Naja, wenn man sich die Veröffentlichung ansieht, dann ist das schon
auf den Punkt.
Melph schrieb am 16. September 2013 19:54
> Der EPA ist sicher und (bisher) nicht gehackt.
In der künstlich begrenzten (typisch technischen) Auslegung so weit
richtig.
> Die Lesegeräte -ausser dem Komfortgerät- sind ein Sicherheitsrisiko.
> Das sind ähnliche Geräte aber auch schon beim Onlinebanking.
Mag sein, aber das muss den Leuten auch gesagt werden. Stattdessen
wird nur "ist sicher" wiedergekäut und das beschränkt sich beim
Rezipienten nicht auf das Stück Hardware "Ausweis".
> Worüber man sich eigentlich aufregen müsste ist:
> 1. Dass noch immer displaylose Lesegeräte ohne Tastatur empfohlen
> werden.
> 2. Dass das notwendige Browserplugin so selten aktualisiert wird,
> dass man es fast nur mit veralteten -und damit gefährlichen- Browsern
> nutzen kann.
> 3. Dass der CCC über Lesegeräte rumnölt anstatt Ausweise zu zerlegen
> und die Verschlüsselung zu brechen.
Stimmt alles.
Aber, der entscheidende Punkt wurde eben nicht tangiert von Dir. Mit
"der Ausweis ist sicher" wird nicht nur Deine eingeschränkte
Auslegung auf die Karte selbst abgedeckt, sondern der gesamte Komplex
nPA, inklusive der darauf basierenden Dienste - und genau so wird das
auch kommuniziert (Bsp:
http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Flyer-und
-Broschueren/Informationskarten_barrierefrei_kurz.html?nn=3043354).
Und genau hier ist die Kritik nicht nur absolut angebracht, sondern
trifft mit der gegenteiligen Feststellung, dass der Ausweis (mit
seiner Gesamtfunktionalität) den Identitätsdiebstahl eben sogar
begünstigt ganz genau ins Schwarze.
Der Komplex "Ausweis und wofür der alles gut sein soll" ist als
Gesamtheit neu zu beackern und zu überarbeiten, ansonsten kann es
richtig übel werden. Selbst dann, wenn die Hardware "Ausweis" selbst
nie geknackt würde.
Das fängt bei den (nicht nur empfohlenen, sondern sogar auf
Bundeskosten in argen Stückzahlen verschenkten:
http://www.personalausweis-kartenlesegeraete.de/tipps/kostenlose-lese
gerate-und-gratis-kartenleser/) tastaturlosen Geräten an und endet
bei messerscharfer Abgrenzung von Nutzszenarien gegenüber möglichen
Schadszenarien in der Kommunikation. Doch wenn man das täte, sähe es
grade düster aus für den darzustellenden Nutzwert.
(Für die Übernahmeszenarien bei aufliegendem Ausweis sei angemerkt,
dass eine Nutzung nach den Vorstellungen der Außenkommunikation des
BMI den Ausweis schnell dauerhaft auf dem Lesegerät zu liegen bringen
würde und das damit zur wirklich sperrangelweit offenen Tür macht. So
als Appetitmacher, was sich das BMI da alles vorstellt(e):
http://www.personalausweisportal.de/DE/Home/Informationsfilm/informat
ionsfilm_node.html - irgendwo sollte sich auch das mit dem Notebook
finden, ach da:
http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Informati
onsfilme/eID-Animation.swf?__blob=publicationFile ... )
Aber, noch wäre ja Zeit, da mal umzuschwenken. Zuerst natürlich bei
der Kommunikation. Vielleicht würde da auch die Wiedererkennung des
Unterschieds zwischen Werbung und den eigentlichen Aufgaben
behördlicher Information bei abfallen. Das Ineinanderfließen dieser
beiden Sachen geht mir persönlich am meisten auf den Zeiger.
auf den Punkt.
Melph schrieb am 16. September 2013 19:54
> Der EPA ist sicher und (bisher) nicht gehackt.
In der künstlich begrenzten (typisch technischen) Auslegung so weit
richtig.
> Die Lesegeräte -ausser dem Komfortgerät- sind ein Sicherheitsrisiko.
> Das sind ähnliche Geräte aber auch schon beim Onlinebanking.
Mag sein, aber das muss den Leuten auch gesagt werden. Stattdessen
wird nur "ist sicher" wiedergekäut und das beschränkt sich beim
Rezipienten nicht auf das Stück Hardware "Ausweis".
> Worüber man sich eigentlich aufregen müsste ist:
> 1. Dass noch immer displaylose Lesegeräte ohne Tastatur empfohlen
> werden.
> 2. Dass das notwendige Browserplugin so selten aktualisiert wird,
> dass man es fast nur mit veralteten -und damit gefährlichen- Browsern
> nutzen kann.
> 3. Dass der CCC über Lesegeräte rumnölt anstatt Ausweise zu zerlegen
> und die Verschlüsselung zu brechen.
Stimmt alles.
Aber, der entscheidende Punkt wurde eben nicht tangiert von Dir. Mit
"der Ausweis ist sicher" wird nicht nur Deine eingeschränkte
Auslegung auf die Karte selbst abgedeckt, sondern der gesamte Komplex
nPA, inklusive der darauf basierenden Dienste - und genau so wird das
auch kommuniziert (Bsp:
http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Flyer-und
-Broschueren/Informationskarten_barrierefrei_kurz.html?nn=3043354).
Und genau hier ist die Kritik nicht nur absolut angebracht, sondern
trifft mit der gegenteiligen Feststellung, dass der Ausweis (mit
seiner Gesamtfunktionalität) den Identitätsdiebstahl eben sogar
begünstigt ganz genau ins Schwarze.
Der Komplex "Ausweis und wofür der alles gut sein soll" ist als
Gesamtheit neu zu beackern und zu überarbeiten, ansonsten kann es
richtig übel werden. Selbst dann, wenn die Hardware "Ausweis" selbst
nie geknackt würde.
Das fängt bei den (nicht nur empfohlenen, sondern sogar auf
Bundeskosten in argen Stückzahlen verschenkten:
http://www.personalausweis-kartenlesegeraete.de/tipps/kostenlose-lese
gerate-und-gratis-kartenleser/) tastaturlosen Geräten an und endet
bei messerscharfer Abgrenzung von Nutzszenarien gegenüber möglichen
Schadszenarien in der Kommunikation. Doch wenn man das täte, sähe es
grade düster aus für den darzustellenden Nutzwert.
(Für die Übernahmeszenarien bei aufliegendem Ausweis sei angemerkt,
dass eine Nutzung nach den Vorstellungen der Außenkommunikation des
BMI den Ausweis schnell dauerhaft auf dem Lesegerät zu liegen bringen
würde und das damit zur wirklich sperrangelweit offenen Tür macht. So
als Appetitmacher, was sich das BMI da alles vorstellt(e):
http://www.personalausweisportal.de/DE/Home/Informationsfilm/informat
ionsfilm_node.html - irgendwo sollte sich auch das mit dem Notebook
finden, ach da:
http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Informati
onsfilme/eID-Animation.swf?__blob=publicationFile ... )
Aber, noch wäre ja Zeit, da mal umzuschwenken. Zuerst natürlich bei
der Kommunikation. Vielleicht würde da auch die Wiedererkennung des
Unterschieds zwischen Werbung und den eigentlichen Aufgaben
behördlicher Information bei abfallen. Das Ineinanderfließen dieser
beiden Sachen geht mir persönlich am meisten auf den Zeiger.