COMMUNICATIONS LASER #17

Laser#17 - Fraktal Text Akkumulation => Datenwelt, Netzwelt, Computing und Informationspolitik => Topic started by: Textaris(txt*bot) on November 02, 2005, 08:41:04 AM

Title: [ePass & ePerso... ]
Post by: Textaris(txt*bot) on November 02, 2005, 08:41:04 AM
Quote
[...] Die Kennkarte wurde im Deutschen Reich durch die Verordnung über Kennkarten vom 22. Juli 1938 (RGBl. I S. 913) als „allgemeiner polizeilicher Inlandausweis“ eingeführt.

Kennkarten erhielten auf Antrag alle deutschen Staatsangehörigen, die das 15. Lebensjahr vollendet und ihren Wohnsitz oder ständigen Aufenthalt im Inland hatten. Zuständig für Entgegennahme der Anträge waren die Ortspolizeibehörden, für die Ausstellung die Passbehörden. Die Verwaltungsgebühr für die Ausstellung betrug 3,00 RM; sie konnte in bestimmten Fällen – insbesondere bei Kennkartenzwang – auf bis zu 1,00 RM ermäßigt werden oder ganz entfallen.

[...] In der Bundesrepublik Deutschland bestand seit dem Inkrafttreten des Grundgesetzes  eine Gesetzgebungs-Rahmenkompetenz des Bundes für das Melde- und Ausweiswesen. Auf dieser Grundlage wurden das Bundesgesetz über Personalausweise von 1951 und die Ausführungsgesetze der Länder erlassen. Erst in deren Folge kam es zur endgültigen Ablösung der Kennkarte durch den Personalausweis.

...


Quelle: http://de.wikipedia.org/wiki/Kennkarte (http://de.wikipedia.org/wiki/Kennkarte) (20. September 2010)




-.-

Quote
Berlin (Deutschland), 01.11.2005 – Ab heute gibt es in Deutschland den biometrischen Reisepass (ePass). Damit ist Deutschland eines der ersten Länder der Europäischen Union (EU), das den neuen Pass einführt.

Der neue Reisepass enthält einen RFID-Chip mit dem digitalen Bild des Passinhabers. Ab März 2007 werden auch die Fingerabdrücke der beiden Zeigefinger des Passinhabers als weiteres biometrisches Merkmal aufgenommen. Die RFID-Technik ermöglicht dabei das drahtlose Auslesen der Daten aus dem Pass.

Durch die Aufnahme der biometrischen Merkmale soll die Fälschungssicherheit der Pässe erhöht werden. Dazu Bundesinnenminister Otto Schily (SPD): „Der neue ePass ist ein Sicherheitsgewinn für Deutschland. Er ist noch stärker gegen Fälschungsversuche geschützt und unterstützt künftig die Identitätsfeststellung bei der Grenzkontrolle. Bei der Konzeption der neuen Pässe waren Datenschutz und Datensicherheit ein wichtiges Anliegen. Die Daten auf dem Chip sind sicher gegen unberechtigte Zugriffe geschützt.“

Der Preis des neuen Passes verdoppelt sich: Anstatt der bisherigen 26 Euro kostet der ePass 59 Euro - 37,50 Euro für Personen unter 26 Jahren. Wer noch einen alten Pass besitzt, muss ihn nicht umtauschen. Die alten Pässe behalten ihre Gültigkeit.

Wiederholt hatten Kritiker, darunter der Bundesdatenschutzbeauftragte Peter Schaar, die Einführung der neuen Pässe angegriffen. In einer Pressemitteilung erkärte Schaar: „Mir ist es besonders wichtig, dass die biometrischen Daten tatsächlich nur im Pass selbst und nicht in externen Dateien gespeichert werden. Bisher fehlen internationale Regelungen, die dies sicherstellen.“

Quelle: http://de.wikinews.org/wiki/Ab_heute_biometrischer_Reisepass (http://de.wikinews.org/wiki/Ab_heute_biometrischer_Reisepass) (01.11.2005)

Title: [...da sie in keinerlei Hinsicht die Sicherheit erhöhen]
Post by: Textaris(txt*bot) on August 05, 2006, 01:19:33 PM
Quote
[...] Folgt man den Ausführungen von Unternehmen und Behörden, sind die neuen elektronischen Reisepässe, bei denen Daten auf RFID-Chips gespeichert werden, sicher. Offensichtlich ist dies aber nicht der Fall: Nachdem bereits Anfang des Jahres Mitarbeiter einer niederländischen Sicherheitsfirma im Fernsehen gezeigt hatten, wie sich die zwischen Ausweisdokument und RFID-Lesegerät übertragenen Daten abhören und innerhalb weniger Stunden entschlüsseln lassen, führt ein deutscher Sicherheitsexperte derzeit auf der "Black Hat Briefings and Training USA 2006" in Las Vegas vor, wie die auf den RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können.

"Die derzeitige ePass-Architektur ist ein einziger Hirnschaden", echauffiert sich Lukas Grunwald gegenüber dem Online-Magazin Wired News. "Aus meiner Sicht sind RFID-Pässe eine riesige Geldverschwendung, da sie in keinerlei Hinsicht die Sicherheit erhöhen", erklärt der Geschäftsführer der Hildesheimer DN-Systems, ein auf IT-Sicherheitsprodukte und- Dienstleistungen spezialisiertes Beratungsunternehmen. Grunwald benötigte eigenen Angaben zufolge lediglich zwei Wochen, um herauszufinden, wie sich die elektronischen Daten eines RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen – auch auf Smartcards, die dann für Zutrittsberechtigungen genutzt werden könnten.

Grunwald bediente sich bei seinen Recherchen vor allem aus offiziellen Dokumenten der internationalen Luftfahrtbehörde ICAO, in denen die Systemstandards für ePässe beschrieben sind. Als Lese- und Schreibgerät nutzt der Sicherheitsexperte einen für Grenzkontrollen offiziell zugelassenen RFID-Reader der deutschen ACG Identification Technologies. Als Software kommt das "Golden Reader Tool" (GRT) zum Einsatz, das den Anforderungen der ICAO entspricht. Nachdem Grunwald die Daten eines RFID-Passes mittels dieser Hard- und Software ausgelesen hat, brennt er zunächst das ICAO-Layout auf einen neuen RFID-Tag, sodass die Basisstruktur des Chips den offiziellen Anforderungen entspricht. In einem nächsten Schritt wird der Chip dann über das selbst entwickelte Programm RFDump mit den kopierten Daten gefüttert.

Laut Grunwald erhält man so ein Dokument, das elektronische Pass-Lesegeräte nicht vom Original unterscheiden können. Lediglich Änderungen der Daten (etwa Name oder Geburtsdatum) fallen auf, da diese über Kryptoschlüssel zusätzlich gesichert sind. Straftäter könnten derart manipulierte Pässe aber durchaus nutzen, um an automatisierten Grenzkontrollen eine elektronische Fahndungsabfrage zur eigenen Person zu umgehen. Auffallen würde der Eingriff allerdings, wenn ein Grenzbeamter das Lichtbild und die gedruckten Passdaten mit den auf dem Chip abgelegten digitalen Daten vergleicht. Ziel der Einführung von elektronischen Reisepässen ist aber nicht zuletzt, den Personalaufwand für Kontrollen im Grenzverkehr künftig deutlich einzuschränken.


Aus: "Sicherheitsexperte führt Klonen von RFID-Reisepässen vor" (heise.de; 03.08.2006)
Quelle: http://www.heise.de/newsticker/meldung/76379

Title: [Otto Schilys neuestes Sicherheitsplacebo]
Post by: Textaris(txt*bot) on August 05, 2006, 01:28:07 PM
Quote
[...] Unter Hackern gelten die neuen elektronischen Reisepässe schon lange als Lachnummer, zumindest wenn es um ihre Technik geht. Die "Datenschleuder", offizielle Postille des Chaos Computer Clubs (CCC), nannte die E-Pässe "Otto Schilys neuestes Sicherheitsplacebo".


Aus: "Experte klont Reisepass-Chips" (SPON; 04. August 2006)
Quelle: http://www.spiegel.de/netzwelt/technologie/0,1518,430138,00.html
Title: [...eine ganz kleine Beteiligung]
Post by: Textaris(txt*bot) on August 17, 2006, 12:12:49 PM
Quote
[...] Unterhaching (dpa/lby) - Der frühere Bundesinnenminister Otto Schily hat seine Beteiligung an dem Sicherheitstechnologie-Anbieter SAFE ID Solutions aus Unterhaching bei München verteidigt. «Ich habe eine ganz kleine Beteiligung an dem Unternehmen erworben», sagte der 74-jährige SPD-Bundestagsabgeordnete dem Magazin «Stern». Die genaue Höhe wollte er nicht nennen, sein Anteil sei aber «wirklich minimal».

SAFE ID Solutions hat rund 30 Beschäftigte und bietet die komplette Sicherheitstechnologie rund um die Erstellung elektronischer Pässe an. Deren Einführung in Deutschland hatte Schily als zuständiges Regierungsmitglied vorangetrieben.

Geleitet wird der SAFE ID Solutions-Aufsichtsrat laut «Stern» von dem ehemaligen Infineon-Chef Ulrich Schumacher, der im Verdacht steht, in Schmiergeldzahlungen beim Motorsport-Sponsoring von Infineon verwickelt zu sein. Schily sagte zum «Stern», Schumacher habe ihm «sehr glaubhaft dargelegt, dass an den Vorwürfen nichts dran ist».


Aus: "Schily verteidigt Beteiligung an Sicherheitstechnologie-Anbieter" (16.08.2006)
Quelle: http://www.lvz-online.de/multimedia/drc.html?p=4699_205387.html
Title: [Das Engagement]
Post by: Textaris(txt*bot) on August 19, 2006, 12:19:56 PM
Quote
[...] Das Engagement des früheren Innenministers Otto Schily (SPD) für zwei Biometrie-Firmen beschäftigt jetzt auch die Bundesregierung. Ihr liege eine schriftliche Anfrage des Grünen-Abgeordneten Volker Beck vor, berichtet die 'Welt am Sonntag' (kommende Ausgabe). Beck verlangt Auskunft, welchen Zusammenhang die Regierung zwischen der Entscheidung, biometrische Merkmale in Pässe aufzunehmen, und Schilys Aufsichtsratstätigkeit bei den Firmen sehe und wie sie dies beurteile. An einem der beiden Unternehmen, der SAFE ID Solutions AG, ist Schily mit einem kleinen Aktien-Anteil beteiligt.

"Für solche Tätigkeiten ehemaliger Mitglieder der Bundesregierung braucht es endlich eine Regelung, wie es sie schon seit langem für ausgeschiedene Mitglieder der Europäischen Kommission gibt", sagte Beck. "Wir unterstellen Otto Schily nichts, weil wir ihn als korrekten Menschen kennen, aber die Sache muss aufgeklärt werden", forderte der Grünen-Politiker gegenüber der Zeitung.


Aus:"Schilys Tätigkeit für Biometrie-Firmen beschäftigt die Bundesregierung - Grünen-Politiker Beck verlangt Auskunft" (de.internet.com; 18.08.2006)
Quelle: http://de.internet.com/index.php?id=2044700&section=Topstories

Title: [...als Zünder für eine Bombe]
Post by: Textaris(txt*bot) on August 22, 2006, 11:14:49 AM
Quote
[...] In Deutschland werden bereits seit Ende letzten Jahres Reisepässe ausgegeben, in denen ein Funkchip (RFID) integriert ist: Auf diesem werden derzeit digitale Passfotos gespeichert, ab 2007 sollen zusätzlich die Abdrücke der beiden Zeigefinger hinzukommen. In den USA wird gerade mit der Ausgabe erster ähnlicher Pässe begonnnen, auch hier ist zunächst das digitalisierte Passbild gespeichert, biometrische Merkmale sollen folgen.

Die Pässe sollen vor allem Flugreisen sicherer machen. Es gab jedoch schon Hinweise auf gravierende Lücken im System: So ist es Lukas Grunwald, dem Geschäftsführer der Hildesheimer Firma DN-Systems, gelungen, die in den Pässen verwendeten RFID- Chips zu klonen - Terroristen könnten demnach mit dem Profil eines unbescholtenen Bürgers Kontrollen umgehen.

Doch damit nicht genug: US-Sicherheitsexperten der Firma Flexilis haben sogar schon gezeigt, wie man den US-RFID-Pass als Zünder für eine Bombe benutzen, und dass die Zündung sogar in Abhängigkeit von der Nationalität des Passinhabers erfolgen kann.

Die US-Reisepässe sind zwar gegen heimliches Auslesen durch eine spezielle Beschichtung geschützt, die verhindert, dass die auf dem RFID-Chip gespeicherten Informationen zugänglich sind, wenn der Pass geschlossen ist - allerdings reicht es schon aus, den Pass nur einen Zentimeter weit zu öffnen, um diese Maßnahme zu umgehen.

Laut einer Flexilis-Demonstration, die auch als Video auf Youtube vorliegt, reicht also ein US-Reisepass, der in einer Tasche mit etwas Spielraum transportiert wird, als Bombenauslöser: Ein RFID-Lesegerät aktiviert dabei den Zünder, sobald ein Pass mit Funkchip in unmittelbarer Nähe vorbeigetragen wird. "Gezielte Angriffe auf US-Bürger" würden so ermöglicht, heißt es in dem Video.

Die Fachleute haben nämlich gezeigt, dass es möglich ist, die Nationalität eines RFID-Reisepasses festzustellen und die Zündung einer Bombe wiederum von diesem Kriterium abhängig zu machen: Damit könnten Sprengfallen speziell auf bestimmte Nationalitäten abgestimmt werden, beliebig viele andere Funkchip-Pässe könnten den Nahbereich des RFID-Lesers, der an eine Bombe gekoppelt ist, ohne Folge passieren - der erste US-Reisepass würde allerdings eine Detonation auslösen.


Aus: "" Von Sascha Koesch / Fee Magdanz / Robert Stadler (SPON; 21. August 2006)
Quelle: http://www.spiegel.de/netzwelt/telefonkultur/0,1518,432654,00.html

Video:
RFID Passport Shield Failure Demo - Flexilis
http://www.youtube.com/watch?v=-XXaqraF7pI

Title: [Sicherheitslücken (ePass)]
Post by: Textaris(txt*bot) on October 12, 2006, 12:50:19 PM
Quote
[...] Der neue biometrische Reisepass soll einen Höchststand an Fälschungssicherheit bieten, so die Verantwortlichen. Doch sein Standardwirrwarr, die komplexe Architektur und ein unausgereift wirkendes Konzept seien alles andere als vertrauenserweckend, schreibt das IT-Fachmagazin 'iX' (aktuelle Ausgabe). Der neue elektronische Reisepass enthält neben den klassischen Sicherheitsmaßnahmen einen RFID-Chip, in dem die Daten des Passinhabers einschließlich einer digitalisierten Version seines Lichtbilds gespeichert sind. Diese Informationen, die mit einem speziellen Lesegerät ausgelesen werden, dienen Grenzbeamten zur Überprüfung der Identität des Reisenden.

Verschiedene Verschlüsselungsfunktionen sollen das unberechtigte Auslesen der Passdaten verhindern. Allerdings bietet diese kryptografische Basissicherheit nur wenig Schutz: Denn der Name des Eigentümers, der Geburtstag und die Dokumentennummer reichen aus, um den Pass auszulesen. Diese Informationen, die in der zweiten Zeile der maschinenlesbaren Zone aufgedruckt sind, sind keineswegs geheim. Nicht nur der Inhaber, auch beispielsweise jedes Hotel oder jede Bank, die zur Sicherheit beim Geldabheben gelegentlich die Ausweisnummer in ihrem System hinterlegt, kennen diese Daten. Alle weiteren erforderlichen Informationen stehen in den Stammdaten. So könnten letztlich Unbefugte einen Schlüssel generieren.

[...] Dass man die Daten des neuen E-Passes auch klonen kann, demonstrierte Lukas Grunewald bereits im Sommer dieses Jahres auf der Sicherheitskonferenz Black Hat. Er zeigte, wie man die Daten mit einem selbstentwickelten Werkzeug auslesen, kopieren und auf einen anderen Chip übertragen kann. "All diese Sicherheitslücken sind jedoch nur ein Aspekt beim E-Pass", sagt iX-Redakteurin Ute Roos und verweist auf Biometrie-Probleme wie fehlerhafte Erkennungen.

Aus: "Elektronischer Reisepass birgt Sicherheitsrisiken" (de.internet.com; Mittwoch, 11.10.2006)
Quelle: http://de.internet.com/index.php?id=2045568&section=Security

Title: [Cracked it!... ]
Post by: Textaris(txt*bot) on November 20, 2006, 09:39:56 AM
Quote
[...] "Cracked it!" triumphierte die britische Tageszeitung Guardian. Nur 48 Stunden hatte ein Sicherheitsexperte gebraucht, um an die in einem Mikrochip gespeicherten Informationen zu kommen.
Beinahe drei Millionen Briten tragen die angeblich ultra-sicheren und zum Heimatschutz prädestinierten Pässe bereits bei sich, die ihre persönlichen sowie biometrische Daten in einem Mikrochip enthalten. Obwohl mit 3DES verschlüsselt, das die dreifache Sicherheit eines militärischen Verschlüsselungsstandards bietet, hatte Adam Laurie von der Sicherheitsfirma Bunker Secure Hosting keine Probleme, an die Daten zu kommen. Er erklärte es damit, dass dabei nicht ganz so geheime Informationen zur Schaffung des Schlüssels verwendet wurden. Innerhalb von zwei Tagen gelang es ihm, den Code zu schreiben, der ihn den Inhalt einer "Unterhaltung" zwischen Lesegerät und RFID-Chip im Pass verstehen ließ.
Das Innenministerium wiegelte schnell ab, der Chip enthalte doch nur die Daten, die auch im Pass selbst zu lesen wären. Die Sicherheitsexperten gehen dennoch davon aus, dass ein Pass fälschbar und reproduzierbar wird, sobald man den Chip auslesen kann.


