID nachgewiesen. In einer Mitteilung auf ihrer Webseite
www.ccc.de
wird von einer praktischen Vorführung berichtet, auf der die Sicherheitsexperten Max Moser und Thorsten Schröder «mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch (den) elektronische(n) Personalausweis (ePA) ferngesteuert benutzen lassen» konnten. Die Sicherheitsexperten des Chaos Computer Clubs resümieren: «Die dafür ausgenutzten Sicherheitslücken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen» - und genau hierin liegt die Crux elektronischer Medien, unter die wir auch eine SuisseID letztlich rechnen müssen. Jedwedes elektronische Sicherheitsystem ist von Menschen gemacht, Menschen machen naturgemäss Fehler, und diese Fehler aufzuspüren wird immer lohnender, umso mehr sich damit Geld verdienen lässt - oder andere unlautere Motivationen stark genug werden (Identitätsmissbrauch, Einbruch in Serversysteme und vieles mehr). …
Und ein weiterer Aspekt soll nicht unerwähnt bleiben: so bequem die Nutzung der SuisseID zu werden verspricht, umso mehr wird die Tatsache der menschlichen Bequemlichkeit zum Tragen kommen – wer hat schon sein PC-System und seine anderen elektronischen Medien (Handy, Laptop, Chipkarten und eben auch SuisseID) immer im Blick und sicherheitstechnischen Griff? Und wer, Hand aufs Herz und mit der anderen dabei auch an die eigene Nase gefasst, liest schon Verträge und Nutzungsbedingungen penibel durch? Eine Kommentatorin im Internet bringt es auf den Punkt, was mit der SuisseID auch droht: «Ohne grosses Nachdenken Dinge bestätigen, welche man früher noch gelesen hätte» ...
Fazit
Lassen wir abschliessend noch einmal Peter Welchering zu Wort kommen:
«Die Frage ist, ob wir eine Gesetzgebung haben werden, die den entsprechenden Datenschutz vorsieht. Wenn nicht, wird der Missbrauch sehr groß sein. Und zwar von organisierten Kriminellen und nicht vom allwissenden Staat.»
Es gilt also, nicht einer Paranoia das Wort zu reden, die bereits hinter jeder Ecke und in jedem Winkel des Landes den Überwachungsstaat agieren sieht, sondern die offensichtlich viel grösseren Gefahren zu sehen, die in schlichtem Datenklau und Datenmissbrauch liegen. Hier heisst es, nicht nur gesellschaftlich den Wandel zur Digitalisierung kritisch zu begleiten, sondern auch und vor allem an die Sicherheit des eigenen IT-Umfelds (Lagerung von sensiblen Objekten wie Laptops, e-Cards, Ausweisen und Daten, gesicherter Zugang zu PCs, Verwendung sicherer Passwörter, Updates auf Rechnersystemen und und und) zu denken - Hinweise hierzu finden Sie unter anderem an dieser Stelle und in unserem Portal InformatikPraxisOnline, für dass wir an dieser Stelle einmal mehr werben dürfen.
Links
www.postsuisseid.ch
www.suisseid.ch
www.dradio.de
www.welchering.de
Hier gelangen Sie direkt zum Download
|
|
|
|
 |
|
|
|
|
|
 |
Dipl.-Paed Lars Behrens
Herr Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP / Linux LCP. Herr Behrens hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor.
|
|
 |
|
 |
 |
Mobile Device Management: Würde man heute in einer Statistik einmal märchenhafte Werte von an die 100% erreichen wollen, müsste man nicht - wie in so manchem undemokratischen Staatswesen – erst umständlich Wahlen fälschen. Es reichte bereits, in einem Vertriebsunternehmen mittlerer Grösse nach der Verbreitung von Smartphones zu fragen ... An das Thema Sicherheit denken dabei jedoch zu wenige – wir verraten Ihnen hier, wie Sie mit dem Thema Mobile Device Management beim nächsten IT-Fachgespräch punkten können.
|
|
|
|
|
|
Kennen Sie HTML 5?: Haben Sie gewusst, dass gerade einer der am weitesten genutzten und verbreiteten Standards, der Ihnen beim Betrachten dieser Webseite hilft, inzwischen ein EDV-mässiger Methusalem ist? HTML 4.01 ist ein wenig sehr in die Jahre gekommen - HTML 5 wird das Web von morgen gestalten.
|
|
|
|
|
|
Das Ende der Firewalls?: In der EDV geistern ständig neue Begriffe, Schlagwörter und "Hypes" umher. Kaum ein Fachgebiet ist einem dermassenen Schlagwortwechsel und Trend zur ständigen Erneuerung unterworfen wie die IT-Welt. Nur Tageszeitungen leiden vielleicht noch stärker unter diesem Zwang zur Aktualisierung, gemäss dem Bonmot, dass nichts so alt ist wie die Tageszeitung von gestern … Jedenfalls wirft der Wandel im Nutzungsverhalten der User in heutigen Netzwerken die Frage auf, ob und inwiefern klassische Firewalls noch nützen und schützen.
|
|
|
|
|
|
zeige die ersten 25
|
|
|
|
|
|
|
|
|
