ID Wallet sei laut Sicherheitsforscherin von Grund auf anfällig für Identitätsdiebstahl
Über den Start des ID Wallets in Deutschland hatte Caschy bereits gebloggt. Man gewinnt den Eindruck, es sei ein typisches Projekt des zuständigen Ministers Andreas Scheuer: Der Start verlief mehr als holprig und kurz darauf wurde die ganze Sache auch erst einmal wieder gestoppt. Entwickelt wurde das ID Wallet, um sicher digitale Dokumente zu verwahren – etwa den Führerschein oder auch den Personalausweis. Für die Entwicklung war im Auftrag der Bundesregierung die Digital Enabling GmbH. Nun übt die Sicherheitsforscherin Lilith Wittmann harsche Kritik an der zugrunde liegenden Technik. Sie sei für Identitätsdiebstahl geradezu eine Einladung.
Das zentrale Problem sei, dass Nutzer nicht wirklich überprüfen könnten, wem gegenüber sie sich identifizierten. Das öffne Manipulationen Tür und Tor. Grundlegend erlaubt die App es, einen QR-Code zu scannen und dann die eigenen Identitätsdaten freizugeben. Da beginnen schon die Probleme, so Wittmann. Denn jede Person, die fähig sei, einen QR-Code zur Implementierung des bereits veralteten DIDComm-1-Protokolls zu generieren, könne eine Zugriffsanfrage stellen. Das kann über direkte Anfragen funktionieren. Beispiel: Ihr wollt euch in einem Hotel identifizieren, an der Rezeption macht ihr das über besagtes Scannen des QR-Codes und gebt die Daten frei. Da muss man nicht kreativ sein, um Missbrauchsszenarien zu spinnen: Es genügt, dass der QR-Code an der Hotel-Rezeption ausgetauscht wird und auf einen anderen Server leitet. Schon sind die Daten in fremden Händen.
Neben der direkten Übermittlung gibt es auch die Option eine „Vertrauensbeziehung“ herzustellen. Auch dafür wird ein QR-Code gescannt, aber hier in der Regel von einer Website, und es erscheint eine Anfrage zur Verbindung / Freigabe der Daten. Abermals kann der sich ausweisende Nutzer aber nicht verbindlich nachprüfen, ob er der korrekten Person bzw. Institution seine Daten übergibt. Wittmann ist darüber fassungslos: Auch wenn offline ein angeblicher Polizist nach dem Ausweis frage, lasse man sich ja zuerst dessen Polizeidienstausweis zeigen und zücke nicht direkt persönliche Dokumente.
Zumal beim digitalen Ausweisen eine noch höhere Missbrauchsgefahr bestehe. Seien die Daten einmal entwendet, bekomme man sie nicht zurück. Und dank der Signaturen der Bundesdruckerei könnten Kriminelle wunderbar nachweisen, dass sie korrekte Daten von Menschen gestohlen hätten, was den Verkauf erleichtere. Wittmann geht fest davon aus, dass es lediglich eine Frage der Zeit sei, bis Ausweisdaten aus dem ID Wallet gestohlen und missbraucht würden. Wem dies widerfahre, der könne die Kontrolle über seine Daten nie wieder zurückerhalten.
Im DIDCOM v1 Protokoll sei das Problem von MitM-Attacken nicht ausreichend berücksichtigt. Das sei bekannt, eine Lösung gebe es aber noch nicht. Ein indirekter Lösungsansatz sei, dass sich alle Entitäten, die Zugriff auf Ausweise und andere Daten erhalten wollen, ebenfalls vorher verifizieren müssten – und diese Verifikation für Nutzer des ID Wallets nachprüfbar machen. Hier seien auch unterschiedliche Vertrauens-Stufen denkbar – je nachdem welche Daten bzw. welcher Umfang an Daten abgefragt wird.