Aus: "Biometrie-Pässe bereits gehackt" von Bernd Kling (17. November 2006)
Quelle: http://de.theinquirer.net/2006/11/17/biometriepaesse_bereits_gehack.html (http://de.theinquirer.net/2006/11/17/biometriepaesse_bereits_gehack.html)

"Cracked it! - Three million Britons have been issued with the new hi-tech passport, designed to frustrate terrorists and fraudsters. So why did Steve Boggan and a friendly computer expert find it so easy to break the security codes?" (The Guardian; Friday November 17, 2006)
Source#2: http://www.guardian.co.uk/idcards/story/0,,1950226,00.html (http://www.guardian.co.uk/idcards/story/0,,1950226,00.html)

Title: [Belgische ePässe ohne Autorisierung auslesbar... (Notiz)]
Post by: Textaris(txt*bot) on June 12, 2007, 10:15:15 AM
Quote
[...] Die in Belgien zwischen Ende 2004 und Juli 2006 herausgegebene erste Generation von Reisepässen mit integriertem RFID-Chip weisen keinerlei Schutzfunktionen auf, um ein unautorisiertes Auslesen zu verhindern. Wie ein belgisches Forscherteam der Catholic University of Louvain aufdeckte, ist es auf sehr einfache Weise möglich, die auf dem Chip gespeicherten Daten vom Besitzer in wenigen Sekunden unbemerkt auszulesen – neben dem Foto auch die digitalisierte Unterschrift des Passinhabers. Eigentlich sollte die von der internationalen Luftfahrtorganisation ICAO vorgeschlagene Basic Access Control (BAC) das unautorisierte Auslesen der Daten durch kryptografische Funktionen verhindern.

Seit Juli 2006 gibt die belgische Regierung Reisepässe mit RFID-Chips heraus, die durch BAC gegen das unautorisierte Auslesen geschützt seien. Allerdings soll sich der Zugriffsschlüssel, der sich aus Geburtstag, Ablaufdatum und Passnummer zusammensetzt und als maschinenlesbarer Code auf dem Pass aufgebracht ist, mehr oder minder leicht erraten lassen, da die Passnummern in steigender Folge vergeben würden und die Gültigkeitsdauer sich auf fünf Jahre beschränke. Ein ähnliches Problem weisen auch die Reisepässe anderer Länder auf; beispielsweise ist beim niederländischen Reisepass die theoretischen Schlüssellänge von 56 Bit auf 35 Bit zusammengeschrumpft, da Ausgabedatum und Passnummer dort linear zusammenhängen.

Besonders prekär an dem nun aufgedeckten Problem sei nach Angaben der Mitglieder der Forschungsgruppe Gildas Avoine, Kassem Kalach, and Jean-Jacques Quisquater, dass der Außenminister Karel De Gucht noch am 9. Januar vor dem belgischen Parlament behauptete, die Daten auf den elektronischen Pässen seien sowohl durch Basic Access Control als auch durch Active Authentication geschützt. Avoine, Kalach und Quisquater fordern nun, dass die Reisepässe der ersten Generation zurückgezogen werden. Für die zweite Generation fordern die Forscher, in den maschinenlesbaren Zugriffsschlüssel Zufallszeichen einzufügen – dazu sei aber offenbar eine Änderung des ICAO-Standards erforderlich. Zudem könne man auch dem amerikanischen Beispiel folgen und den Pass in eine metallene Schutzhülle stecken.

Quote
11. Juni 2007 16:20
Was hab ich euch gesagt?
firedancer (mehr als 1000 Beiträge seit 26.01.01)

Es geht überhaupt nicht um unsere Sicherheit! Nein, es geht um die
"Sicherheit" des Staates: Für Geheimdienste bedeutet "sicher", daß
man uns überwachen kann!

Das war kein zufälliger Fehler. Das war Absicht! Oder glaubt ihr
etwa, Leute, die kryptographische Funktionen in so ein Ding einbauen,
haben keine Ahnung? Und wer glaubt, die Konzepte werden nicht von
Fachleuten des Geheimdienstes geprüft, den halte ich für hoffnungslos
naiv!
Quote
11. Juni 2007 16:48
Re: Was hab ich euch gesagt?
sondermann (115 Beiträge seit 16.01.03)

Der Geheimdienst hätte so oder so Zugriff. Die andere Seite
(Datenschutz) ist nicht unbedingt Absicht, sondern die ist ihnen
einfach sch...egal.

Quote
11. Juni 2007 19:02
Re: Was hab ich euch gesagt?
nossiwenzinger (mehr als 1000 Beiträge seit 05.11.05)

Nichts gegen den belgischen Geheimdienst, aber der gehört bislang
wohl nicht gerade zur Speerspitze totalitärer Bestrebungen in der
Welt.

Gruß
Nossi

Quote
11. Juni 2007 16:18
Find ich gut, weil ...
mopsfidel, heise2006@verbloggt.net (24 Beiträge seit 01.06.07)

.. jede noch so 'dusselige' Verschlüsselung irgendwann gehackt werden
würde. Hacker würden so lange nach einem Lösungsweg suchen, bis er
gefunden ist. Und Hacker sind manchmal sehr kreativ.
Sobald also dann die Verschlüsselung gebrochen wäre, bräuchte es
* womöglich neue Pässe
* tolle Ausreden der Regierung
* notdürftige Erklärungen der beteiligten Firmen

Wo man nichts hacken kann, da gibts auch nichts zu verlieren ;)

PS: ein normaler Pass lässt sich von jedem Handtaschendieb in weniger
als 2 Sekunden klauen. Da merkt es auch keiner.


Quote
11. Juni 2007 16:24
Re: Find ich gut, weil ...
Torsten Fehre, Torsten Fehre (mehr als 1000 Beiträge seit 05.09.03)

mopsfidel schrieb am 11. Juni 2007 16:18

> PS: ein normaler Pass lässt sich von jedem Handtaschendieb in weniger
> als 2 Sekunden klauen. Da merkt es auch keiner.
Aber jeder merkt dann sofort, dass der Pass weg ist und die darin
enthaltenen Informationen womöglich bei einem Unbefugten gelandet
sind. Wenn mein Pass nur kopiert wird, dann merke ich davon NICHTS.

Quote
11. Juni 2007 16:36
Re: Find ich gut, weil ...
firedancer (mehr als 1000 Beiträge seit 26.01.01)

Es gäbe durchaus Möglichkeiten, das so sicher zu machen, daß keiner
ran kommt.

Dieses Problem war kein Versehen! So dumm ist keiner der
Geheimdienste und die Entwickler! Denn die prüfen das Zeug, da kannst
du Gift drauf nehmen! Ich gehe davon aus, daß dieses Problem volle
Absicht war. Zusammen mit den Möglichkeiten, aus mindestens (!) 10
Metern Entfernung einen solchen Pass auszulesen, ergeben sich so
nämlich ganz neue Perspektiven für die Zukunft ---- legal oder nicht
legal, das ist irrelevant: Was gemacht werden kann wird von unseren
Regierungen gemacht werden.



Quote
11. Juni 2007 16:10
In Deutschland...
Andreas Roeschies, Andreas Roeschies (389 Beiträge seit 06.01.00)

..kann so etwas nicht passieren.

Ist klar.

Andreas

Quote
11. Juni 2007 16:58
Anlaufschwierigkeiten
nixXL (mehr als 1000 Beiträge seit 04.11.03)

unwesentlicher Art. Bis ein derart6ig komplexes Projekt reif ist
vergehen schon mal 5-10 Jahre. Ist ja auch nicht so dramatisch, wenn
sich Name etc auslesen läßt; wer hat da schon was davon.

Quote
11. Juni 2007 21:07
Re: Das ist keine Kinderkrankheit
Sascha Leib, Sascha Leib (mehr als 1000 Beiträge seit 14.01.00)

firedancer schrieb am 11. Juni 2007 17:15

> Genausowenig wie ein Auto, bei dem nach 100 Kilometer der Boden
> durchbricht. Das ist ein Konstruktionsfehler schwerster Güte, der
> entweder aus völliger Dummheit oder mit Absicht eingebaut wurde. Ich
> tippe ehrlich gesagt auf letzteres.

Als Kenner der belgischen Bürokratie, kann ich Dir versichern: es war
garantiert ersteres!

:-)

/sascha
(z.Zt. in Belgien)



Aus: "Belgische ePässe ohne Autorisierung auslesbar" (11.06.2007)
Quelle: http://www.heise.de/newsticker/meldung/90962 (http://www.heise.de/newsticker/meldung/90962)


Title: [Sicherheitssimulation... (ePass)]
Post by: Textaris(txt*bot) on August 04, 2007, 11:21:05 PM
Quote
[...] Wer ab November einen neuen Reisepass beantragt, muss nicht nur sein Passbild abgeben, sondern sich auch zusätzlich seine Fingerabdrücke abnehmen lassen. Grund: Im Zuge eines internationalen Abkommens werden diese biometrischen Daten auf den neuen Pässen abgespeichert. Eigentlich sollten nur staatliche Behörden den elektronischen Pass auslesen können – die Sicherheitsmaßnahmen können jedoch offenbar umgangen werden.

Bevor die neuen Pässe auf breiter Front eingeführt werden, hat der Heidelberger Sicherheitsexperte Lukas Grunwald nun den Gegenbeweis angetreten. Ihm ist es nach eigenen Angaben gelungen, die elektronisch abgespeicherten Fingerabdrücke auszulesen.

Lukas Grunwald ist in Sachen E-Pässen kein Unbekannter. Im vergangenen Jahr hat er demonstriert, dass es mit der viel gerühmten Fälschungssicherheit der Pässe nicht allzu weit her ist: Er konnte die Informationen vom Chip eines Passes auf einen anderen Chip übertragen. Eigentlich sollte das unmöglich sein. Die Informationen sind auf den Chips verschlüsselt gespeichert und dürfen nur von staatlichen Behörden ausgelesen werden.

Brisant: Da die elektronischen Pässe berührungsfrei ausgelesen werden können, bemerkt der Ausweisbesitzer nicht unbedingt, wenn auf die Inhalte seines Reisepasses zugegriffen werden. Nicht nur deutsche Pässe sind von der Sicherheitslücke betroffen. Grunwald sagte zu FOCUS Online: „Man müsste das ganze Projekt von vorne neu beginnen.“ Schuld an dem Problem seien die Vorgaben der Internationalen Zivilluftfahrtbehörde, die den Standard für die elektronischen Reisepässe entworfen hat.

Eine weitere Sicherheitslücke macht dem Heidelberger Sicherheitsexperten aber mehr Sorgen: Mithilfe eines manipulierten Chips hat er es geschafft, zwei Ausweisscanner zum Absturz zu bringen. Dies zeigt, dass die Geräte, die an immer mehr Flughäfen zum Einsatz kommen, prinzipiell manipulierbar sind. Statt den Scanner zum Absturz zu bringen, könnten Angreifer die Geräte auf diesem Weg auch umprogrammieren.

Die Bundesdruckerei, die solche Ausweisleser weltweit vertreibt, wollte gegenüber FOCUS Online dazu nicht Stellung nehmen. Das Unternehmen verweist darauf, dass seine Geräte vom Innenministerium und vom Bundesamt für Sicherheit in der Informationstechnik überprüft und zertifiziert worden seien.

Eine Sprecherin des Bundesinnenministeriums dementiert auf Anfrage von FOCUS Online, dass die Daten in den deutschen Reisepässen gefährdet seien: „Durch die umfangreichen Prüfvorschriften, die in Deutschland durch das BSI erstellt werden und auch international Verwendung finden, kann die deutsche Implementation aus Sicht der IT-Sicherheit als führend bezeichnet werden. Die Sicherheit der auszulesenden Daten ist dabei jederzeit gegeben.“ Um die abgespeicherten Fingerabdrücke zu sichern, will die Bundesregierung jedoch bei der zweiten Generation des elektronischen Passes zusätzliche elektronische Sicherheitsmaßnahmen einführen.

Auch die Lesegeräte seien nicht gefährdet: „Eine Kompromittierung der ePass-Leser, die an der deutschen Grenze eingesetzt werden, ist nicht möglich. Ein standardkonformes Lesegerät wird vor dem Anzeigen des Bildes die elektronische Signatur der Passdaten überprüfen“, erklärt die Ministeriumssprecherin. Inwieweit diese Bewertung aufrechtzuerhalten sein wird, bleibt abzuwarten. Grundwald hält es jedenfalls für sehr wahrscheinlich, dass sich mit der von ihm entdeckten Sicherheitslücke zahlreiche weitere Lesegeräte manipulieren lassen. Welche Geräte er konkret getestet hat, will der Sicherheitsspezialist aber bisher nicht verraten.

Der elektronische Pass war von Anfang an umstritten. Das Bundesinnenministerium ist jedoch von der Notwendigkeit des Projekts überzeugt: „Im technologischen Wettlauf gegen organisierte Kriminalität und internationalen Terrorismus haben wir uns damit einen wichtigen Vorsprung verschafft“, erklärte Innenminister Wolfgang Schäuble (CDU) zur Einführung des Passes.

Kritiker sind anderer Meinung. Sie weisen darauf hin, dass die deutschen Pässe auch ohne biometrische Daten sehr fälschungssicher waren. Und tatsächlich konnte die Bundesregierung als Antwort auf eine Parlamentarische Anfrage keinen Fall nennen, in dem ein Terrorist einen gefälschten deutschen Ausweis benutzt haben soll. Der Sprecher des Chaos Computer Clubs, Andy Müller Maguhn, spricht von einer „teuren Sicherheitssimulation ohne Nutzen“ und ruft gar zum Boykott gegen die neuen Pässe auf.

Quote
Jogi78 | 503 Kommentare (04.08.2007 11:31)
Otto Schily...
musste den elektronischen Pass einführen. Sonst hätte es keinen Posten im Aufsichtsrat der Herstellerfirmen gegeben. Im Ernst, dieser Pass ist schon von Beginn an ein Flop.

Quote
aufwachen | 240 Kommentare (03.08.2007 19:33)
Die Angst vor dem eigenen Staatsapparat
Alles wäre nur halb so schlimm, wenn es nur der manipulierbare Reisepass wäre. Es sind aber alle zentral gespeicherten Daten, die manipulierbar sind. Angefangen von der Krankenkasse, zum Finanzamt, bis zu den Bankkonten. Jede weitere Zusammenführung der Daten führt zu neuen Manipulationsmöglichkeiten. Es stellt sich letztlich die Frage, ob durch die zentale Speicherung von Daten, die Angst vor dem eigenen Staatsapparat nicht größer sein muß, als vor irgendwelchen Terroristen.

Quote
Gast (03.08.2007 19:04)
DVDs haben auch einen Kopierschutz
Die Wirksamkeit ist sogar per Gesetz festgeschrieben, man darf ihn nicht überwinden - aber hindert das die Millionen von Usern daran, es dennoch zu tun? Die Sicherheit des Passes mit einer Zertifizierung zu begründen, ist Schwachsinn. Die "richtigen" Leute wissen bestimmt schon lange, wie sie als Lieschen Müller durch die Kontrollen kommen. Peinlich und hochgefährlich!

Quote
GB (03.08.2007 18:11)
Kurz und bündig:
Ich lach mich tot !


Aus: "Sicherheitslücken - Deutscher knackt elektronischen Reisepass" Von Torsten Kleinz
Quelle: http://www.focus.de/digital/computer/sicherheitsluecken_aid_68760.html (http://www.focus.de/digital/computer/sicherheitsluecken_aid_68760.html)

Title: [Der elektronische Personalausweis.. (Notizen)]
Post by: Textaris(txt*bot) on September 24, 2007, 02:53:24 PM
Quote
[...] Einführung des elektronischen Personalausweis:

Ab Ende 2009 sollen möglicherweise neue Personalausweise vergleichbar mit dem seit 1. November 2005 ausgegebenen ePass ausgestellt werden.  Dieser soll dann neben personenbezogenen Daten auch die Möglichkeit bieten, sich mittels qualifizierter elektronischer Signatur (gespeichert auf dem integrierten Chip) und einem besonderem Lesegerät über das Internet elektronisch auszuweisen. Dabei soll der Inhaber volle Kontrolle über seine personenbezogenen Daten behalten.

Es ist keine Umtauschpflicht für dann noch gültige Personalausweise geplant. Erst bei Ausstellung eines neuen Personalausweises wird dieser dann nur noch in der neuen Form ausgegeben. Die Einführung eines elektronischen Personalausweises wird schon seit mehreren Jahren erwogen, wie eine Kleine Anfrage im Bundesparlament aufzeigt.


Aus: "Personalausweis" (Stand: 24.09.2007)
Quelle: http://de.wikipedia.org/wiki/Personalausweis (http://de.wikipedia.org/wiki/Personalausweis)

-.-

Quote
[...] Innenexperten von Union und SPD haben Kritik an dem geplanten elektronischen Personalausweis zurückgewiesen. "Dass Bürger erkennungsdienstlich behandelt werden sollen, ist kompletter Unfug", sagte SPD-Innenexperte Dieter Wiefelspütz der Leipziger Volkszeitung. Es würden sich wieder einmal "die üblichen Bedenkenträger" zu Wort melden, fügte er hinzu. Ähnlich äußerte sich der CDU-Innenexperte Clemens Binninger. Von einer "Totalerfassung", wie sie Grüne und Linke der Koalition vorwürfen, könne keine Rede sein.

[...] Der Bundesbeauftragte für den Datenschutz, Peter Schaar, befürchtet daher eine Totalerfassung aller Fingerabdrücke. Er sehe die Aufnahme der Fingerabdrücke in die elektronischen Personalausweise kritisch, da die Union bereits in der heftigen Debatte um die zweite Generation des biometrischen Reisepasses die zentrale Vorhaltung der Fingerabdrücke auch in den Personalausweisregistern gefordert habe. Zudem gebe es bei den Personalausweisen auch keine europarechtliche Verpflichtung zur Einführung biometrischer Merkmale.

Quote
24. September 2007 9:18
Und in ein paar Jahren heißt es dann
Snoozel (386 Beiträge seit 08.06.06)

"Es wäre schwachsinn die Fingerabdruckdaten in den Meldeämtern zu
erfassen und diese dann nicht für die Straftat- und Terroraufklärung
und Prävention zu nutzen".

Genauso wie bei dem Thema Mautdaten halt.

Quote
24. September 2007 9:33
Seid Ihr alles Terroristen...
Sturmbarth (326 Beiträge seit 15.05.02)

...oder warum habt Ihr so große Angst davor?

Das größte Unding überhaupt ist, dass (wie) auch heute schon
Personalausweis und Reisepass gebührenpflichtig sind.

Ach ja, und was macht man eigentlich nach einer Handtransplantation?


Quote
24. September 2007 10:34
"Dass Bürger erkennungsdienstlich behandelt werden sollen...
Sarcan (261 Beiträge seit 23.09.02)

... ist kompletter Unfug"

...vielleicht bin ich ja ein wenig unbedarft in der Hinsicht, aber
Wikipedia sagt mir unter 'Erkennungsdienstliche Behandlung':
"Eine erkennungsdienstliche Behandlung Behandlung ist die
Durchführung der Erhebung von persönlichen und biometrischen Daten
einer Person."
"Erhoben werden :
  • Vorname, Familienname, Wohnort, andere Daten aus Ausweisen und

Reisepässen,
  • Alter bzw. Geburtsdatum,
  • Lichtbilder (Fotos),
  • Körperhöhe, Körpergewicht,
  • besondere körperliche Merkmale (wie Narben, Tätowierungen),

[ ]Tonaufnahmen des gesprochenen Wortes,
  • Fingerabdrücke aller 10 Finger, (machts einen Unterschied, obs

einer oder 10 sind?)
[ ]DNA-Abstrich (Mundhöhlenabstrich), nur freiwillig, auf
richterliche Anordnung oder bei bestimmten Straftaten (siehe auch
DNA-Analyse, Genetischer Fingerabdruck, Speichelprobe)"

Ich würde fast meinen, dass wir da ziemlich nahe dran sind, oder?

