Security-Diskussion um SuisseID wird heftiger

22. September 2010, 13:49
  • security
image

Ethische Hacker demonstrieren Schwachstellen, das Seco hält präventiv dagegen.

Ethische Hacker demonstrieren Schwachstellen, das Seco hält präventiv dagegen.
Die verbreiteten Diskussionen um die Sicherheit des im Mai lancierten elektronischen Identitätsnachweises SuisseID werden diese Woche weiter angeheizt. An der Security-Zone-Konferenz in Zürich wollen die beiden "ethischen Hacker" Max Moser und Thorsten Schröder erklären und konkret demonstrieren, welche Schwachstellen die SuisseID ihrer Meinung nach aufweist. Moser und Schröder sind Mitarbeiter des Security-Consulters Dreamlab und Mitglieder der Gruppe Remote-Exploit. Der Vortrag von heute Nachmittag ist bereits ausgebucht, für die Wiederholung morgen früh um acht Uhr sind gegenwärtig (16 Uhr) noch Plätze veröffentlichen.
Wie hoch darf der menschliche Faktor sein?
Einiges über die Kritik der beiden Hacker an der SuisseID kann man aber auch in einem längeren Interview mit Max Moser nachlesen, das '20Minuten Online' heute veröffentlicht hat. Laut Moser muss ein Betrüger keinen physischen Zugriff auf die SuisseID haben – er muss sie also nicht samt PIN-Code klauen – um die Identität eines SuisseID-Users zumindest zeitweise "entwenden" zu können. Voraussetzung ist allerdings, dass der Hacker den PC, beispielsweise über einen Trojaner, gekapert hat, und er kann die ID nur verwenden, so lange die Smartcard oder der USB-Stick mit dem PC verbunden sind. Besonders einfach habe es der Angreifer dabei, wenn der User den PIN nicht separat am Smartcardreader eingeben kann, sondern über den PC selbst eintippt, so dass der Hacker ihn, beispielsweise über einen Keylogger, mitlesen kann.
Das gleiche gilt allerdings für alle Authentisierungssysteme mit dem gleichen Konzept. Spezifischer ist eine weitere Schwachstelle, die Moser und Schröder monieren und auch als gefährlicher erachten: Bei den heutigen Signaturapplikationen, beispielsweise dem "SwissSigner", den die Post beim "SwissStick" mitliefert, sei nicht sichergestellt, dass das Dokument, das ein User sieht, auch genau das ist, was er dann digital mit SuisseID unterschreibt. Moser und Schröder demonstrieren dies anhand eines Kaufvertrags mit dem Foto eines schönen Occasionsmofas, das sich dann als Rostgerippe herausstellt.
"Die SuisseID reduziert auf das Zertifikat und den Smartcardchip ist relativ sicher, jedoch sind es die Applikationen, die den gewünschten Mehrnutzen bringen sollen, und da ändert sich das Bild", erklärte Moser gegenüber '20Minuten'. "Bei der Spezifikation der SuisseID wurden grosse Fehler gemacht, indem zum Beispiel nicht festgelegt wurde, welches Mindestmass an Sicherheit die Umgebung des Benutzers sowie die Softwarekomponenten erfüllen müssen."
Seco: Es ist wie im Strassenverkehr
Das Staatssekretariat für Wirtschaft Seco, das die SuisseID fördern soll, versuchte in einer Pressemitteilung schon heute morgen den negativen Stimmen präventiv entgegenzuwirken. Die Sicherheit der SuisseID erfülle hohe Ansprüche, so das Seco. Diese hänge aber "nicht alleine von der SuisseID-Lösung" ab, sondern sie müsse "in einem Dreieck zwischen Mensch, Computer und dem Internet beurteilt werden."
Der eigentliche Streitpunkt zwischen Befürwortern und Krtikern ist also, welchen Teil der Verantwortung für die Sicherheit man pragmatischerweise dem "Faktor Mensch" überlassen darf oder muss. Das Seco meint dazu: "Vergleichbar mit dem Strassenverkehr, müssen die Anwender auch im Internet gewisse Verhaltensregeln und Schutzmassnahmen einhalten. Dazu gehören beispielsweise, dass die Anwender ihren PIN stets getrennt von der SuisseID aufbewahren, ihren Computer mit einem Virenschutzprogramm schützen und nur Webseiten besuchen, denen sie vertrauen. Wer die SuisseID verantwortungsbewusst einsetzt, kann einen potenziellen Missbrauch ausschliessen. Der fahrlässige Umgang mit dem Internet und das Nichtbeachten der Benutzungsvorschriften kann hingegen die Sicherheit gefährden. Dies ist aber kein SuisseID-spezifisches Problem, sondern gilt für alle bekannten und bewährten Identitätsverfahren vom E-Commerce bis zum E-Banking." (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022
image

Studie: Jugendliche werden nachlässiger beim Datenschutz

Die Sorge, dass persönliche Informationen im Netz landen, hat bei Jugendlichen abgenommen. Aber erstens haben junge Menschen grössere Probleme im Netz und zweitens sind Erwachsene nicht besser.

publiziert am 24.11.2022 1