Laut Wittman spreche man hier letzten Endes nicht von einer „krassen Sicherheitslücke“, sondern einem grundlegenden Defizite im zugrunde liegenden Protokoll. Das ganze Konzept sei daher in dieser Form quasi nicht zu gebrauchen. Statt an die Arbeit zu gehen und nachzubessern, habe es aber Einschüchterungsversuchen durch die esatus AG (die stehen hinter der Digital Enabling GmbH) und das Bundeskanzler-Amt gegeben. Eine gemeinsame Lösungsfindung sei offenbar nicht gewünscht. Wittmann erinnert hier daran, dass eine digitale Infrastruktur des Staates kein „Nebenbei-Projekt“ sei, das man mal eben PR-wirksam abhake. In Deutschland gebe es das notwendige Wissen, um dies zu bearbeiten. Leider sei das Wissen aber aktuell nicht dort vorhanden, wo es benötigt werde – in der Verwaltung.
Auch sollte man hier nicht mal eben herumprobieren und nach Misslingen neue Ansätze suchen – denn wenn hier etwas schieflaufe, könnten persönliche Daten unwiederbringlich der eigenen Kontrolle entzogen werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Da bin ich mal gespannt, ob sich unter der neuen Regierung etwas tut. Digitalisierung und Datenschutz sind ja zumindest bei der FDP große Themen.
Datenschutz bei der FDP? Du meinst wohl abschaffen ist ein großes Thema. Und Open Data bei diesen Neoliberalen? Da wirds eher darum gehen, dass ihre Buddies die öffentlichen Daten dann verhökern dürfen im Stil von northdata. Aber die Hoffnung stirbt bekanntlich zuletzt.
Ja, es wird eine Anzeige gegen Frau Wittmann geben, wegen Hackings …
Blockchain ist ein super Wort. Wo immer das drauf steht, blockt eine chain jegliches weitere Interesse meinerseits und ich weiß, dass ich einen großen Bogen um das Produkt machen sollte. Blockchain-verwendung ist immer ein sicheres Zeichen, dass es nicht um Sicherheit oder Produktqualität geht, sondern um Bullshitbingo-Punkte beim nächsten Betrüger-Meeting.
Passt xD für mich ist das auch ein absolutes Sperrwort.
Wie viele Steuergelder müssen denn noch verschwendet werden, bis Andreas Scheuer endlich seinen Hut nehmen muss?! Kann man diesen völlig unfähigen Politiker nicht mal irgendwie in Regress nehmen für all den Murks, den er verzapft hat?
Bayern ist sehr zufrieden mit seiner Tätigkeit. Der Herr Söder hat ihn ausdrücklich dafür gelobt das noch nie ein Verkehrsminister vorher soviel Geld nach Bayern geschafft hat.
Du siehst warum er im Amt bleibt.
Ja, Deutschland und seine IT-Projekte… Ein Armutszeugnis für ein Land das mal als ein Land der Spitzentechnologie galt… Ich frage mich ja wieviel Geld Herr Scheuer (oder wer auch immer) den Stümpern da in die Taschen geschoben hat (und wieviel wieder zurückfloss). Anders als mit Korruption und Mauschelgeschäften ist diese Inkompentenz ja nicht mehr zu verstehen… (siehe Luca-App).
Egal was man zur Republik und Online Diensten liest. Man will nur weinen. Wir stehen quasi da, wo die meisten anderen EU Länder 2009/10 waren. Können wir jetzt nicht einfach von den Dänen oder so ihr System lizenzieren und weiterentwickeln. Selber können wir es ja offenkundig eh nicht.
Ich denke schon das es auch in DE gute oder sogar sehr gute Softwareentwickler gibt. Die versteht man aber nicht, wenn es um die Auftragsvergabe der öffentlichen Hand geht. Da sitzen Leute die Mühe haben das Faxgerät richtig zu bedienen. Solche Beamte treffen dann auf hochintelligente Menschen und verstehen maximal Bahnhof. Damit ist Scharlatanen, die den zuständigen Politikern und Beamten ihre Technik näher bringen können, Tür und Tor geöffnet. Ich bin ziemlich sicher, dass die Entscheider auf der politischen Ebene fest davon überzeugt sind das Beste getan zu haben. Es fehlt ihnen eben das know how. Es ist schon irgendwie traurig, wenn man vorschlagen muss Systeme aus dem Ausland zu lizensieren und weiter zu entwickeln.