Quote
24. September 2007 13:22
Sogar Polizisten sagen, daß das erkennungsdienstliche Behandlung ist
Deep_Thought (mehr als 1000 Beiträge seit 07.10.05)

Einhellige Meinung der Polizisten in meinem Freundeskreis:
Fingerabdruck in den Personalausweis heißt erkennungsdienstliche
Behandlung des ganzen deutschen Volkes.

[...]




Aus: "Koalitionsexperten weisen Bedenken gegen elektronischen Personalausweis zurück" (24.09.2007)
Quelle: http://www.heise.de/newsticker/meldung/96404 (http://www.heise.de/newsticker/meldung/96404)
Title: [Eine Totalerfassung aller Fingerabdrücke.. (Notizen)]
Post by: Textaris(txt*bot) on September 24, 2007, 02:56:40 PM
Quote
[...] Wiefelspütz sagte der „Berliner Zeitung“, der E-Ausweis solle auch einen PIN-Code erhalten, damit Bürger über das Internet Verwaltungsangelegenheiten, etwa das Ummelden des Autos, erledigen könnten. Ersten Berechnungen zufolge soll der elektronische Ausweis rund 9,90 Euro kosten.

Datenschützer Schaar sagte dem „Kölner Stadt-Anzeiger“: „Die Speicherung des Fingerabdrucks im Personalausweis sehe ich sehr kritisch.“ Es gebe keine europarechtliche Verpflichtung, das zu tun. „Im Unterschied zu den Pässen betreffen die Personalausweise alle, die über 16 Jahre alt sind. Das würde bedeuten, dass wir eine Totalerfassung aller Fingerabdrücke bekämen.“

[...] Erwogen wird, dass mit dem Ausweis-Code Geschäfte über das Internet erledigt werden können. Zudem ist daran gedacht, auf diese Weise den Jugendschutz zu garantieren - etwa sicherzustellen, dass beim Waffenkauf der Käufer auch über 18 Jahre ist oder Jugendliche nicht Chat-Rooms für Erwachsene benutzen. „Mit dem Personalausweis soll auch die Sicherheit für Verbraucher im Internet erhöht werden“, sagte Wiefelspütz.

Schaar hält eine elektronische Signatur und einen PIN-Code auf den Ausweisen „grundsätzlich für eine gute Idee. Denn wir haben es heute mit der Tatsache zu tun, dass im Internet häufig gefälschte oder gestohlene Identitäten verwendet werden und dass Betrüger Geschäfte zu Lasten Dritter ausüben und diese schädigen, etwa bei Internetauktionen.“


Aus: "Kritik am elektronischen Personalausweis" (HANDELSBLATT, Sonntag, 23. September 2007)
Quelle: http://www.handelsblatt.com/News/Politik/Deutschland/_pv/_p/200050/_t/ft/_b/1326932/default.aspx/kritik-am-elektronischen-personalausweis.html (http://www.handelsblatt.com/News/Politik/Deutschland/_pv/_p/200050/_t/ft/_b/1326932/default.aspx/kritik-am-elektronischen-personalausweis.html)
Title: [Folgt man den Argumenten... (Notizen)]
Post by: Textaris(txt*bot) on September 24, 2007, 04:12:04 PM
Quote
[...] Bei heftigen rechts- und innenpolitischen Diskussionen über das neue Passgesetz wurde erst vor wenigen Monaten das ursprüngliche Vorhaben verhindert, diese biometrischen Daten zentral zu speichern, sie abrufbereit und dem polizeilichem Zugriff jederzeit offen zu halten.

Das Argument, das schließlich auch die SPD (aber nicht die CDU/CSU) überzeugte, lautete: Man kann mit dem unbescholtenen Bürger nicht wie mit einem Verbrecher umspringen. Das neue Passgesetz gibt nun den Online-Zugriff auf die Passbilder nur für die Polizeibehörde frei, die für den Meldeort zuständig ist. Ein Staatsspeicher für die Fingerabdrücke existiert nicht.

Nun aber kommt die alte Diskussion, kommen die alten Begehrlichkeiten wieder hoch - diesmal, noch heikler, für den Personalausweis. Auf dem geplanten elektronischen Personalausweis, den es, scheckkartengroß, ab Ende 2009 geben wird, sollen nach den Plänen der Fachpolitiker von Union und SPD unsichtbar auch die digitalisierten Abdrücke des rechten und linken Zeigefingers gespeichert werden. Der elektronische Personalausweis ist Teil des vom Bundeskabinett vor einem Jahr beschlossenen Programms zur Modernisierung der Bundesverwaltung.

Der Ausweis soll, im Zuge dieser Verwaltungsmodernisierung, auch einen PIN-Code enthalten, damit künftig via Internet Verwaltungsangelegenheiten erledigen werden können, etwa das Ummelden eines Autos; dieser PIN-Code, so heißt es, könne auch private Geschäfte, etwa das Online-Banking, einfacher und sicherer machen. Der Bundesdatenschutzbeaufragte Peter Schaar hält diesen Code "grundsätzlich für eine gute Idee".


Gegen die geplante Speicherung der Fingerabdrücke dagegen läuft er Sturm: Er befürchtet "eine Totalerfassung aller Fingerabdrücke". Es könnten Groß-Dateien entstehen, die nicht nur die Begehrlichkeiten staatlicher, sondern auch privater Stellen und von Kriminellen wecken würden. Es ist in der Tat ein Erfahrungssatz: Wenn Daten da sind, werden sie auch genutzt und missbraucht.

Einen Pass braucht man nur für große Reisen, man muss sich also keinen ausstellen lassen; der Digitalisierung kann man so entgehen. Der Besitz eines Personalausweises dagegen ist für jeden Deutschen über 16 Jahre Pflicht. Deshalb ist mittels elektronischem Fingerabdruck und digitalisiertem Bild tatsächlich eine Gesamterfassung fast aller strafmündigen Bürger möglich. Das macht die Bedenken, welche die Datenschützer schon beim elektronischen Pass hatten, noch akuter.

Ausgangspunkt für die Speicherung von biometrischen Daten in Ausweispapieren waren rot-grüne Koalitionsvereinbarungen in den Jahren 2001 und 2002. Damals wurde gefeixt, die Grünen hätten die "Biometrie" nur deshalb für sinnvoll gehalten, weil darin das Wort "Bio" vorkommt.


Quote
23.09.2007  21:47:17
OttoX: Demokratische Totalüberwachung

Folgt man den Argumenten von Schäuble, Merkel und Co so ist eine Totalüberwachung kein Problem, wenn sie "demokratisch kontrolliert", d.h. durch von den Blockparteien CDUSPDGrüneFDP ernannte Gremien gesteuert wird. Das Problem mit der überwachung ist aber gerade, daß sie benutzt werden kann und wird, zur Erhaltung der Macht dieser Parteien im großen Stil Operationen gegen Oppositionelle auszuführen, die heute wegen des damit verbundenen Risikos noch nicht möglich sind. (Nicht daß es trotzdem schon gemacht wird, wie beim Verbotsprozeß gegen die NPD deutlich wurde.)

Auch wirkt das Wissen, daß die Mächtigen jederzeit über alle Aktivitäten im Bilde sind, als Abschreckung jeglicher Opposition. Wenn erst ein paar Exempel statuiert sind, überlegt sich jeder, ob er sich durch Widerspruch zur hilflosen Zielscheibe der überwacher macht. Aber selbst wenn Mutter Theresa an der Spitze dieses überwachungsstaates stände, würde er Angst vor Repressionen erzeugen und die freie politische Meinungsäußerung behindern. Denn wenn die heutigen Machthaber nichts gegen den Aufmüpfigen tun, wer weiß was die nächsten mit den gesammelten Daten anstellen?



Aus: "Elektronischer Personalausweis: Schlimme Finger" - Der geplante neue Personalausweis weckt die Angst vor einer Totalerfassung - es könnten Groß-Dateien entstehen, die nicht nur die Begehrlichkeiten staatlicher, sondern auch privater Stellen und von Kriminellen wecken würden.  Von Von Heribert Prantl (SZ vom 23.9.2007)
Quelle: http://www.sueddeutsche.de/deutschland/artikel/559/134304/ (http://www.sueddeutsche.de/deutschland/artikel/559/134304/)

Title: [dass diese Maßnahme verantwortbar sei.. (Notiz)]
Post by: Textaris(txt*bot) on October 10, 2007, 02:32:29 PM
Quote
[...] Zur Aufnahme von digitalisierten Fingerabdruckbildern in den Personalausweis sagte der SPD-Innenpolitiker Dieter Wiefelspütz dem Tagesspiegel, dass diese Maßnahme verantwortbar sei. Er machte allerdings zur Bedingung, dass es keine Zentraldatei mit den Fingerabdrücken der unbescholtenen Bevölkerung geben darf.

Zur eindeutigen Identifizierung und Authentifizierung sei zwar ein digitales Foto gut, "aber ein Fingerabdruck noch besser". Der SPD-Innenexperte Fritz-Rudolf Körper stimmte ihm zu: "Die Linie ist klar: die Fingerabdrücke ja, auf keinen Fall eine Datei", sagte er dem Tagesspiegel.

Und auch der Justiziar der SPD-Bundestagsfraktion Klaus-Uwe Benneter, der der Fingerabdruck-Maßnahme bislang kritisch gegenüberstand, sagte gegenüber dem Tagesspiegel: "Ich möchte sicher sein, dass es keine technische Möglichkeit gibt, später doch noch eine Datei zu erstellen. In Abwägung der Vorteile, die so ein Dokument hätte, könnte ich mir vorstellen, dass wir uns darauf verständigen können."

Für die Union sagte zu dieser SPD-Bedingung der Innenexperte Hans-Peter Uhl (CSU): Zwar "wäre es unser Wunsch, den Fingerabdruck bei der ausgebenden Behörde zu speichern". Doch angesichts der Haltung der Sozialdemokraten habe man die Forderung zurückgestellt. "Das ist kein Kampfthema zwischen uns und der SPD."

Der neue Personalausweis, der ab Ende 2009 kommen soll, ist erstmalig im Scheckkartenformat gehalten und enthält einen RFID-Chip zum kontaktlosen Auslesen. Zwei Fingerabdrücke sowie ein biometrisch nutzbares Passfoto sollen digital gespeichert werden.

Eventuell soll der Personalausweis auch für eine Authentifizierungsmöglichkeit genutzt werden können, beispielsweise beim Kontakt mit Behörden über das Internet. Optional soll dazu eine Pin und eine digitale Signatur eingebaut werden. Dies könnte beispielsweise beim Einkauf von Waffen, Alkohol und anderen Substanzen die Altersverifikation oder auch die Speicherung der Käuferdaten erleichtern, wenn diese gesetzlich vorgeschrieben sind. (ck)


Quote
wurde ja auch langsam zeit:
die generelle speicherung der fingerabdrücke von jugendlichen ist ein anliegen welches schon vor langer zeit vorgetragen und jetzt hoffentlich umgesetzt wird. mit den richtigen politikern an der hand ist jetzt der zeitpunkt gekommen, diese sinnvolle idee endlich in die realität umzusetzen.
nicht nur, dass damit die sicherheit erhöht wird, gleichzeitig kann man so ein system zur optimalen kontrolle von kriminellen jugendlichen aufbauen. das war auch schon lange erforderlich, bei den zahlen der gewaltentwicklung, wie man sie bspw. in schlechten städten wie berlin, hamburg, bremen, leipzig, düsseldorf u.a. städten sehen kann.
glücklicherweise hat bspw. das bessere bundesland bayern seit gestern einen guten, neuen ministerpräsidenten, der weiss, welche wichtigkeit dieses anliegen hat.

Quote
[...]  damit sie auch genug spuren finden empfehle ich:

inhalt der müllsäcke aus dem bundestag oder -rat
(dna fähiges material kippen, haare, tempotücher etc.)

dann wird es lustig

ich liebe es bei der geburt eines polizeistaates dabei
sein zu dürfen
zyn off




Jläbbischer schrieb:
-------------------------------------------------------
> Ich will nicht wissen, wie viele ungeklärte
> Verbrechen plötzlich aufgeklärt werden können,
> weil unerkannte Einbrecher, Mörder, Vergewaltiger
> und Co nichtsahnend ihren Abdruck abgeben...
>
> Das ist wohl einer der wenigen guten Gründe für
> den Fingerabdruck. Wenn es denn rechtlich erlaubt
> ist, dass das BKA mal kurz einen Datenabgleich
> macht.


Aus: "Bevölkerung ab 16 soll für Perso Fingerabdrücke abgeben" (Networld / 09.10.2007 / 17:51)
Quelle: http://www.golem.de/0710/55267.html (http://www.golem.de/0710/55267.html)

Title: [Eine bisher nur Verbrechern vorbehaltene Maßnahme... (ePass)]
Post by: Textaris(txt*bot) on October 17, 2007, 10:52:29 AM
Quote
[...] Das eigentliche Ziel der "Sicherheitshysteriker" offenbart für den CCC die von der SPD bislang abgeschmetterte Forderung der Union nach Speicherung der sensiblen biometrischen Daten bei den ausgebenden Behörden. "Die Beteuerungen deutscher Politiker, die Fingerabdrücke würden nicht zentral gespeichert, haben angesichts der maßlosen Datengier des Staates nicht mal mehr Unterhaltungswert", fürchtet Engling. "Jetzt zu behaupten, dass es keine zentrale Biometriedatei geben werde, ist eine vorsätzliche Täuschung des Bürgers." Mit der unlängst in Eckpunkten beschlossenen Einführung der biometrischen Personalausweise werde der Kurs trotz der bekannten Sicherheitslücken fortgesetzt. Eine bisher nur Verbrechern vorbehaltene Maßnahme treffe dann die gesamte Bevölkerung.   

Quote
16. Oktober 2007 18:15
Der CCC hat schon immer Anarchie propagiert.
Ming Jung, mingjung@gmx.eu (185 Beiträge seit 30.04.07)

Chaos ist ja schliesslich Teil seines selbstgewählten Namens.

Ich nehme diese selbsternannten Weltverbesserer in keinster Weise
ernst.


Quote
16. Oktober 2007 18:07
Schilys Vermächtnis
Mit_linux_wär_das_nicht_passiert (mehr als 1000 Beiträge seit 16.11.01)

Danke, Otto Schily! Seine Pension zahlt der Steuerzahler und die wird
kräftig durch die Aufsichtsratsposten von Byometric Systems AG und
Safe ID Solutions AG aufgebessert, die, so ein Zufall!, RFID-Chips
für die neuen Ausweisdokumente herstellen.

Ich spucke auf korrupte Politiker!

Mein Reisepass ist am letzten Tag ausgestellt, an dem es noch ohne
maschinenfreundliches Bild und RFID ging und das war kein Zufall. Ich
bin mir sicher, dass das bald bereits ein Verdachtsmoment sein wird.

Ende des Jahres wirds dann Zeit, meinen letzten Perso ohne RFID zu
beantragen.

Quote
[...] Otto Georg Schily (* 20. Juli 1932 in Bochum) ist Rechtsanwalt und ein deutscher Politiker (SPD). Von 1998 bis 2005 war er Bundesminister des Innern.

[...] Otto Schily wurde nach seiner Zeit als Bundesinnenminister Aufsichtsrat bei den Firmen Byometric Systems AG (Mitterfelden) [3] und SAFE ID Solutions AG (Unterhaching) [4]. Diese Firmen bieten biometrische Lösungen bzw. Lösungen zur Personalisierung von Ausweisdokumenten an. Seine Tätigkeit für diese Firmen ist umstritten, denn als Bundesinnenminister war Otto Schily ein maßgeblicher Wegbereiter der Einführung des kontrovers diskutierten biometrischen Reisepasses (epass), von dessen Einführung seine nunmehrigen Arbeitgeber in erheblichem Maße wirtschaftlich profitieren.

[...] Am 28. Oktober 2005 wurde Schily mit dem Negativpreis Big Brother Lifetime Award 2005 ausgezeichnet. Gewürdigt wurde er „für den Ausbau des deutschen und europäischen Überwachungssystems auf Kosten der Bürger- und Freiheitsrechte und für seine hartnäckigen Bemühungen um die Aushöhlung des Datenschutzes unter dem Deckmantel von Sicherheit und Terrorbekämpfung“. Schily hatte die Auszeichnung bereits 2001 für den ersten „Otto-Katalog“ erhalten.

Quelle: [http://de.wikipedia.org/wiki/Otto_Schily] (17.10.2007)



Quote
16. Oktober 2007 19:28
DIY-RFID-Detektor
hackedgadget (63 Beiträge seit 24.09.07)

Wers noch nicht kennt:

> http://href.to/Da2
[http://lazybone.mtox.de/blog/2007/07/16/rfid-scanner-detektor-armreif/]

Funktioniert in der Tat. (selbst probiert)

Quote
16. Oktober 2007 21:24
Ausweis Version 4. Reich
super_hans1986 (158 Beiträge seit 13.09.07)

Anders kann ich das nicht umschreiben. Jegliche Vernunft und Kritik
wurde erfolgreich ignoriert und der Wille des Volkes ist ein Relikt.
Der Ausweis ist mittlerweile ein Produkt eines neurotischen,
perversen Industriestaates des 21. Jahrhunderts, dessen größte Angst
die kritische Masse von mündigen Bürgern ist.


Aus: "CCC warnt vor Risiken und Nebenwirkungen des neuen Reisepasses" (Stefan Krempl) / (pmz/c't) (16.10.2007)
Quelle: http://www.heise.de/newsticker/meldung/97484 (http://www.heise.de/newsticker/meldung/97484)


Title: [Machtphantasie vom kollektiven Verbrecheralbum (Notiz, ePass)]
Post by: Textaris(txt*bot) on October 31, 2007, 11:52:06 AM
Quote
[...] Staatliche Akteure haben in sicherheitspolitischer Hinsicht längst nicht mehr primär den Schutz unbescholtener Bürger im Sinn, sondern sprechen einen Generalverdacht gegen die gesamte Bevölkerung aus. Auch wenn Bilder bzw. biometrische Personendaten nicht in einer zentralen Datei gespeichert werden dürfen, ist der ePass doch ein weiterer Schritt auf dem Weg zur Verwirklichung der Machtphantasie vom kollektiven Verbrecheralbum.


