"Vermeintliche" Schwachstellen im Ausweis-System
Das BSI. Bekleckert sich mal wieder mit Rum. Ein paar Zeilen dieser Pressemeldung sind symptomatisch für ein systemisches IT-Versagen des Staates, der sich lieber auf McKinsey und Microsoft verlässt, als in Leute mit Sachverstand und Rückgrat zu investieren (siehe z.B. Causa Kelber).
Es geht um eine Schwachstelle im eID-System, also der digitalen Variante des Perso.
Picken wir ein paar Perlen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.
Nein, meine Damen und Herren, keine "vermeintliche" Schwachstelle. Eine sehr reale, existierende, die auch ausgenutzt werden kann. Wer sie zu verantworten hat, ist eine andere Sache - aber wenn sie existiert, ist sie nicht vermeintlich.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich. Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren. Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.
"Cyberangriff". Wenn ich das schon wieder lese. "Mehrstufig"!!!
Handtasche geklaut? Da sind dann gleich mal Handy UND Ausweis drin. So als Beispiel eines möglichen "Cyberangriffs". Da ist dann auch gleich die "vollständige Kompromittierung" des Handys inbegriffen.
Und weil andere Online-Dienste genauso scheiße sind, sehen wir keinen Grund unser System besser oder sicherer zu machen.
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen.
Verantwortung externalisieren ist immer eine Lösung. Im Zweifel ist der User schuld. Wenn der User zu blöde ist, seine IT so wegzusperren, dass niemand (einschließlich ihm selbst) an sie rankommt, dann können WIR ja wohl auch NICHTS dafür. Oder Softwareproblem, kann man nichts machen.
Leute, Leute.