Die Kompetenz bzw. fähige SW Entwickler und Architekten, Leute mit Ideen sind in Deutschland vorhanden. Auch ist der Bund darum bemüht die Fachkräfte bspw. für das BSI oder ITZ-Bund zu rekrutieren. Das Problem? 1) die Bezahlung. Der öffentlichen Dienst kann mit den Gehältern in der Privatwirtschaft nur schwer mithalten. Da helfen auch die Benefits nicht aus. Würde man die Gehälter attraktiver gestalten, nicht in Stufen einer Entgeltgruppe nach Dienstjahren in die nächste rutschen und nur minimal damit mehr netto in der Tasche haben, dann wären auch diese ein attraktiver für Fachkräfte. 2) Die politischen Entscheidungen und Spielchen, die in den öffentlichen Diensten einhergehen, da bremst jeder den anderen aus persönlichen Machtspielchen und Interessen aus, denn man unterliegt keinem Wirtschaftszyklus oder dem freien Markt, hat also jede Menge Zeit sich mit so was zu beschäftigen und sein Posten zu sichern.
Ich spreche bei beiden Punkten aus persönlicher Erfahrung. 😉
Bin nach 3 Jahren in die freie Wirtschaft gewechselt. Mich wundert gar nix mehr
Hallo , „Es ist schon irgendwie traurig, wenn man vorschlagen muss Systeme aus dem Ausland zu lizensieren und weiter zu entwickeln. warum eigentlich? Zumindest aus dem EU-Ausland finde ich das völlig OK: dafür sind wir doch eine Gemeinschaft , wenn in einem Mitgliedsland etwas besonders gut gelöst worden ist, warum sollen nicht andere daran teilhaben anstatt eigene menschstunden und Geld in eine parallel-Entwicklung zu stecken? Ich hätte kein Problem mit Wahlautomaten aus Estland und einer Ausweis-App aus Dänemark, wenn sie denn zuverlässig funktionieren. Dafür können wir bier und Bratwurst .. smile
Mehr muss man über „Digitalisierung in Deutschland“ nicht wissen. App deinstalliert …
Absoluter Wahnsinn was in Deutschland rund um die Digitalisierung läuft. Wenn man einem Tech-Youtuber aus einem armen Land ein Mini-Budget zur Verfügung stellt, würde der sicherlich etwas besseres auf die Beine stellen.
Wer solche katastrophalen Entscheidungen trifft bzw. Firmen auswählt, muss seinen Hut nehmen und gehen. Die App sieht auch schon nach Neuland aus. Sowas bekommt jeder Hobbyentwickler besser hin. Für die App und Schnittstelle werden sicherlich Unsummen bezahlt.
So sehr die App missraten ist, glaube ich nicht, dass solch eine App „jeder Hobbyentwickler besser hinbekommt“. So eine App muss unterschiedliche Anforderungen erfüllen, vor allem aber auch in der Sicherheit, was die Softwareschmiede selbst ja auch nicht hinbekommen hat. Da muss ein Team aus unterschiedlichen Disziplinen ran, sehr gute Software- und Securityarchitekten, Back- und Frontentwickler, dezidierte Tester, einen erfahrenen Product Owner und Scrum Master.
Wahrscheinlich ist, dass das Projekt ausgeschrieben wurde und die Softwareschmiede mit dem günstigsten Angebot, in diesem Fall die Digital Enabling GmbH, die Ausschreibung gewonnen hatte. Das sind die Regeln des öffentlichen Dienstes. Es kann natürlich auch anders gelaufen sein, halte ich allerdings für unwahrscheinlich.