Aus: "Bilder im Staatsdienst oder: Der ePass kommt" Von Christoph Bieber und Benjamin Drechsel (TP, 29.10.2007)
Quelle: http://www.heise.de/tp/r4/artikel/26/26493/1.html (http://www.heise.de/tp/r4/artikel/26/26493/1.html)
Title: [Kritik und Zustimmung zum ePass... ]
Post by: Textaris(txt*bot) on November 02, 2007, 11:03:24 AM
Quote
[...] Die Einführung des elektronischen Reisepasses der zweiten Generation wird von zahlreichen Stellungnahmen begleitet. Im RBB Inforadio warnte Peter Schaar, Bundesbeauftragter für den Datenschutz, davor, den neuen Pass als Testlauf für den elektronischen Personalausweis zu sehen. Fingerabdrücke würden sonst flächendeckend erfasst.

In einem weiteren Interview mit der Süddeutschen Zeitung zeigte sich Schaar bestürzt über die zunehmende Datensammelwut eines Staates, der sich auf dem besten Weg in eine Misstrauensgesellschaft befinde. In diesem Zusammenhang warnte Schaar erneut vor der Vorratsdatenspeicherung als Maßnahme mit einer unzulässigen Streubreite, weil praktisch jeder vom Kindergarten an erfasst werde. Die FDP-Fraktions-Innenexpertin Gisela Piltz bemängelte an der neuen Version des ePasses: "Früher wurden Fingerabdrücke nur von Verbrechern genommen." Es sei "nur eine Frage der Zeit", bis Angreifer die Kontrollen überwinden.

Die Maßnahme der Hansestadt Lübeck, ihren Bürgern den Erwerb einer schützenden Alu-Hülle anzubieten, ist nicht ohne Widerspruch geblieben. Ein BKA-Sprecher dementierte die in Lübeck verbreitete Behauptung, BKA-Chef Jörg Ziercke würde seinen Pass in dieser Weise schützen. Ziercke lege Wert auf die Feststellung, dass er seinen Ausweis nicht in einer Schutzhülle trage, weder aus Plastik noch aus Alufolie. Ziercke sehe zu solchem Verhalten keinerlei Veranlassung, betonte der BKA-Sprecher. Zustimmung zum neuen ePass kam auch vom Vorsitzenden der Polizeigewerkschaft, Konrad Freiberg. Gegenüber dem MDR Inforadio erklärte Freiberg, dass Fälschungen nun weitestgehend ausgeschlossen seien. Freiberg verwies dabei auf den Zusammenhang von Menschenhandel und Passmissbrauch.

Quote
1. November 2007 16:57
Nur zur Erinnerung: Ganze 6 gefäschte Pässe seit 2001
choke, choke@gawab.com (mehr als 1000 Beiträge seit 16.02.01)

Hier unter Punkt 2 nachzulesen:
http://dip.bundestag.de/btd/16/055/1605507.pdf

Es gab also seit 2001 genau 6 gefälschte Pässe und 344 Verfälschungen
(was auch den stümperhaften Einsatz von Stiften umfassen dürfte). Und
das bei 28.200.000 Pässen, die sich im Umlauf befinden.

Herr Freiberg zum Thema: "Fälschungen sind nun weitestgehend
ausgeschlossen". Nun, das waren sie auch schon vorher, wie es
scheint. Wozu also der ganze Zinnober?

Quote
1. November 2007 17:17
Re: Nur zur Erinnerung: Ganze 6 gefäschte Pässe seit 2001
MarcelChemnitz (625 Beiträge seit 07.03.06)

choke schrieb am 1. November 2007 16:57

> Wozu also der ganze Zinnober?

Machterhalt, Überwachung, Gängelung der Bevölkerung (die meisten
finden es ja toll!), etc.. Mal dir was aus, wie es weitergehen wird.

Quote
1. November 2007 22:32
Ganze 6 gefäschte Pässe seit 2001 - *festgestellte*
Mäusespeck (mehr als 1000 Beiträge seit 02.06.06)

kwT


Quote
1. November 2007 23:41
Nüchterner Beitrag vom D-Radio
Matty24 (155 Beiträge seit 26.03.02)

Hier eine (seltene) gute und nüchterne Berichterstatung
vom D-Radio:

> http://ondemand-mp3.dradio.de/file/dradio/2007/11/01/dlf_20071101_1905_fd677846.mp3 (http://ondemand-mp3.dradio.de/file/dradio/2007/11/01/dlf_20071101_1905_fd677846.mp3)



Aus: "Kritik und Zustimmung zum ePass" (01.11.2007)
Quelle: http://www.heise.de/newsticker/meldung/98343 (http://www.heise.de/newsticker/meldung/98343)
Title: [Den hochsicheren Personalausweis noch sicherer machen.. (Notiz, BRD)]
Post by: Textaris(txt*bot) on November 22, 2007, 09:53:56 AM
Quote
[...] Die neuen biometrischen Personalausweise, die von der Bundesregierung ab dem Jahr 2009 vorgesehen sind, sollen nicht nur ein biometrisches Foto, sondern auch die Fingerabdrücke in digitaler Form gespeichert haben. Begründet wird dies vor allem mit einer höheren Fälschungssicherheit der Personalausweise. Wie die Bundesregierung auf eine Anfrage der Linksfraktion nun zugeben musste, wurden in den Jahren 2001 bis Ende 2007 praktisch keine Fälschungen der aktuellen Personalausweise verzeichnet.

Den Angaben der Bundesregierung zufolge seien vom 1. Januar 2001 bis zum 30. September 2007 88 Totalfälschungen und 128 Verfälschungen von alten nichtbiometrischen Personalausweisen registriert worden. 62 Millionen Personalausweise befinden sich derzeit im Umlauf.

Der Bundesregierung sind auch keine Fälle bekannt, in denen seit dem Jahr 2000 bei der Planung und Durchführung von Terroranschlägen gefälschte deutsche Personalausweise eine Rolle spielten.

Die Bundesregierung geht davon aus, dass die Daten auf den Ausweis-Chips sicher gespeichert sind. Sie entsprächen den von BMI und BKA definierten Sicherheitsanforderungen und seien auch besonders gegen Fälschung und Verfälschung gesichert. Zum Ändern der Daten muss sich die Stelle vorab als änderungsberechtigt gegenüber dem Chip ausweisen.

Alle zum Einsatz kommenden kryptographischen Verfahren und Schlüssellängen seien so gewählt, dass ein unberechtigtes Ändern von Daten ausgeschlossen werden könne, heißt es in der Antwort der Bundesregierung lapidar. (ad)

Quote
Autor: auch ein Verdächtiger
Nach dem was bisher bekannt wurde, haben alle islamistsiche Terroisten echte gültige Ausweise benutzt.
Inhaber von echten Ausweisen sind demnach alle verdächtig und ist es auch klar, dass sie wie alle Verdächtigen erkennungsdienstlich behandelt
werden müssen.
Außerdem sind Fingerabdrücke in Ausweisen nichts neues. Bei Hitler und Franko hat es das ja auch schon gegeben.


Quote
Autor: dsafawer222
DER HAT AUCH NICHTS ZU BEFÜRCHTEN!!!

Die getroffenen bellen immer am lautesten.

Quote
Autor: michel foucault
Kann es sein das wir in einer Gesellschaft leben die sich dem Fortschritt verschrieben hat? Es ist doch lächerlich sich in so einer Gesellschaft zu wundern, das Dinge sich Verändern. Früher hatten Ausweise keine Fotos. Dann kamen welche mit Fotos. Das Fotos zur Fahndung verwendet werden ist auch nicht erst seit gestern so. Und das arbeiten mit Fingerabdrücken ist ebenfalls alt.
Ist ja schön und gut, das sich die Kritiker im Modewort "Biometrie" sonnen, aber neu ist daran nichts.
Das einzige was neu ist, ist das der Ausweis mal wieder auf einen neueren Stand gebracht wird. Doch selbst das ist ein ganz normaler Vorgang, den es gibt seit Menschen sich Ausweisen müssen.

Frage: Fühlt sich irgendjemand dadurch kriminalisiert das ein Foto im Ausweis ist?

Quote
Autor: Die Gegenstimme
Es geht hier nicht um etwas wie ein Bild, das um es zu sehen erst gezeigt werden muss.
Es geht hier um im Zweifel aus der Entfernung auslesbare Daten. Hierzu kannst du dir gerne mal die Diskussionen aus dem Bereicht des Reisepasses anschauen.
Mal ganz davon ab das bei der Statistik ein erhöhen der "Fälschungssicherheit" nicht nötig ist... Reine Geldmacherei für die Bundesdruckerei, wie ich finde.


Quote
Autor: Raymond Aron
komisch, dass jemand, der sich Michel Foucault nennt, so wenig mit ihm argumentiert. Soziologie Student im ersten Semester??
Vielleicht gehoert es bei Golem ja zum guten Ton, so nenne ich mich also Raymon Aron, und gehe auch auf ihn nicht ein.

Dummerweise habe ich zu Foucault bisher kaum einen Zugang gefunden. Allerdings hat er sich ja genau mit solchen Fragen der Macht bzw. ihrer Dispositive beschaeftigt und konstatiert mit 30 Jahren Verspaetung aehnliches wie die Frankfurter: Naemlich die Dialektik von Freiheit und Herrschaft (Naturbeherrschung). Dazu hat er ja recht interessante Untersuchungen geliefert, u.a. in Surveiller & Punir.

Ganz abstrakt hat es natuerlich die Beduerfnisse der Wertverwertung als Wurzel allen Uebels. Die Inwertsetzung des Raumes inbegreift natuerlich nicht nur einfache Kommodifikation, vielmehr sollen alle gesellschaftlichen Bereiche, auch ausserhalb des Produktionsprozess, zu mit der Wertform kompatiblen Einheiten transformiert werden. Wenn der Produktionsprozess unter kapitalistischen Bedingungen seine Formbestimmung aendern, dann kann sicherlich das darauf aufsetzende gesellschaftliche Leben ausserhalb der Wertsphaere davor nicht sich bewahren. Die Empirie spricht ja auch dafuer. Weiter im Text.

Neben ganz eindeutigen finanziellen Interessen (man koennte das als verdeckte Keynesianische Wirtschaftssubvention betrachten), bleibt natuerlich der Aspekt die stets sich sublimierende Verwaltungsmacht der Gesellschaft.

Der Polizeiapparat gehoert selbstverstaendlich zu dieser Verwaltungsmacht. Dabei ist es natuerlich reizvoll fuer die Strafverfolgung, in moeglichst kurzer Zeit moeglichst viel relevante Information zu erlangen und zu verarbeiten. Dazu gibt es ja die IT. Nichtsleichter als einfach alle Buerger zu moeglichen Straftaetern zu hypostasieren.

Die buerglichern Freiheitsrechte waren in der Zeit ihrer Entstehung vor allem auch Abwehrrechte, die buergerlichen Kategorien des Individuums usw. kritische Kategorien, die von der sich durchsetzenden Bourgeosie im Kampf um gesellschaftliche Hegemonie promouviert wurden.
Diese "Neue Weltordnung", um verfaelschend an Bush sen. anzuspielen, hat sich aber nun endgueltig durchgesetzt. Wozu noch negative Freiheitsrechte die dem Kapital nicht direkt benefizieren? Es gibt offenkundig keine Alternative zum gesellschaftlichen Status Quo der Wertvergesellschaftung, daher gibt es auch keine grossen politischen Bemuehungen, daran etwas zu aendern. Das Kapital und seine Prolls beherrschen die Welt. nocht auszufuehren.

Quote
Autor: michel foucault
Raymond Aron schrieb:
-------------------------------------------------------
> komisch, dass jemand, der sich Michel Foucault
> ....
> die Welt. nocht auszufuehren.


Keine Sorge, ich habe alle Hauptwerke von Foucault gelesen. Erklär mir aber mal bitte was ein Nickname mit dem Inhalt eines Beitrags zutun hat? Es ist ja auch nicht so das alle Menschen die Albert heißen deshalb eine Verbindung zu Einstein haben.

Die "Neue Weltordnung" hat sich übrigens nicht durchgesetzt und existiert in dieser Weise auch nicht. Wenn du das glaubst, dann bis du auf die Augenwischerei von Leuten wie Huntington und Fukuyama gründlich hereingefallen.





Aus: "Biometrie in Personalausweisen ohne Anlass? - Bundesregierung sieht keinen Grund zur Sorge" (Networld, 22.11.2007)
Quelle: http://www.golem.de/0711/56118.html (http://www.golem.de/0711/56118.html)


-.-

Quote
[...] Die Bundesregierung hat Details zu Betrugsversuchen mit gefälschten Personalausweisen bekannt gegeben. Laut einer jetzt veröffentlichten Antwort (PDF-Datei: http://dip.bundestag.de/btd/16/070/1607073.pdf) des Bundesinnenministeriums auf eine Anfrage der Linken kamen auf die rund 62 Millionen Ausweisdokumente, die sich derzeit im Umlauf befinden, seit Anfang 2001 nur 216 Fälschungsfälle. Dabei handelte es sich bei 88 Vorkommnissen in den vergangenen sieben Jahren um Totalfälschungen. In 128 Fällen stellten die Bundespolizei beziehungsweise weitere mit der Kontrolle des grenzüberschreitenden Verkehrs beauftragte Behörden lediglich "Verfälschungen" geringeren Ausmaßes fest. Diese bezogen sich hauptsächlich auf die Änderung der Ausstellungsdaten sowie das Überschreiben oder das Anfügen weiterer Informationen.

Gleichzeitig räumte das Ministerium ein, dass der Regierung kein Fall bekannt sei, in dem seit dem Jahr 2000 gefälschte deutsche Personalausweise bei der Planung und Durchführung von Terroranschlägen eine Rolle gespielt hätten. Dennoch wolle man das Sicherheitsniveau des bisherigen Ausweissystems "zur Fälschungssicherheit" weiterentwickeln. Die große Koalition hat sich prinzipiell bereits auf das Vorhaben verständigt, künftig analog zum biometrischen Reisepass der zweiten Generation zwei Fingerabdrücke neben einem digitalisierten Gesichtsbild auf den neuen elektronischen Personalausweis aufzubringen. Die für den hoheitlichen Gebrauch auf einem kontaktlos auslesbaren Funkchip gespeicherten Informationen werden dabei laut dem Ressort von Innenminister Wolfgang Schäuble (CDU) "durch eine elektronische Signatur" zusätzlich "gegen Fälschung und Verfälschung gesichert".

Hacker und Wissenschaftler haben bereits befürchtet, dass mit der geplanten Ausweis-Chipkarte ein zusätzliches "Unsicherheitsmerkmal" aus dem ePass auf das noch deutlich weiter verbreitete Personaldokument übertragen werden solle. Der Chaos Computer Club (CCC) warnt vor der drohenden "biometrischen Vollerfassung" der Bevölkerung. Das Innenministerium hält dem entgegen, dass man sich für das Ändern der Daten auf dem Chip erst gegenüber diesem als schreibberechtigt "ausweisen" müsse. Alle zum Einsatz kommenden kryptographischen Verfahren und Schlüssellängen seien dabei so gewählt, dass ein unberechtigtes Ändern der Informationen über die Laufzeit des Dokuments ausgeschlossen werden könne.

Anfang des Jahres hatte die Bundesregierung die neuen Reisepässe bereits als "dauerhaft funktionstüchtig" bezeichnet. Datenschutz und Datensicherheit seien schon bei der Vorbereitung der Einführung der ePässe auf europäischer und nationaler Ebene ein zentrales Thema gewesen. Das Bedrohungsszenario eines unbefugten Auslesens sei "rein theoretisch". 2005 hatte das Innenministerium angegeben, über Passfälschungen keine konkreten Zahlen zu besitzen. 2002 seien von der Grenzschutzdirektion aber nur 35 Pässe und 30 sonstige Ausweise wegen Verdacht auf Verfälschung oder fälschliche Ausstellung untersucht worden, was sich in den Folgejahren kaum verändert habe. Oppositionspolitiker halten das Argument, mit der biometrischen Aufrüstung von Ausweispapieren die innere Sicherheit und die Terrorabwehr zu verbessern, daher seit langem für mehr als fragwürdig. (Stefan Krempl) / (pmz/c't)

Quote
21. November 2007 19:46
Andere Frage an den Staat. Welche Daten wollt ihr eigentlich nicht ?
Nebumuk (mehr als 1000 Beiträge seit 09.03.06)

Ihr scannt meine Konten, Ihr wollt meine privaten Festplatten
scannen, Ihr protokoliert welche Internetseiten ich ansurfe, wen ich
anrufe, ihr scannt mein Kfz-Kennzeichen und erstellt ein
Bewegungsprofil, ihr ortet mich über mein Handy, ihr könntet mein
Handy als Wanze benutzen, ihr wollt meine Fingerabdrücke,

Was zur Hölle wollt ihr noch von einem unbescholtenen Bürger ?

Quote
21. November 2007 19:54
Re: Andere Frage an den Staat. Welche Daten wollt ihr eigentlich nicht ?
Mr. Stringer (687 Beiträge seit 26.04.04)

Nebumuk schrieb am 21. November 2007 19:46

> Was zur Hölle wollt ihr noch von einem unbescholtenen Bürger ?

Die Seele natürlich, soviel zu "Was zur Hölle". ;-)



Quote
21. November 2007 20:09
Re: Andere Frage an den Staat. Welche Daten wollt ihr eigentlich nicht ?
Lunovus (mehr als 1000 Beiträge seit 07.01.00)

Nebumuk schrieb am 21. November 2007 19:46

> Was zur Hölle wollt ihr noch von einem unbescholtenen Bürger ?

Ist doch klar: Deine DNA
(richtig ausgesprochen reimt es sich, und was sich reimt ist gut)

Da kann man voll toll Vergewaltigungen und so mit aufklären.

Wer würde ob dieses Fortschritts nicht gerne eine bundesweite
DNS-Datenbank befürworten?

Wenn dann die Krankenkassen und (Kranken-)Versicherungen darauf auch
noch Zugriff bekommen lassen sich damit auch ganz doll Kosten
einsparen.
Denn wer ein erhöhtes Krebs- oder Diabetes-Risiko hat darf mehr
zahlen und der genetisch gesunde Bürger spart, und wer schon vor der
Rente sterben dürfte leistet seinen Beitrag zum Abbau der
Staatsverschuldung indem seine Rentenbeiträge direkt dem Staate
zufliessen.
Und wer aufgrund einer genetischen Veranlagung evtl. mal eine
psychische Krankheit entwickelt wird nicht an einer Schule Amoklaufen
können da er eh niemals eine normale Schule von innen sehen wird.

Schöne neue Welt/GATACA wir kommen..

Ciao
Lunovus

Quote
22. November 2007 2:57
Einfach nur wissen, was du denkst.
cloudstrife dhda (59 Beiträge seit 24.09.05)

Dein Verhaltensalgorithmus wird auf dem Ausweis hinterlegt.

Quote
22. November 2007 8:20
Re: Andere Frage an den Staat. Welche Daten wollt ihr eigentlich nicht ?
retiarius (412 Beiträge seit 27.01.04)

Natürlich wohlfälliges Verhalten den Machthabern gegenüber, erreicht
durch Überwachung und Repression. Was denkst Du denn?

reti


Quote
22. November 2007 9:06
Re: Andere Frage an den Staat. Welche Daten wollt ihr eigentlich nicht ?
ttpytec (703 Beiträge seit 30.06.03)

Nebumuk schrieb am 21. November 2007 19:46

> Was zur Hölle wollt ihr noch von einem unbescholtenen Bürger ?

"Unbescholtener Bürger" Pah! Jeder ist ein krimineller
Raubmordkopierterrorist bis er das Gegenteil beweisen kann. Oder
Politiker geworden ist.

SCNR
ttp

Quote
22. November 2007 9:35
Unbescholtener Bürger???
Nacktmull (55 Beiträge seit 23.08.04)

Nebumuk schrieb am 21. November 2007 19:46

> Ihr scannt meine Konten, Ihr wollt meine privaten Festplatten
> scannen, Ihr protokoliert welche Internetseiten ich ansurfe, wen ich
> anrufe, ihr scannt mein Kfz-Kennzeichen und erstellt ein
> Bewegungsprofil, ihr ortet mich über mein Handy, ihr könntet mein
> Handy als Wanze benutzen, ihr wollt meine Fingerabdrücke,
>
> Was zur Hölle wollt ihr noch von einem unbescholtenen Bürger ?

Unbescholtener Bürger???

Du wetterst hier gegen die unfehlbare Staatsmacht und hast nicht
einmal ein schlechtes Gewissen!

Ab ins Umerziehungslager!

Quote
22. November 2007 9:37
Re: Andere Frage an den Staat. Welche Daten wollt ihr eigentlich nicht ?
BlackwaterBundestrojanerGmbh (281 Beiträge seit 11.10.07)

Nebumuk schrieb am 21. November 2007 19:46
> Was zur Hölle wollt ihr noch von einem unbescholtenen Bürger ?
</Zitat>
Man könnte vielleicht noch ein Computerprogramm erschaffen, was
automatisch berechnet, was das beste für jeden einzelnen Bundesbürger
ist.
Dann  bräuchtest du nicht mehr wählen zu gehen, weil das Programm
besser weiß, was gut für dich ist und für dich das Kreuz macht.
Damit das aber sauber funktioniert ist es  wichtig, daß du aber auch
wirkliche alle deine Interessen, Eigenschaften, Gefühle und Gedanken
gaaanz genau in die Erfassungsmaske des Programmes eingibst.
.
Das wäre doch toll, wenn man nicht wählen gehen müßte!
.
Blacky.



Aus: "Bundesregierung will hochsicheren Personalausweis noch sicherer machen" (21.11.2007)
Quelle: http://www.heise.de/newsticker/meldung/99376 (http://www.heise.de/newsticker/meldung/99376)

Title: [Der elektronische Personalausweis.. (Notizen)]
Post by: Textaris(txt*bot) on May 22, 2008, 09:17:42 AM
Quote
[...] Im Rahmen der Euroforum-Tagung über die Zukunft der Vernetzung im Gesundheitswesen beschäftigten sich Referate mit dem elektronischen Einkommensnachweis (ELENA) und dem kommenden neuen ePersonalausweis. Das klingt sonderbar, ist aber der eCard-Strategie der Bundesregierung geschuldet: Gesundheitskarte wie Personalausweis können Träger einer qualifizierten digitalen Signatur sein und werden über ein einheitliches API angesteuert.

Ministerialrat Andreas Reisen, beim Bundesinnenministerium für die biometrischen Ausweise zuständig, stellte den neuen Personalausweis nicht so sexy vor, wie die Bundesdruckerei und Samsung, die einen sehr biegsamen Video-Ausweis propagieren. Er zeigte einen Prototyp von der Größe einer Scheckkarte im ID-1-Format in die Runde. Der Inhalt ist es, der diesen Ausweis interessant macht. Wie die elektronische Gesundheitskarte soll auch der "Perso" für die qualifizierte Signatur vorbereitet sein. Daneben wird er aber auch biometrische Fächer enthalten, die ausschließlich die Behörden auslesen dürfen, weil in ihnen (wie beim ePass) biometrische Fingerabdrücke und Gesichtsbild gespeichert sind.

Außerdem soll der Ausweis, der im Unterschied zur Gesundheitskarte kontaktlos nach ISO 14443 arbeitet, ein zusätzliches ID-System enthalten. Auf dieses ID-System sollen eigens zertifizierte Firmen oder Institutionen über das Web zugreifen können. Eine Webseite mit pornografischen Inhalten kann nach Darstellung von Reisen beispielsweise verlangen, dass der Ausweis an ein Lesegerät gehalten wird, um zu bestimmen, ob der Ausweisinhaber über 18 Jahre alt ist. Eine andere Webseite, die etwa hochpreisige Waren verkauft, soll alle Daten wie Name, Anschrift und Personalausweisnummer verlangen können, die der Inhaber dann mit einer PIN quittieren muss. Laut Reisen soll eine eigens eingerichtete Bundesbehörde für die Zulassung dieser ID-Verifikationsdienste zuständig sein und von den Firmen Gebühren für den Abruf des ePersonalausweises kassieren. Der Unterhalt der nötigen Trustcenter für dieses ID-System soll hingegen der Privatwirtschaft überlassen bleiben.

Wie Reisen in seinem Vortrag zugab, wird der neue ePersonalausweis einen gravierenden technologischen Umbruch einleiten. Wo immer Ausweiskontrollen notwendig sind, werden Hybridlesegeräte benötigt, die auch das kontaktlose Auslesen beherrschen. Reisen zufolge wurde der Referentenentwurf zum neuen Personalausweis in den letzten Wochen fertig und soll im Herbst den parlamentarischen Segen erhalten. Die Feinspezifikationen sollen bis zum 4. Quartal 2009 feststehen, wenn das entsprechend modifizierte Passgesetz in Kraft treten kann, das dann eine neue Stufe der Internet-Sicherheit ermöglichen wird.

Harald Flex von der gematik und der ITSG stellte den elektronischen Einkommensnachweis (ELENA, ehemals Jobcard) vor, der im Juni vom Bundeskabinett verabschiedet werden soll. Das Verfahren, bei dem Arbeitgeber ihre Entgeltbescheinigungen elektronisch an eine zentrale Speicherstelle schicken, ist nach Flex wegweisend für die elektrische Signatur und den deutschlandweiten Einsatz der qualifizierten Signatur. Arbeitnehmer sollen spätestens ab 2012 mit ihrer Signatur (die auf der Gesundheitskarte oder dem Personalausweis gespeichert sein kann), den Vorgang anstoßen, dass Einkommensdaten von der zentralen Speicherstelle (ZSS) elektronisch zur nachfragenden Institution übermittelt werden. Derzeit werden 120 Millionen Beitragsnachweise im Jahr auf Papier ausgestellt, was eingespart werden kann. Noch im Jahr 2008 soll eine Informationskampagne des Wirtschaftsministeriums anlaufen. Ab 2010 soll damit begonnen werden, den Datenbestand in der ZSS durch monatliche Datenlieferungen der Arbeitgeber aufzubauen. (Detlef Borchers) / (jk/c't)

Quote
21. Mai 2008 09:22
Sind die noch ganz dicht? (Editiert vom Verfasser am 21.05.08 um 09:24)
SixSixEight (mehr als 1000 Beiträge seit 15.03.03)

Auf einen _Bundespersonlaausweis_ sollen irgendwelche (wie auch immer
qualifizierte) _Privatfirmen_ zugreifen können? Das ganze dann auch
noch kontaktlos?

"Liebe" Kontrollzwang- und Privatisierungswahnpolitiker, wenn ihr
schon dämlich genug seid, die _Bundes_druckerei zu privatisieren und
so einen Wahnsinn zuzulassen, dann privatisiert Euch doch gleich
selbst und verkauft Euch an den Meistbietenden... - Ach ja, ich
vergaß, das habt Ihr ja schon getan...

...gut, dann brauche ich wohl doch eine neue Mikrowelle.

Gruß

SixSixEight


Quote
21. Mai 2008 09:23
Wieso nur wird mir täglich mulmiger?
Das vorletzte Einhorn (261 Beiträge seit 26.11.03)

Irgendwie liest sich das wie ein weiterer Schritt in die total
vernetzte "Unsere Zentrale weiß alles über dich!"-Gesellschaft. Meine
Einkommensdaten, meine Patientenakte, meine Steuererklärung ...
irgendwann wird schlichtweg ALLES, was mich betrifft, auf einem
Server in Berlin liegen und nur darauf warten, von irgendjemandem
mißbraucht zu werden. Ganz davon zu schweigen, dass die
Nachverfolgbarkeit meiner sämtlichen Aktivitäten on- wie offline mit
einem solchen System um einiges vereinfacht wird... ein Schelm, wer
Böses dabei denkt? o_O

Mir jedenfalls ist bei all dem täglich unwohler. Wird sind leider
einfach zu fest im Griff der, wie Weizenbaum es nannte,
"Computermetapher": Alles MUSS digital und vernetzt sein und mit
Datenbanken undundund - und niemand macht sich die Mühe, sich
zwischendurch mal ernsthaft zu fragen, ob das unter Berücksichtigung
aller Aspekte auch wirklich sinnvoll oder u.U. sogar gefährlich ist.
Immerhin darf man nicht vergessen: Noch vor ca. 40 Jahren hat der
komplette Planet ganz großartig ohne all diesen Kram funktioniert.
Etliche Dinge waren evtl. sogar besser und einfacher als heute (ich
sag nur: Leergutautomaten... auweia). "Fortschritt" (der nicht immer
auch wirklich einer sein muss) als Selbstzweck ist mir jedenfalls
zutiefst suspekt...

Es ist aber leider mittlerweile ein schon fast genetisch vererbter
Reflex, zu denken: "Alles, was nix mit Computern is, is nix..." Wohin
soll das am Ende noch führen?


Quote
21. Mai 2008 10:49
Das finde ich sehr gut!
Bayer (318 Beiträge seit 23.11.01)

Denn im Artikel steht ja:

"Der Unterhalt der nötigen Trustcenter für dieses ID-System soll
hingegen der Privatwirtschaft überlassen bleiben."

Und "Trust" heisst ja Vertrauen. Jetzt bin ich ganz beruhigt. Sie
wollen alle nur unser Bestes.

...


Quote
21. Mai 2008 11:31
Projekt "Gläserner Bürger"
Zielscheibe (mehr als 1000 Beiträge seit 14.09.00)

Scahde, dass das brisante Thema "ELENA" so stiefmütterlich im Artikel
behandelt wird - das ist m.E. viel gefährlicher als diese
EPass-Geschichte.

Da wird eine weitere gewaltige Datenhalde mit _vertraulichsten_ Daten
aller Bürger geschaffen (neben der Vorratsdatenspeicherung etc.) -
und keiner regt sich auf?

Aber natürlich, ich vergaß: wenn solche Datenberge erst einmal
existieren, kommt es ja garantiert nie-nie-nie vor, dass neue
Begehrlichkeiten berufsmäßiger Schnüffler bzw. anal fixierter
Kontrollfreaks geweckt werden, die unsere sog. Volksvertreter dann
schön brav reflexartig abnicken.

"Terror" bla bla "Kinderpornographie" bla bla "organisierte
Kriminalität" - ein passendes Buzzword wird sich schon finden...

=8-/


[=> http://www.golem.de/0707/53786.html (http://www.golem.de/0707/53786.html)]


Aus: "Elektronischer Personalausweis: Wenn das Web den Ausweis sehen will" (21.05.2008)
Quelle: http://www.heise.de/newsticker/Elektronischer-Personalausweis-Wenn-das-Web-den-Ausweis-sehen-will--/meldung/108208 (http://www.heise.de/newsticker/Elektronischer-Personalausweis-Wenn-das-Web-den-Ausweis-sehen-will--/meldung/108208)

Title: [Die Pläne für den neuen Personalausweis.. (Notiz)]
Post by: Textaris(txt*bot) on July 22, 2008, 10:10:51 AM
Quote
[...] 21. Juli 2008 Das Bundeskabinett will am Mittwoch die Pläne für den neuen Personalausweis beschließen, der auf Wunsch auch als elektronische Identifikation für Geschäfte im Internet ausgestellt werden kann. Dies bestätigte das Innenministerium am Montag in Berlin.

So sollen die Bürger wählen können, ob sie einen landläufigen Personalausweis, einen besonders fälschungssicheren mit gespeicherten Fingerabdrücken oder einen mit Zusatzchip für Internet-Identifikation beantragen. Die Kosten sollen zwischen acht und 59 Euro liegen.

Die Zusatzfunktionen seien frei und unabhängig voneinander wählbar, sagte eine Ministeriumssprecherin. Für die Identifikation im Internet soll neben dem Chip im Ausweis auch ein Zusatzgerät für den Computer nötig sein. Zusammen mit einer Geheimnummer (PIN) soll es damit möglich sein, sich für Geschäftspartner im Internet zweifelsfrei kenntlich zu machen. Der Chip wird laut Medienberichten noch vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und soll Ende 2010 nutzbar sein.

Die Ausweispläne von Bundesinnenminister Wolfgang Schäuble (CDU) waren lange wegen der geplanten Speicherung der Fingerabdrücke umstritten gewesen. In Verhandlungen hatte die SPD durchgesetzt, dies nur als freiwillige Option aufzunehmen. In jedem Fall wird neben den Personalien ein biometrisches Foto gespeichert.



Quote
Warum?
Sebastian Lefke (Sebl2000), 21. Juli 2008 13:10

Die deutschen Ausweisdokumente gehören zu den sichersten der Welt. Es werden so gut wie keine Fälschungen gefunden, da der Aufwand zu hoch und sehr schwierig ist, was eine Anfrage der (FDP?) an das Innenministerium zutage gebracht hat. Es geht hier wohl nur darum, alle Bürger zu katalogisieren und später möglichst auch alles zentral zu speichern. Aus Freiwilligkeit zur Speicherung der Fingerabdrücke wird später garantiert Zwang werden, genau wie der nicht sichere RFID-CHIP und dafür wird man dann auch noch selbst bezahlen müssen!! Das erinnert mich alles sehr an 1982 , man möchte alles über den Bürger wissen, um der Kontrolle wegen. Vielleicht wird der Chip dann ja später bei der Geburt implantiert, ist ja sicherer und einfacher und man muss den Ausweis nicht immer mit sich rumtragen. Vielleicht wird der Chip dann ja gleich an das zentrale Nervensystem gekoppelt, falls man nen Amoklauf plant oder gewalttätig wird, dann lässt sich das nämlich verhindern. Vielleicht ... mir machen diese Entwicklungen zu einem Präventivstaat hin jedenfalls angst.



Aus: "Pläne der Bundesregierung - Bezahlchip im Personalausweis" (21. Juli 2008 )
Quelle: http://www.faz.net//s/Rub4C34FD0B1A7E46B88B0653D6358499FF/Doc~E1F51CEDFBDEB4761B224F03ABBFC3E64~ATpl~Ecommon~Scontent.html (http://www.faz.net//s/Rub4C34FD0B1A7E46B88B0653D6358499FF/Doc~E1F51CEDFBDEB4761B224F03ABBFC3E64~ATpl~Ecommon~Scontent.html)

Title: [Das Szenario Missbrauch ist technisch nicht möglich... ]
Post by: Textaris(txt*bot) on July 23, 2008, 09:45:36 AM
Quote
[...]

Quote
22. Juli 2008 15:49
"Das Szenario Missbrauch ist technisch nicht möglich."
Schabernack (mehr als 1000 Beiträge seit 24.09.04)

Wie oft habe ich sowas schon gehört - es hat sich bisher IMMER eine
Missbrauchsmöglichkeit gefunden.  Wer's glaubt zahlt 'n Taler.


Quote
22. Juli 2008 16:25
Schallendes Gelächter...
Baneus (mehr als 1000 Beiträge seit 31.01.01)

"Das Szenario Missbrauch ist technisch nicht möglich"

Guter Gott, hat der gute Mann mal zurückgeblickt, wie oft das gesagt
wurde? Hat er gemerkt, dass es jedesmal (!) widerlegt wurde?

Der Fortschritt im Elektronischen Bereich geht derart schnell, dass
eine heute nicht knackbare Technik morgen Kinderkram ist - das dürfte
auch für den ePerso gelten.

Ausserdem gibt es ein einfaches Kriterium: Je mehr Daten in einer
Datenbank hinterlegt sind, und je flächendeckender sie eingesetzt
wird,

- desto mehr Menschen haben Zugriff,
- desto interessanter sind die Daten für Werbung usw.

Je mehr Menschen Zugriff haben und je größer das Interesse wird,
desto größer wird die kriminelle Energie, um an diese Daten zu
kommen. Das gilt auch z.B. für Meldedaten oder die elektronische
Versicherungskarte (auf die sicherlich jede Krankenkasse und jeder
potentielle Arbeitgeber liebend gern Zugriff hätten).

Bane


Quote
22. Juli 2008 16:29
Onkel Schäubles Märchenstunde
Norb1 (50 Beiträge seit 05.04.08)

> ...dass die biometrischen Merkmale "nur zur sichereren
> und leichteren Identifizierung dienen" sollen...

Selbstverständlich, die Mautdaten werden ja auch nur zu
Abrechnungszwecken verwendet. Hautte ja auch niemand vor eine Mauer
zu errichten...

...


Quote
22. Juli 2008 19:21
"Das Szenario Missbrauch ist technisch nicht möglich."
cronos_the_master_of_time (mehr als 1000 Beiträge seit 10.12.02)

"Das Szenario Missbrauch ist technisch nicht möglich."

Das klingt fuer mich so wie

"Die Titanic ist unsinkbar."

...