Es ist wie auf der Baustelle: Nun muss der Gewinn maximiert werden und das erreiche ich durch die Senkung von diversen Kosten, z. B. Personalkosten. Wahrscheinlich ist, dass gewisse Softwareentwicklungsaufgaben an eine andere Firma oder sogar ins Ausland, z. B. nach Indien, vergeben wurde. Eben wie auf den Baustellen, sowohl vom öD als auch privater Wirtschaft, dort werden Gewerke an polnische, bulgarische und manchmal auch rumänische Subunternehmen vergeben. Die Qualität lässt manchmal zu wünschen übrig, nicht, weil die Subunternehmen das nicht können, sondern weil sie ein anderes Verständnis von Qualität haben und häufig nicht alle Richtlinien und Normen kennen. So ähnlich ist das dann eben auch in der Softwareentwicklung.
Junge, was für Flachpfeifen. Da bleibt nur, den ganzen Kram (auch den der noch kommt) wenn überhaupt erst ab Version 10 zu benutzen. Mal ganz abgesehen von der Frage, warum sich der Bund um Hotels und Mietwagenfirmen kümmern muss. Vielleicht mal lieber um Dienstleistungen für den ePerso kümmern? Mit dem kann man bis heute kaum was Sinnvolles anfangen.
SIM Karten freischalten 😉
Wobei ich mich immer mal wieder frage: muß man denn alles digitalisieren, papierlos machen, in Clouds verlagern, bargeldlos und chip-basiert laufen lassen? Die hier so vehement gescholtenen BeamtInnen können Verwaltung. Ganz ohne elektronik haben Verwaltungen und Staatsbetriebe nach dem II Weltkrieg ein land neu aufgebaut , Infrastrukturen geplant, errichtet , finanziert. Klar: ich möchte mein Smartphone oder Spotify nicht mehr missen. Aber ich zahle noch genauso gut mit Bargeld, gehe zum Bürgeramt und erledige die Dinge vor Ort, hole mein Geld in der bank und trage es nicht virtuell in einem chip bei mir , nutze Homebanking um jederzeit – auch Sonntags – mein konto überprüfen zu können , ja, aber viele dinge erledige ich dann eben doch in der Filiale , weil ich da für den Fall der Fälle noch Menschen hab die ich fragen kann. Meine Musik läuft über ein System von vernetzten aktivboxen , aber ich weiß ich kann jederzeit meine Identität mit dinglichen Dokumenten nachweisen, mit Geld notfalls in eine Metallcassette auf dem markt oder von hand zu hand zahlen ohne dass das registriert wird oder auch nur Strom da sein muß. Irgendwie habe ich bei diesem Mix aus „neu“ und „bewährt“, in dem ich selber bestimme was ich wo und wann verwende , ein gutes und sicheres Gefühl. Netz und cloud nicht nutzen zu dürfen ist auch eine Form von persönlicher Souveränität. Daher stehe ich Dingen wie -e-Rezept, e-Perso oder e-Akten solange skeptisch gegenüber wenn es heißt sie sollen die klassischen methoden ersetzen. Nur wenn letztlich ich als Bürger die Freiheit der Wahl habe wie ich zahle, mich ausweise oder etwas beantrage , akzeptiere ich jede technische Innovation. Dass man bestimmte Dinge inzwischen nur online erledigen kann z. B. Terminanmeldungen für KFZ-annmeldungen oder andere Buchung öffentlicher Dienstleistungen enmpfinde ich schon als zuviel der Gängelung, denn ohne PC oder Smartphone kann ich diese Dienstleistung , zu deren Inanspruchnahme ich ja gezwungen bin gar nicht mehr einleiten. So bitte nicht! Insofern ist mir irgendwo klammheimlich recht wenn man lange an den bewärhten methoden der klassichen Verwaltung festhält. Sie funktionieren mit der notwendigen Sorgfalt und personellen Unterfütterung heute so gut wie vor 50 jahren.