Quote
22. Juli 2008 21:05
"Zudem dürften die biometrischen Merkmale nur von der Polizei ausgelesen werden"
dark-enforcer (309 Beiträge seit 19.04.06)

jaja, wenn er das sagt.
Es kommen ja auch keine phösen Hacker mehr, weil "die" das ja gar
nicht mehr dürfen.
Wie war das noch gleich mit dem Hack seiner Website? Bestimmt nur
Einbildung, weil "die" würden sich das doch nie wagen - wir brauchen
dringendst ein Ministerium für Wahrheit bei so viel
Falschinformation!

mfG
dark-enforcer


Quote
Gunjah, 23. Juli 2008 09:33
Ab 2010 posten im Heise-Forum nur noch mit Identitifikation per E-Pass

[KT]


[/quote]

Kommentare zu: "Schäuble wirbt für neuen elektronischen Personalausweis" (22.07.2008)
Quelle: http://www.heise.de/newsticker/Schaeuble-wirbt-fuer-neuen-elektronischen-Personalausweis--/meldung/113165 (http://www.heise.de/newsticker/Schaeuble-wirbt-fuer-neuen-elektronischen-Personalausweis--/meldung/113165)

Title: [Der Innenausschuss des Bundestags hat den Weg freigemacht... ]
Post by: Textaris(txt*bot) on December 18, 2008, 10:05:33 AM
Quote
[...] Der Innenausschuss des Bundestags hat den Weg freigemacht für die Verabschiedung der umstrittenen Novelle des Personalausweisgesetzes. Mit den Stimmen der großen Koalition beschlossen die Innenpolitiker den Regierungsentwurf für das Vorhaben mit ein paar Änderungen, aber ohne große Korrekturen. Mit der Initiative sollen die Grundlagen für ein einheitliches Ausweisrecht geschaffen werden.

Auf dem neuen Ausweis sollen zwei Fingerabdrücke und ein elektronischer Identitätsnachweis gespeichert werden können. Dazu soll das Dokument die Möglichkeit mitbringen, eine elektronische Signatur auf einem kontaktlos auslesbaren Chip zu hinterlegen. Die Zusatzfunktion fürs Internet soll die verbindliche elektronische Übermittlung von Identitätsmerkmalen ohne biometrische Daten in Online-Anwendungen und in lokalen Verarbeitungsprozessen etwa an Automaten gestatten.

Die von CDU/CSU und SPD eingebrachten und befürworteten Ergänzungen wollen unter anderem die Freiwilligkeit der Speicherung von Fingerabdrücken neben dem vorgeschriebenen biometrischen Gesichtsbild sicherstellen. "Entscheidet sich die antragstellende Person gegen die Aufnahme der Fingerabdrücke, so dürfen ihr daraus keine rechtlichen oder tatsächlichen Nachteile entstehen", unterstreicht die Koalition nun.

Es müsse dem Antragsteller dann aber auch klar sein, "dass Verfahren zur Identitätsprüfung mit Fingerabdruckvergleich nicht genutzt werden können". Über das "Benachteiligungsverbot" müssen die Meldebehörden die Bürger laut den Überarbeitungen schriftlich informieren. Zudem stellt die Koalition klar, dass bei den Ämtern gespeicherte digitale Lichtbilder allein bei Verkehrsordnungswidrigkeiten in Eilfällen automatisiert online von Strafverfolgern abgerufen werden dürfen. Dazu kommen mehrere redaktionelle Änderungen.

Die Opposition votierte geschlossen gegen den Entwurf. Ihr Widerstand richtet sich vor allem gegen die Fingerabdrücke auf dem Dokument. "Es gibt überhaupt keine Notwendigkeit" für die Speicherung von Fingerabdrücken, betonte die Linksfraktion. Die FDP-Fraktion erklärte, die gefundene "Misch-Masch-Lösung" sei nicht nachvollziehbar. Entweder bräuchten die Behörden die Fingerabdrücke aus Sicherheitsgründen oder eben nicht.

Nach Auffassung der Grünen hat die Koalition nicht hinreichend dargelegt, wieso trotz hoher Fälschungssicherheit deutscher Ausweisdokumente und fehlender Belege für den Missbrauch eine Sicherheitslücke bestehe und die Dokumente nachgerüstet werden müssten. Datenschützer hatten zuvor hauptsächlich vor Risiken gewarnt, welche die RFID-Chip-Komponente mit sich bringe. Der Chaos Computer Club (CCC) fürchtet zudem, dass es Betrügern mit der Ausweisfunktion für Netzeinsätze leichter gelingt, an sensible Daten zu gelangen.

Die Koalitionsfraktionen verteidigten das Vorhaben. Die Stärkung der Freiwilligkeitsklausel sei "informationelle Selbstbestimmung par excellence", hieß es etwa bei der SPD. Bundesinnenminister Wolfgang Schäuble (CDU) hatte zuvor einen späteren Zwang zur Erfassung von Fingerabdrücken nicht ausschließen wollen, falls es einmal eine entsprechende EU-weite Regelung gäbe. (Stefan Krempl) / (vbr/c't)

Quote
17. Dezember 2008 17:11
Ha ha ha....
Skypster (453 Beiträge seit 21.07.06)

.. ihr Schweinepriester!

Mit genau der Dreistigkeit wie so oft vorhergesagt, führt ihr jetzt
die Fingerabdruckdatei ein.

Frecher gehts nimmer:

Erst: "nur auf dem Pass"
Jetzt: "zwei Fingerabdrücke, aber alles gaaaaanz freiwllig"
In 6 Monaten: "Fingerabdrücke und DNA in zentraler Datei".

Die momentan in Deutschland agierende Legislative ist ein Faustschlag
in's Gesicht jedes einigermaßen demokratisch denkenden Menschen.


Quote
17. Dezember 2008 18:20
Ist der Fuß erst in der Tür
edgar666 (mehr als 1000 Beiträge seit 02.09.06)

folgt der Hintern für und für....


Quote
18. Dezember 2008 09:46
bing
loralitilli (489 Beiträge seit 05.06.04)

das war die mircowelle, der ausweis ist fertig ...


Quote
18. Dezember 2008 09:50
... der erste Schritt ist getan ...
Autumn70 (2 Beiträge seit 17.12.08)

"Entscheidet sich die antragstellende Person gegen die Aufnahme der
Fingerabdrücke, so dürfen ihr daraus keine rechtlichen oder
tatsächlichen Nachteile entstehen"

Noch nicht, dazu ist es nur ein kleiner Schritt.
Wenn die Technik erst einmal eingeführt ist, dann werden auch alle
anderen Schritte folgen.



Aus: "Grünes Licht für elektronischen Personalausweis" (17.12.2008)
Quelle: http://www.heise.de/newsticker/Gruenes-Licht-fuer-elektronischen-Personalausweis--/meldung/120612 (http://www.heise.de/newsticker/Gruenes-Licht-fuer-elektronischen-Personalausweis--/meldung/120612)

Title: [Im Allerheiligsten der E-Pass-Produktion.. (Österreich)]
Post by: Textaris(txt*bot) on February 03, 2009, 10:52:56 AM
Quote
[...] In ganz Österreich arbeiten derzeit Behörden und Dienstleister an der Einführung des Chippasses mit Fingerabdruckdaten. Produziert werden die Pässe in der Österreichischen Staatsdruckerei (OeSD) in Wien. Ein Besuch im Hochsicherheitsbereich.

"Datenschutz hat bei uns oberste Priorität, weil er Teil unseres Kerngeschäfts ist", sagte Thomas Zach, stellvertretender Generaldirektor der Österreichischen Staatsdruckerei (OeSD), zu ORF.at.

Dass Sicherheit in der OeSD, die gerade die neueste Generation österreichischer Reisepässe produziert, absoluten Vorrang hat, deutet sich schon von außen an - bereits der Eingang ist eine Personenschleuse.

Als Nächstes registriert die Security der OeSD den Reisepass des Besuchers, überreicht eine signalrote Besucherkarte zum Umhängen, und ab geht es in Richtung zweite Schleuse.

Diese besteht aus einem mannshohen Drehkreuz. Hier müssen die Begleitpersonen, in diesem Fall Zach und Wolfgang Rosenkranz, Bereichsleiter "E-Government-Solutions", mit Hilfe des Sicherheitsdienstes den Zutritt für die Besucher freigeben lassen.

In den nächsten Sicherheitsbereich, der wie alle anderen durch breite Panoramafenster von allen Seiten einsehbar ist, gelangt man durch eine weitere Einpersonenschleuse, die wesentlich anspruchsvoller ist als das gesicherte Drehkreuz am Eingang.

In der Schleuse, die den Eingang zu den Räumlichkeiten sichert, in denen die Chips personalisiert werden, kontrollieren Sensoren und Computer Gewicht, Größe und Fußabdrücke des Eintretenden, um auszuschließen, dass mehr als eine Person auf einmal den Bereich betritt - oder dass eine weitere Person huckepack mit hereinreitet. Zusätzlich ist die Schleuse rundum aus Glas physisch einsehbar.

Dem Besucher fällt schnell auf, dass so gut wie jeder Vorgang im Produktionsbereich doppelt gesichert ist. "Wir halten uns hier drinnen strikt an das bewährte Vieraugenprinzip", so Zach, "und auch sonst haben wir an Sicherheit für die neuen Pässe getan, was maximal möglich war."

So wählte die Staatsdruckerei bei der Entwicklung der Chippässe die höchste Sicherheitsvorgabe der Internationalen Organisation für Zivilluftfahrt (ICAO) aus. Anders als in Großbritannien, den Niederlanden und Deutschland wurde in Österreich auf ein Verfahren namens "Active Authentication" gesetzt.

Die österreichischen Chippässe sind zwar für "Skimming"- Angriffe ebenso anfällig wie ihre Gegenstücke, ein Lesegerät überlistet man mit kopierten Daten aus einem österreichischen Pass jedoch nicht.

Anders als ein britischer muss sich ein österreichischer Pass gegenüber dem Lesegerät "legitimieren", wozu ein tief in der Hardware versteckter geheimer Schlüssel dient.

Genau das vermag ein fremder Chip, auf den abgefangene Daten übertragen werden, eben nicht.

 Die Räume, in denen die Pässe personalisiert werden, darf nur eine kleine Zahl von Mitarbeitern betreten, bei gleichzeitiger Authentifizierung durch RFID-Karte und Fingerprint-Kontrollen. Der Bereich ist von außen durch Panoramafenster einsehbar.

Und von dort sieht man weiter, an jenen Ort, den auch die Mitarbeiter der Staatsdruckerei selbst nicht betreten dürfen. Hier, in einer kleinen Kammer, kommen die verschlüsselten Daten aus den Passämtern über das innenministerielle Intranet herein, werden im stets menschenleeren Sicherheitsraum entschlüsselt, um später in der Produktion verschlüsselt und signiert auf den Passchip aufgebracht zu werden.

Betreten darf das Allerheiligste nur eine Handvoll Beamter des Innenministeriums, die mit der Verwaltung der Zertifikate betraut ist. Und auch hier gilt das Vieraugenprinzip: Es kommen immer nur zwei Personen zusammen hinein.

Hier sind, auf speziellen Sicherheitshardware-Modulen, die elektronischen Zertifikate verwahrt, mit denen die Passdaten verschlüsselt werden. Zugriff auf den Datenfluss von den Bezirkshauptmannschaften aus ganz Österreich habe die Staatsdruckerei nicht, erklärte Zach.

Auch bei der Qualitätskontrolle, die bei jedem Verarbeitungsschritt stattfindet, prüfen die Mitarbeiter lediglich die Funktionsfähigkeit der Chips, lesen dabei die Daten darauf allerdings nicht aus. Die Druckerei kann sie selbst nicht entschlüsseln. Das ist Teil des Sicherheitskonzepts.

"Wir koppeln uns da bewusst auch ab. Es geht um eine klare Trennung der Zuständigkeitsbereiche", so Zach, aus diesem Grund habe man auch bewusst eine Lösung gewählt, die auch als Signal dafür stehe: "Zwei Kabel." Zwischen dem Intranet des Innenministeriums und dem Netz der Staatsdruckerei bestehe keinerlei physische Verbindung.

Bis jetzt sei der Testbetrieb für die Integration der Fingerabdrucksdaten durchwegs positiv verlaufen, und man sei zuversichtlich, dass auch der für die kommenden Wochen geplante Roll-out problemlos ablaufen werde, sagte Zach.

Insgesamt seien 40 neue Arbeitsplätze für hochqualifizierte Mitarbeiter im Rahmen des Projekts "Hochsicherheitspass" entstanden, so der Zach, die Gesamtkosten für das Projekt "Hochsicherheitspass" lägen im "dreistelligen Millionenbereich". In diese Summe einbegriffen sei allerdings auch die Einrichtung der gesamten Infrastruktur österreichweit. Unter anderem mussten alle Bezirkshauptmannschaften mit Fingerprintscannern und Software ausgestattet werden.

Bei der Frage, ob dieser Aufwand für den neuen "Hochsicherheitspass" gerechtfertigt sei, angesichts der Tatsache, dass pro Jahr weniger als ein Dutzend Fälschungsversuche der in Gebrauch befindlichen "Sicherheitspässe" der Republik passieren, mussten auch die Experten der Staatsdruckerei passen.

Mit der Entscheidung, dass auch die österreichischen Pässe mit zusätzlichen biometrischen Eigenschaften versehen werden müssen, hatte weder die Staatsdruckerei noch das Innenministerium zu tun.

Auch die europäische Union war nur mittelbar daran beteiligt, denn eigentlich geht der Beschluss auf eine Initiative der G-7-Staaten zurück - angeführt von den USA.

Bereits 2003 hatte die ICAO ein umfangreiches Standardisierungsdokument für Chippässe veröffentlicht, das die auf den Funkchips enthaltenen Datenfelder definiert.

Bereits 2003 war also festgeschrieben, dass die Abdrücke der beiden Zeigefinger auf den Chip kommen würden, dazu sieht der Standard weitere Felder für Irisscan, Handballenabdrücke usw. vor.

Auch bei der Frage, wie es denn um die Sicherheit am anderen Ende der Leitung in den Sicherheitsraum, nämlich in den Bezirksämtern und -hauptmannschaften, bestellt sei, mussten die Sprecher der Staatsdruckerei bedauern.

Das könne nur das Innenministerium beantworten, hieß es zum Abschluss, man erbringe seitens der Staatsdruckerei nur eine genau definierte Dienstleistung für das Innenministerium.

Auch wenn der Firmenname anderes suggeriert, so gehört die Staatsdruckerei längst nicht mehr dem Staat, sondern ist eine GmbH mit Sitz in 1010 Wien, die im Besitz einer "Private Equity"-Firma namens Euro Capital Partners steht.

Im Aufsichtsrat dieser Firma wiederun sitzt der ehemalige Innenminister Ernst Strasser, während dessen Amtszeit die Staatsdruckerei im Jahr 2000 privatisiert worden war.



Aus: "Im Allerheiligsten der E-Pass-Produktion" futurezone/Erich Moechel (3. 2. 2009)
Quelle: http://futurezone.orf.at/stories/1502210/ (http://futurezone.orf.at/stories/1502210/)

Title: [Diese Computer kann man angreifen... (ePass)]
Post by: Textaris(txt*bot) on February 04, 2009, 01:10:14 PM
Quote
[...] Hacker sollen Schwachstellen in Behördencomputern ausnutzen können, um für Reisepässe erfasste Fingerabdrücke mitzulesen und zu manipulieren. Das berichtet das ZDF-Magazin WISO.

Quote
2. Februar 2009 13:56
Die Wahrheit über Meldebehörden
Hiro_Protagonist (41 Beiträge seit 20.05.05)

>Für den Schutz der Rechner seien die Meldebehörden selbst
verantwortlich.

Bei all dem was ich der Praxis über den Umgang Behörden <> Hardware
(insbesondere Festplatten) gelernt habe, sehe ich mich in meinem
Pessimismus mehr als nur bestätigt.

Kann man von Hans-Herbert nach einem 2 wöchigen IT Lehrgang erwarten
ein umfangreiches Konzept für den Betrieb der Maschinen zu erstellen?

Kann Hans-Herbert, dessen ITtechnische Erleuchtungen der ComputerBild
und einschlägiger Literatur (WindowsXP für Anwender) enstammen,
eigenständig erkennen, dass man die freiliegenden Kabelteile
sensibler Anlagen vielleicht doch von einem Metallfachmann
verschliessen lassen sollte?

Man muss sicher die Kirche im Dorf lassen und man darf auch nicht
jeder belanglosen Meldung hinterherhecheln. Aber der Umstand das die
Meldebehörden für diese Dinge verantwortlich sind, ist mehr als
beunruhigend wenn man sieht wie sie dieser Verantwortung tatsaechlich
nachkommen. Klar guckt man nach Berlin, Hannover und Hamburg. Aber
welche Sau interessiert sich fuer die kleinen Gemeinden wo auch
Menschen wohnen? Und dort ist es ganz normal die ausgemusterten
Platten dem Kollegen Fettarsch fuer dessen Sohneman mitzugeben (und
das ist meine eigene Erfahrung).

Wenn Ihr schon mit der neuesten Technik spielen wollt- holt euch auch
Leute die sowas managen koennen. Und zwar keine Schlipse die solche
Themen in Meetings totquatschen- sondern gewissenhafte Maschinisten
die Probleme lieber erstmal angehen und loesen als PowerPoint
Praesentationen darueber zu gestalten.



Aus: "Bericht: Unsichere Verarbeitung der Fingerabdrücke in Meldebehörden" (02.02.2009)
Quelle: http://www.heise.de/newsticker/Bericht-Unsichere-Verarbeitung-der-Fingerabdruecke-in-Meldebehoerden--/meldung/126707 (http://www.heise.de/newsticker/Bericht-Unsichere-Verarbeitung-der-Fingerabdruecke-in-Meldebehoerden--/meldung/126707)


-.-

Quote
[...] Mehr Sicherheit - das war das Argument für den elektronisch lesbaren Reisepass. Auf einem Chip sind zum Passfoto auch zwei Fingerabdrücke gespeichert. Doch die Übertragungstechnik ist nicht sicher, Hackern bieten sich Angriffsmöglichkeiten, und auch der Bundesdatenschutzbeauftragte ist besorgt.

Eine Situation, mit der jeder Bundesbürger konfrontiert ist: Beim Antrag für den neuen Reisepass müssen alle Deutschen ihren Fingerabdruck abgeben. Gunnar Porada hat diese Prozedur hinter sich und entdeckt: Die Daten sind nicht ausreichend geschützt. Der Computer-Sicherheitsexperte, der professionell Unternehmen auf Schwachstellen in ihren Netzwerken überprüft, könnte ohne großen Aufwand in den Behördenrechner eindringen, die Fingerabdrücke mitlesen und manipulieren.

Kriminellen bieten sich dadurch ungeahnte Möglichkeiten: "Letztlich hebeln wir damit die Sicherheit aus, die wir uns eigentlich mehr erhoffen durch die Fingerabdrücke", sagt Porada: "Wenn ich selber ein Schwerkrimineller wäre, könnte ich meine Fingerabdrücke im Reisepass von einer mir ähnlich aussehenden Person eintragen. Dann könnte ich mit seinen Daten reisen, ich würde seinen Namen und Identität annehmen, würde somit an allen Grenzposten vorbeikommen."

So funktioniert der Angriff: Die Fingerabdrücke werden vom Lesegerät an den Behördencomputer übertragen - unverschlüsselt: eine entscheidende Schwachstelle. Der Hacker schleust, etwa übers Internet oder mittels eines präparierten Datenträgers, einen Trojaner, ein speziell entwickeltes Schadprogramm, in den Behördenrechner ein und kann dann die Fingerabdrücke mitlesen und manipulieren.

Sicherheitslücken in Behördenrechnern seien, wie bei allen Computern, nicht die Ausnahme, erklärt Gunnar Porada: "Die Meldeamtscomputer sind online und wie alle Computer auch des Öfteren von Schwachstellen betroffen, die einfach nicht geschützt werden können. Das heißt: Diese Computer kann man angreifen."

Zuständig für die Zulassung der Fingerabdruckscanner, die zu Zehntausenden in deutschen Meldeämtern stehen, ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, in Bonn. Auf Nachfrage von WISO heißt es aber, es gehe bei der Prüfung nicht um Sicherheit, sondern nur um die Bildqualität: "Die Zertifizierung der Fingerabdruckscanner durch das BSI bezieht sich auf die Einhaltung (...) der notwendigen Bilderfassungseigenschaften." Und: "Für den Schutz dieser Rechner sind die Meldebehörden verantwortlich."

Quote
Alte und neue Methode

Der Chaos Computer Club (CCC) hat schon 2007 das Verfahren des Fingeabdruckscanners getäuscht: Damals mit einem nachgebauten Fingerabdruck mit Materialien aus dem Baumarkt. Neu ist diese, von WISO berichtete Methode: Der Fingerabdruck wird vom Bürger normal abgegeben und vom Lesegerät an den Behördencomputer übertragen. Dies geschieht jedoch unverschlüsselt. Hier kann mit einem Trojaner, der über das Internet oder mittels eines präparierten Datenträgers in das Behördensystem eingeschleust wurde, die Fingerabdrücke manipuliert werden können.



[...] Ein gewisser Sicherheitsstandard wäre aber nötig angesichts der Daten, die von jedem Bürger gesammelt werden - nicht nur beim Reisepass und dem neuen elektronischen Personalausweis.

Die Folgen können enorm sein, denn Kriminelle müssten die Informationen nur noch einsammeln, fürchtet Sicherheitsexperte Gunnar Porada: "Ich habe eigentlich grundsätzlich als ordentlicher Staatsbürger keine Bedenken, wenn man mich überprüft. Das Problem, das ich sehe, ist, dass das Missbrauchspotenzial enorm steigt. Wenn meine Daten manipuliert werden in einem Computer oder beim Reisepass, habe ich kaum noch Chancen zu beweisen, dass ich es nicht war, dass ich unschuldig bin, weil man den Geräten und den gespeicherten Informationen mehr vertraut.

Das Problem, dass die Fingerabdrücke manipulierbar sind, lässt sich nach Ansicht des Experten lösen, etwa durch eine verschlüsselte Datenübertragung vom Scanner bis zum fertigen Reisepass. Das fordert auch der Bundesdatenschutzbeauftragte: "Ich plädiere dafür, dass die Daten vom Anfang bis zum Ende verschlüsselt werden, das heißt auch schon bei der Übertragung vom Fingerabdruckscanner zum Computer der Meldebehörde und dann weiter - das ist allerdings schon gewährleistet - zur Bundesdruckerei."

Das BSI ist da allerdings skeptisch, weil die Meldebehörden die Qualität der Fingerabdrücke nur bei unverschlüsselter Übertragung überprüfen könnten: "Da die Fingerabdrücke (...) am Arbeitsplatz in der Pass- bzw. Personalausweisbehörde verarbeitet werden müssen, ist eine Verschlüsselung nicht möglich."

Die Quittung für - vermeintlich - mehr Sicherheit zahlt jetzt schon der Bürger: 59 Euro kostet inzwischen der Standard-Reisepass - sensible Daten inklusive. Besorgnis erregend: Auf dem neuen Personalausweis sollen ab Ende 2010 noch mehr Daten gespeichert werden - natürlich auch die Fingerabdrücke.


Aus: "Fingerabdruckscanner ist unsicher" (02.02.2009)
Reisepass: Hacker können Schwachstellen ausnutzen - Von Sven-Hendrik Hahn
Quelle: http://wiso.zdf.de/ZDFde/inhalt/9/0,1872,7510025,00.html (http://wiso.zdf.de/ZDFde/inhalt/9/0,1872,7510025,00.html)

Title: [Sozialversicherungskarte mit biometrischen Identifikationsmerkmalen... ]
Post by: Textaris(txt*bot) on March 24, 2010, 09:42:44 AM
Quote
[...] US-Bürgerrechtler haben den Vorschlag eines demokratischen und eines republikanischen Senators kritisiert, im Rahmen der Reform der Immigrationsregeln eine elektronische Sozialversicherungskarte mit biometrischen Identifikationsmerkmalen zu schaffen. Es sei "naiv" zu glauben, dass Technik und ein bundesweiter Ansatz eine neue Stufe bestehender Ausweisverfahren schaffen könnten, meint etwa die Electronic Frontier Foundation (EFF). Auch das Cato Institute bezeichnet die Initiative in einem Blogeintrag als "überflüssige Strafmaßnahme" mit vielen Sicherheitsfallen.

Stein des Anstoßes ist ein Beitrag der Senatoren Chuck Schumer und Lindsey Graham in der Washington Post Ende vergangener Woche. Darin fordern die beiden Politiker eine "fälschungssichere Social Security Card auf Hightech-Basis" für alle US-Bürger und Einwanderer. Die Sozialversicherungskarte wird in den USA oft – alternativ zum oder gemeinsam mit dem Führerschein – als Ausweisersatz und Personenkennung verwendet. Sie ist für jedes Arbeitsverhältnis unerlässlich. Die Senatoren haben angeregt, ein "einmaliges biometrisches Identifikationsmerkmal" direkt auf der Karte abzuspeichern. Andere private oder medizinische Informationen würden nicht erfasst. Die Senatoren betonen, dass auch eine Verknüpfung mit einer zentralen Regierungsdatenbank nicht vorgesehen sei.

Die Kritiker wenden ein, Technik, die Informationen sicher halten sollten, werde regelmäßig geknackt. Würde die elektronische Karte eine Grundvoraussetzung zum Broterwerb, wäre der Anreiz für Angriffe auf das Sicherheitssystem sehr hoch. Zudem sei die Versuchung für die Regierung groß, die Identifikationsmerkmale zentral zu speichern. Letztlich könne das System ohne Abgleich mit einer großen Datenbank auch kaum funktionieren. Biometrische Merkmale könnten nach Ansicht der Bürgerrechtler zudem einfach "gestohlen" werden und eine Einladung zum Missbrauch darstellen. Die Senatoren hätten aber offenbar selbst erkannt, dass die Speicherung weiterer privater Informationen auf den RFID-Chips, die vermutlich eingesetzt würden, ein "Desaster" wäre.

Die landesweite Einführung einheitlicher elektronischer Personaldokumente in den USA über den "Real ID Act" hat sich bereits 2007 deutlich verzögert. Die Frist zur Modernisierung und Zusammenführung der unterschiedlichen Ausweissysteme der Bundesstaaten wurde damals bis 2013 verlängert. (Stefan Krempl) / (anw)


Aus: "US-Vorschlag für "biometrischen Ausweis" stößt auf Protest" (23.03.2010)
Quelle: http://www.heise.de/newsticker/meldung/US-Vorschlag-fuer-biometrischen-Ausweis-stoesst-auf-Protest-961636.html (http://www.heise.de/newsticker/meldung/US-Vorschlag-fuer-biometrischen-Ausweis-stoesst-auf-Protest-961636.html)

Title: [Das sicherste Dokument auf dem Planeten... ]
Post by: Textaris(txt*bot) on August 21, 2010, 10:37:33 PM
Quote
[...·] Der niederländische Halbleiterkonzern NXP hat am Donnerstag bekannt gegeben, dass das Unternehmen die Chips für den neuen elektronischen Personalausweis produziert, der ab 1. November in Deutschland ausgegeben werden soll. Hergestellt werden die sogenannten SmartMX-Chips, die sich per Near Field Communication (NFC) kontaktlos auslesen lassen, im Hamburger Werk von NXP, das im Jahr 2006 aus der ausgegliederten Halbleitersparte des Philips-Konzern hervorgegangen war.

Gespeichert werden auf dem Chip Passbild, Name, Vorname, Geburtsdatum, Nationalität, Geburtsort und Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke hinterlegt werden. Außerdem ermöglicht er die Übertragung von Daten bei Online-Geschäften, etwa für die sichere Identifizierung oder für einen Altersnachweis. Bei Bedarf kann auf dem Chip auch ein Schlüssel für die elektronische Signatur erstellt werden, also für eine rechtskräftige Unterschrift im Internet.

Die Ausweise selbst werden von der Bundesdruckerei in Berlin hergestellt. "Das ist das sicherste Dokument, das Sie auf dem Planeten finden können", versicherte der NXP-Geschäftsführer in Deutschland, Rüdiger Stroh. Die Chip-Lösung von NXP wird auch beim deutschen Reisepass eingesetzt. NXP hat nach eigenen Angaben bislang rund 500 Millionen SmartMX-Chips verkauft, davon 200 Millionen für E-Government-Anwendungen. (pmz)


Aus: ""Das sicherste Dokument auf dem Planeten"" (19.08.2010)
Quelle: http://www.heise.de/newsticker/meldung/Das-sicherste-Dokument-auf-dem-Planeten-1062365.html (http://www.heise.de/newsticker/meldung/Das-sicherste-Dokument-auf-dem-Planeten-1062365.html)

Title: [Neuer Personalausweis zeigt Sicherheitsmänge... ]
Post by: Textaris(txt*bot) on August 24, 2010, 09:42:08 AM
Quote
[...] Am 1. November führt das Bundesinnenministerium den neuen Personalausweis ein. Auf einem Chip wird er zahlreiche persönliche Daten wie Biometrie oder Fingerabdrücke  enthalten, mittels derer sich die Inhaber auch online ausweisen können. Die hierfür erforderlichen Lesegeräte jedoch sind offenbar leicht zu knacken. Zusammen mit dem Chaos Computer Club hat das ARD-Magazin Plusminus Testversionen der Basislesegeräte für den Ausweis geprüft und berichtet nun, für Betrüger sei es problemlos möglich, sensible Daten abzufangen – inklusive der geheimen, sechsstelligen PIN-Nummer.
Anzeige

Plusminus zufolge sieht Bundesinnenminister Thomas de Maizière (CDU) gleichwohl keinen unmittelbaren Handlungsbedarf. In Broschüren seiner Behörde heißt es, für das Ausleseverfahren reiche ein "einfaches Basislesegerät ohne eigene Tastatur und eigenes Display aus". Gerade diese Technologie aber erleichtere den Klau der Daten, berichtet das Magazin.

Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren. Zum Start sponsere das Bundesinnenministerium für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte, berichtet das Magazin. Das Geld komme aus dem Konjunkturpaket II.

Die Lesegeräte würden unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos als sogenannte Starter-Kits an Bürger verteilt. Sie sollen später auch im Handel in verschiedenen Preisklassen und Sicherheitsstufen angeboten werden.




Aus: "Neuer Personalausweis zeigt Sicherheitsmängel" (24.8.2010, ZEIT ONLINE, dpa)
Quelle: http://www.zeit.de/digital/datenschutz/2010-08/personalausweis-sicherheit (http://www.zeit.de/digital/datenschutz/2010-08/personalausweis-sicherheit)


Title: [De Maizière hält Personalausweis für sicher... ]
Post by: Textaris(txt*bot) on August 30, 2010, 09:07:17 AM
Quote
[...] Bundesinnenminister Thomas de Maizière  (CDU) hält den neuen Personalausweis trotz der Bedenken einiger Experten für sicher und verweist auf die Vorteile. "Der neue Personalausweis macht die Anmeldung und Registrierung an Online-Portalen sowie Rechtsgeschäfte im Internet, zum Beispiel Einkäufe, sicherer", sagte de Maizière der Frankfurter Allgemeinen Sonntagszeitung. Es sei nun möglich, die Identität des Empfängers und des Absenders eindeutig festzustellen. "Das ist ein dramatischer Zugewinn an Sicherheit bei allen Geschäften, die es im Internet gibt."

Der ab 1. November geltende neue Personalausweis speichert die Daten zusätzlich auf einem Chip. Die verschlüsselten Informationen können über eine Nahfunk-Technik versendet und bei Online-Transaktionen genutzt werden. Kritisiert worden war in der ARD-Sendung "Plusminus", dass es bei der einfachen Variante der Lesegeräte möglich sei, den sechsstelligen PIN-Code auszuspähen. Der Bundesdatenschutzbeauftragte Peter Schaar hatte deshalb gefordert, einfache Lesegeräte nicht einzusetzen.

De Maizière sagte dazu, es sei möglich, aber unwahrscheinlich, dass Hacker mit hoher krimineller Energie bei einfachen Lesegeräten den PIN-Code ausspähen. "Damit ist aber das Rechtsgeschäft im Internet noch nicht gefährdet und die eigene Identität nicht missbrauchbar, denn der Angreifer benötigt immer noch den Ausweis selbst", sagte der Innenminister. Außerdem könne jeder Besitzer des neuen Personalausweises eine neue PIN anfordern oder den Ausweis für die Online-Anwendung über eine Hotline sofort sperren lassen. (dpa) / (axv)

Quote
29. August 2010 10:37
Die Sicherheit ist nicht das Problem
Casandro (mehr als 1000 Beiträge seit 04.05.00)

Das Problem ist, dass hier viel Geld verschwendet wird ein
hoheitliches Dokument mit unwichtigen Funktionen auszustatten um ein
Problem, welches nicht existiert nicht wirklich zu lösen.


Quote
29. August 2010 10:52
Es ist immer dasselbe Geschwafel...
SeBiG (mehr als 1000 Beiträge seit 19.12.02)

...wenn es darum geht, mit neuen Technologien als "fortschrittlich"
glänzen zu wollen, bei denen einem die Kompetenz fehlt, sie wirklich
zu verstehen.

Und wer uns das Flickwerk aus Kontrollwahn, Vetternwirtschaft und
gefährlichem Halbwissen am Ende verkaufen soll, hält es für
"grundsätzlich sicher", weil es nur mit "hoher Krimineller Energie"
(die die entsprechenden Kräfte natürlich niiiiemals aufzuwenden
gewillt sind; schliesslich lohnt sich das nicht hinsichtlich des
Ziels, irgendwo mit einer falschen Identität auftreten zu können) und
dem "Original-Ausweis" (hahaha! ...und wenn ich mich online
indentifizieren soll, sitzt ja ein Staatsbeamter neben mir auf dem
Schoß und schaut zu, dass ich auch ja einen
ORIGINAL-BRD-Personalausweis in den Chipleser stecke / alternativ:
Dass ICH es auch wirklich bin, der MEINEN Ausweis in den Chipleser
steckt) umgangen werden kann.

Jaja, und wenn der Mann nach der nächsten Bundestagswahl auf einmal
Familienminister statt Innenminister ist (oder... ääääh... wie war
das? Arbeitsministerin anstelle von Familienministerin?) heisst es
wieder:

WAS GEHT MICH MEIN DUMMES GESCHWÄTZ VON GESTERN AN?

...


Quote
29. August 2010 11:37
Ich frage mich, wie bisher Geschäfte im Internet getätigt werden konnten?
XXIII (mehr als 1000 Beiträge seit 17.07.02)

Unglaublich dass das Internet bis heute überhaupt funktioniert hat!





Aus: "De Maizière hält Personalausweis für sicher" (29.08.2010)
Quelle: http://www.heise.de/newsticker/meldung/De-Maiziere-haelt-Personalausweis-fuer-sicher-1068951.html (http://www.heise.de/newsticker/meldung/De-Maiziere-haelt-Personalausweis-fuer-sicher-1068951.html)

Title: [CCC findet gravierende Fehler... ]
Post by: Textaris(txt*bot) on October 18, 2010, 09:59:17 AM
Quote
[...] Der deutsche Chaos Computer Club (CCC) hat bekannt gegeben mithilfe von Schweizer Sicherheitsexperten gravierende Fehler in der neuen Schweizer "SuisseID", sowie im deutschen elektronischen Personalausweis "ePA" gefunden zu haben.

Der ePA soll in Deutschland am 1. November veröffentlicht werden und enthält persönliche, sowie biometrische Daten. Er bietet einen beschreibbaren Chip, sowie eine drahtlose Schnittstelle. Die Schweizer Variante ist bereits im Umlauf und bietet ein sehr ähnliches Prinzip

In einem Praxistest demonstrierte der Chaos Computer Club mit den Sicherheitsexperten Max Moser und Thorsten Schröder, dass es für jeden mit frei im Internet erhältlicher Software möglich ist, die beiden Ausweistypen ferngesteuert zu nutzen. Die angewendeten Techniken sind bekannt und wurden laut Aussage der Experten schon mehrmals im Zusammenhang mit Bankbetrug genutzt.

CCC-Sprecher Dirk Engling dazu: "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen [...]Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen."

Die angesprochenen Karten bieten ähnliche Funktionen wie die österreichische Bürgerkarte. So kann der User mithilfe eines Kartenlesegerätes den entsprechenden Ausweis an den Computer anschließen und sich so mithilfe eines persönlichen PINs online ausweisen. Hier liegt laut den Experten auch die größte Schwachstelle, denn bei herkömmlichen, billigen Kartenlesern (Sicherheitsklasse 1) wird der PIN Code über den Computer beziehungsweise über die Tastatur eingegeben. Sollte der entsprechende Computer mit einem Virus verseucht sein, kann ein potentieller Angreifer den Code abfangen und einsehen.

So wäre es auch wahrscheinlich, dass ein potentieller Angreifer kompletten Zugriff auf die Kartenfunktionen erhält, so lange jene im Kartenleser verbleibt.

Besonders problematisch an diesem Umstand ist, dass von den deutschen Behörden ein sogenanntes Starter Kit verteilt wird, das aus eben jenen billigen Lesegeräten besteht. Trotz dieser Tatsache sieht das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) keinen Handlungsbedarf, der User müsse seinen Computer eben vor Schadsoftware schützen.

Der CCC rät Usern in jedem Fall ein Kartenlesegerät der Klasse 2 mit integriertem Keypad für die Codeingabe zu nutzen, so kann zumindest eine Angriffsfläche weitgehend ausgemerzt werden. Dieses Keypad schütze jedoch nicht vor anderen aufgedeckten Sicherheitslücken.

[...] Der, an dem CCC Test beteiligte, Sicherheitsexperte Thorsten Schröder kritisiert, dass Deutsche und Schweizer Behörden immer wieder betonen, dass es nicht möglich sei ein hundert Prozent sicheres System zu entwickeln, jedoch versuchen jenes dem Bürger zu vermitteln, so meint er wörtlich: "Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Missbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."

Es geht also in erster Linie darum die User in Sicherheitsfragen bei Übermittlung sensibler Daten im Internet zu sensibilisieren und ein Gefühl der Eigenverantwortung zu geben. Nur wenn ein User über Kontrolle und Bewusstsein über Sicherheitsfragen am eigenen Rechner verfügt, kann ein erster Schritt in Richtung realer Sicherheit in derart heiklen Systemen gemacht werden.

(Thomas Prenner)




Aus: "CCC findet gravierende Fehler in elektronischen Personalausweisen" (16.10.2010)
Quelle: http://www.futurezone.at/stories/1664112/ (http://www.futurezone.at/stories/1664112/)

Title: [Software zum neuen E-Ausweis gehackt... ]
Post by: Textaris(txt*bot) on November 10, 2010, 09:35:01 AM
Quote
[...] Die Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der Software. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt. Über eine Manipulation der Netzwerk-Verbindung (DNS-Server) könnten aber Update-Anfragen der Software an den Bundes-Server auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort könnten dann schädliche Programme auf den PC mit der AusweisApp gelangen. Die Angaben Schejbals wurden von Experten des Fachportals heise.de bestätigt.

Das BSI erklärte, man prüfe derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig seien. "Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren", sagte BSI-Sprecher Tim Griese.

...

Quote
    * uhuznaa
    * 10.11.2010 um 8:54 Uhr

PR-Gau

Man muß dazu sagen, dass diese Sicherheitslücke nur genau das ist: Sie erlaubt das Einschleusen von Code auf dem Rechner. Das hat erstmal nichts mit der Sicherheit des Ausweises oder auch dieser Software zu tun.

Eine PR-Katastrophe sondergleichen ist es trotzdem, denn wenn schon an dieser Stelle so ein gedankenloser Murks gebaut wird, dann will man gar nicht wissen, was da noch alles so schlummert.





Aus: "Sicherheitslücke: Software zum neuen E-Ausweis gehackt" (10.11.2010)
Quelle: http://www.zeit.de/digital/datenschutz/2010-11/software-personalausweis-hack-piratenpartei (http://www.zeit.de/digital/datenschutz/2010-11/software-personalausweis-hack-piratenpartei)
Title: [Das Ministerium attestiert dem System weiterreichende Sicherheit... ]
Post by: Textaris(txt*bot) on September 17, 2013, 12:27:03 PM
http://ccc.de/system/uploads/137/original/ePA-antwort.pdf (http://ccc.de/system/uploads/137/original/ePA-antwort.pdf)

Quote
Trügerische Sicherheit: Der elektronische Personalausweis
2013-09-15 20:52:00, henning

Auf die Frage, was uns alle die zwangsweise biometrische Vermessung für den von Sicherheitslücken betroffenen Rohrkrepierer "elektronischer Personalausweis" kostet, hat die Bundesregierung nun einige Angaben gemacht. Zu den technischen Details der Antworten nimmt der Chaos Computer Club (CCC) hiermit Stellung.

Die Marketing-Abteilungen der üblichen Industrie-Verdächtigen haben dem Bundesministerium des Innern (BMI) einige Stichworte aufgeschrieben, um kritische Nachfragen des Abgeordneten Jan Korte (Die Linke) zur Sicherheit und zu den Kosten des elektronischen Ausweises (ePA) zu parieren. Heraus kamen einige Aussagen, die wir nicht unkommentiert lassen wollen:

Das BMI behauptet, es gäbe seit der Einführung des ePA "keinerlei Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen". Ob Zweifel nicht doch angebracht wären, sei dahingestellt. [6] Daß bisher keine Fälle bekanntgeworden sind, ist im Umkehrschluß kein Beweis dafür, daß der im ePA verwendete Chip nicht bereits geöffnet, reverse engineered und geklont worden wäre.

Das Reverse Engineering von Sicherheitschips ist ein ausgesprochen angesagtes Forschungs- und Interessensgebiet. Daß der im ePA verwendete Chip dran glauben wird, ist somit nur eine Frage der Zeit. Wohl nur das Desinteresse von Ausweisbesitzern und Unternehmen, die neuen Funktionen des ePA zu nutzen, kann erklären, warum bisher keine entsprechenden Ergebnisse publiziert wurden.

Das unter Internetvollprofi Hans-Peter Friedrich irrlichternde Ministerium argumentiert außerdem, die vom Ausweis übertragenen Informationen seien "mit dauerhaft wirksamen [...] Verschlüsselungsverfahren sicher geschützt". Wie "dauerhaft" ein Verschlüsselungsverfahren Daten sichert, muß nicht nur angesichts der Snowden-Enthüllungen und der bekanntgewordenen Angriffe verschiedener Geheimdienste auf die Sicherheit kryptographischer Anwendungen neu bewertet werden, sondern auch anhand der kryptographischen Forschung. [3] Die Haltbarkeit von Schlüssellängen verschiedener Verfahren erwies sich in der gesamten Geschichte der Kryptographie stets als wenig "dauerhaft".

Den Vogel schießt das BMI allerdings mit der Behauptung ab, der Bürger könne sich doch "durch regelmäßige Aktualisierung des Betriebssystems, ein aktuelles Virenschutzprogramm sowie eine Firewall schützen". Diese Behauptung ist nicht nur vielfach widerlegt, [4] sondern schiebt die Verantwortlichkeit einfach auf den Bürger ab – ganz so wie der Noch-Ministeriumschef statt Maßnahmen gegen NSA und GCHQ lieber zur Verschlüsselung der eigenen E-Mails rät.

Moderne Schadsoftware wird oft nicht von Antiviren-Programmen und anderem Snake-Oil erkannt. Und wie eine Firewall gegen einen Keylogger helfen soll, möge das BMI bitte erst einmal erklären. Daß es aber möglich ist, unentdeckbare Spionagesoftware – beispielsweise auf dem Rechner eines Beschuldigten, der mit einem Staatstrojaner ausspioniert werden soll – zu verankern, sollte das BMI mittlerweile wissen. Immerhin nimmt es sich selber vor, das "Risiko einer Entdeckung [des Staatstrojaners] durch geeignete technische Maßnahmen so gering wie möglich" zu halten. [5]

Eine bereits entlarvte Desinformation wiederholt das BMI ebenfalls: "Der Ausweis kann also bei Kenntnis der PIN nur missbraucht werden, wenn er selber zur Verfügung stünde (z. B. gestohlen wird) und die eID noch nicht im Sperrregister gesperrt wurde." Zwar ist derzeit noch kein Verfahren publiziert, wie ein ePA-Chip (zerstörungsfrei) geklont werden kann. Allerdings ignoriert das BMI folgendes praktisches Szenario: Ein Angreifer kann den kompletten Kartenleser inklusive des daraufliegenden ePA aus der Ferne übernehmen. [4], [7] Es mag sein, daß die Voraussetzungen für einen erfolgreichen breiten Angriff nur eingeschränkt vorhanden sind. Dennoch bestehen diese Risiken und sollten den ePA-Nutzern nicht weiterhin verschwiegen werden.

Das BMI erspart uns auch nicht den Blümschen Imperativ: "Die Online-Ausweisfunktion ist sicher." Das Ministerium attestiert dem System weiterreichende Sicherheit als das bloße Verwenden veränderbarer Paßwörter. In Wahrheit wird aber gerade keine Rechtssicherheit hergestellt, obwohl mit dem ePA autorisierte Transaktionen rechtlich bindend sein sollen. Immerhin soll die Online-Ausweisfunktion gerade davor schützen, was Botnetze zehntausendfach ausnutzen: Nach der Übernahme der Kontrolle eines Rechners ist dieser prinzipiell nicht mehr vertrauenswürdig. Auch bei den Angriffen gegen das Online-Banking werden oft nicht die Paßwörter geklaut, sondern die Transaktionen im Browser manipuliert. Gegen solche in Echtzeit durchgeführten Angriffe während elektronischer Transaktionen schützt der ePA eben gerade nicht. Schlimmer noch: Der Benutzer wägt sich in trügerischer Sicherheit.

Daß der Schutz gegen den "zunehmenden Identitätsdiebstahl im Internet", wie die Antwort des BMI behauptet, "wirksam" sei, ließe sich widerlegen, wenn die Technologie tatsächlich mal für irgendwas Relevantes genutzt würde. Im Rahmen einer Anhörung [2] der Internet-Enquête des Deutschen Bundestages attestierte der geladene Sachverständige des CCC, Thorsten Schröder, dem System, daß es den Identitätsdiebstahl erst begünstige. Zuvor hatte Kriminalhauptkommissar Mirko Manske (BKA) ausgeführt, daß insbesondere der Identitätsdiebstahl eine besonders große Rolle in der Internet-Kriminalität spiele. Manske bestätigte Schröders Ausführungen und bemerkte zur Manipulation von Transaktionen in Echtzeit, daß sich nicht mehr die Frage stelle, ob jemand eine Transaktion durchgeführt habe, sondern ob die getätigte Transaktion wirklich die gewesen sei, die er auslösen wollte. Durch die einmalige Identifizierung werde fälschlicherweise eine Sicherheit vorgegaukelt, so Manske.

Die Gefahr durch die Einführung des ePA (im Behördenslang: nPA) besteht nicht durch die zugrundeliegende Technik selbst, sondern durch die mangelhafte Aufklärung und Sensibilisierung der Nutzer durch das BMI hinsichtlich der Risiken, die durch diese Verfahren unausweichlich vorhanden sind. Anstatt sich der Problematik zu stellen und die Risiken durch Aufklärung zu minimieren, setzt das BMI offenbar auf staatlich behauptete IT-Sicherheit und erklärt dem Trend der Zeit folgend das ePA-Sicherheitsproblem für beendet.

Allein die Einführung des elektronischen Ausweises hat bis Ende 2011 über 16 Millionen Euro gekostet, zusätzlich zu den 41 Millionen Euro für das irreführende Online-Ausweis-Marketing. Ende des Jahres dürfen wir vielleicht erfahren, was die Gesamtkosten des ePA-Experiments sind: Am 30. Dezember soll der Rechnungsprüfungsausschuß über die Ausgaben informiert werden.

Anders als beim biometrischen Gesichtsbild ist die Abgabe der Finderabdrücke für den ePA freiwillig, genauso wie das Aktivieren der Online-Ausweisfunktion. Ein einfaches Nein genügt.

Links:

    [1] Antwort des Bundesministeriums des Innern auf die schriftliche Frage des Abgeordneten Jan Korte (Die Linke) vom 9. September (pdf)
    [2] Enquête-Kommission Internet und digitale Gesellschaft, Projektgruppe Zugang, Struktur und Sicherheit im Netz, Protokoll des öffentlichen Expertengesprächs, 28. November 2011
    [3] http://www.keylength.com/
    [4] Chaos Computer Club (2010): Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
    [5] Siehe auch: http://www.bmi.bund.de/SharedDocs/FAQs/DE/Themen/Sicherheit/Datenschutz/Online_Durchsuchungen.html
    [6] "Die gesamte Technik ist sicher" – Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis
    [7] Basisleser weiterhin kritische Schwachstelle des elektronischen Personalausweises

Weitere Informationen: https://www.ccc.de/de/biometrie (https://www.ccc.de/de/biometrie)


Quelle: http://ccc.de/de/updates/2013/epa-mit-virenschutzprogramm (http://ccc.de/de/updates/2013/epa-mit-virenschutzprogramm)

Title: [dass es dem Gemeinwohl dient... ]
Post by: Textaris(txt*bot) on October 17, 2013, 11:15:05 AM
Quote
[...] Die Speicherung digitaler Fingerabdrücke auf deutschen Reisepässen ist zulässig. Das hat der Europäische Gerichtshof (EuGH) am Donnerstag in Luxemburg entschieden (Rechtssache C-291/12). Die gängige Praxis, biometrische Daten auf dem Ausweis zu speichern, entspreche dem europäischen Recht. Auf diese Weise könne Betrug bei der Verwendung von Reisepässen verhindert werden.

Seit November 2007 werden auf neuen deutschen Pässen zwei Fingerabdrücke gespeichert – ein digitales Porträtfoto ist schon länger Pflicht. Ein Rechtsanwalt aus Bochum hatte geklagt, weil er durch die Speicherung sein Grundrecht auf den Schutz persönlicher Daten verletzt sah. Bei seinem Antrag auf Erteilung eines Reisepasses hatte er verweigert, dass seine Fingerabdrücke erfasst werden. Das Verwaltungsgericht Bochum hatte das Verfahren ausgesetzt, um eine Vorabentscheidung des Gerichtshofes der Europäischen Union einzuholen.

Dieser stellt nun fest, dass es dem Gemeinwohl dient, die illegale Einreise von Personen in die Europäische Union zu verhindern. Für den Gerichtshof sei nicht nachzuvollziehen, dass beim Erfassen von Fingerabdrücken die Grundrechte nicht geachtet würden.Es würden auch keine weiteren Ziele verfolgt, als zu verhindern, dass unbefugte Personen fälschlicherweise in das Unionsgebiet einreisen dürfen. Dem Gerichtshof seien außerdem keine anderen ausreichenden Verfahren vorgebracht worden, die einen geringeren Eingriff darstellten.

Die Fingerabdrücke würden nur im Pass selbst gespeichert, schreibt der Gerichtshof weiter, und dieser bleibe ausschließlich im Besitz seines Inhabers. Es gebe keine Rechtsgrundlage dafür, die Daten zentral zu speichern oder für andere Zwecke zu verwenden, als die illegale Einreise zu verhindern. Das Gericht folgt damit weitgehend dem Gutachten des Generalanwalts Paolo Mengozzi vom Juni.

Die Erfassung biometrischer Daten geht zurück auf eine EU-Verordnung von 2004. Aufgrund der Verordnung müssen alle EU-Staaten seit 2006 maschinenlesbare Bilder sowie später auch elektronische Fingerabdrücke in die Reisepässe ihrer Bürger aufzunehmen. Eine Verfassungsbeschwerde gegen die deutsche Umsetzung der Direktive im Passgesetz hatte das Bundesverfassungsgericht nicht zur Entscheidung angenommen. (anw)

Quote
17. Oktober 2013 11:08
Weltfremd wie immer
Oglala

Klar, die Fingerabdrücke werden ausschließlich wie vorgeschrieben nur
auf dem Pass gespeichert und nicht zentral erfasst. Und Pofalla hat
die NSA Diskussion für beendet erklärt. Und Bürger werden, nachdem
sie abgehört wurden, darüber informiert. Und der Verfassungsschutz
ermittelt auch gegen rechts. Und, und, und...

Wenn sich der Staat an die Gesetzte halten würde, könnte ich das
Urteil verstehen...

http://www.heise.de/newsticker/foren/S-Weltfremd-wie-immer/forum-267497/msg-24257515/read/ (http://www.heise.de/newsticker/foren/S-Weltfremd-wie-immer/forum-267497/msg-24257515/read/)




Aus: "EU-Urteil: Digitale Fingerabdrücke dürfen auf Pässen gespeichert werden" (17.10.2013)
Quelle: http://www.heise.de/newsticker/meldung/EU-Urteil-Digitale-Fingerabdruecke-duerfen-auf-Paessen-gespeichert-werden-1980581.html (http://www.heise.de/newsticker/meldung/EU-Urteil-Digitale-Fingerabdruecke-duerfen-auf-Paessen-gespeichert-werden-1980581.html)

Title: [ePass & ePerso... ]
Post by: Textaris(txt*bot) on November 23, 2018, 09:15:46 AM
Quote
[...]  Angreifer könnten sich mit dem neuen deutschen Personalausweis gegenüber Webanwendungen mit vergleichsweise wenig Aufwand erfolgreich mit falschem Namen ausweisen. Das klappt aufgrund einer Schwachstelle im Governikus Autent SDK, auf das Onlinedienste bei der Authentifizierung mittels Personalausweis setzen. In einem Blog-Beitrag zeigen Sicherheitsforscher von SEC-Consult die Attacke auf.

Damit man sich im Web ausweisen kann, verfügt der Personalausweis über einen RFID-Chip. Im Zusammenspiel mit einer Client-Software, beispielsweise AusweisApp 2, und einem passenden Kartenleser kann eine Webanwendung die Identität verifizieren. Diese Log-in-Variante bietet etwa das Steuerportal Elster.

Die Legitimation läuft über einen vertrauenswürdigen Server. Ist die Identität bestätigt, teilt die Client-Software der Webanwendung das Ergebnis mit. Damit Angreifer Anfragen nicht manipulieren können, signiert der Server diese.

Nun kommt die Schwachstelle im Governikus Autent SDK auf der Seite der Webanwendung ins Spiel. Dabei könnte ein Angreifer neben einer korrekt signierten in einer URL verpackten Anfrage noch eine manipulierte mitschicken. Aufgrund der Schwachstelle nickt das SDK die signierte Anfrage korrekterweise ab, verarbeitet aber die manipulierte Anfrage ohne weitere Prüfung.

So könnte sich ein Angreifer bei einem Online-Dienst authentifizieren, damit er über eine signierte Anfrage verfügt, und letztlich eine Aktion im Namen einer anderen Person ausführen. Technische Details zu manipulierten Anfragen führen die Sicherheitsforscher in ihrem Beitrag aus.

Davon sind alle Webanwendungen bedroht, die das SDK bis einschließlich Version 3.8.1 einsetzen. Die Ausgabe 3.8.1.2 ist abgesichert. SEC Consult gibt an, dass sie die Schwachstelle im Juli 2018 dem Notfall-Team CERT Bund des Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet haben. Zu diesem Zeitpunkt hat das CERT Bund den Sicherheitsforschern zufolge betroffene Anbieter kontaktiert.

Web-Admins, die die abgesicherte Version des SDKs noch nicht installiert habe, sollten dies zügig tun. Außerdem sollten Betreiber von Webanwendungen mit Authentifizierungsfunktion über den Personalausweis ihre Log-Dateien prüfen, da Übergriffe dieser Art dort Spuren hinterlassen. (des)


Aus: "Identitätsdiebstahl: Online-Ausweisfunktion vom Personalausweis angreifbar" Dennis Schirrmacher (22.11.2018)
Quelle: https://www.heise.de/security/meldung/Identitaetsdiebstahl-Online-Ausweisfunktion-vom-Personalausweis-angreifbar-4230679.html (https://www.heise.de/security/meldung/Identitaetsdiebstahl-Online-Ausweisfunktion-vom-Personalausweis-angreifbar-4230679.html)