Websicherheit.org

Das Fernsehmagazin Plusminus hat in Zusammenarbeit mit dem CCC Sicherheitsmängel beim elektronischen Personalausweise festgestellt. Sie beziehen sich auf Basis-Lesegeräte (Cat-B), die allerdings auch nach BSI-Richtlinien keine Geheimhaltung der PIN garantieren können.
Weitere Infos zu der Sendung, welche heute Abend um 21.50 Uhr im Ersten (ARD) ausgestrahlt wird, gibt es hier.

Update 1:
Im Zuge der Diskussion ist mir eine Pressemeldung des BSI aufgefallen:

BSI weist Sicherheitsbedenken zum neuen Personalausweis zurück
Bonn, 24.08.2010.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die in verschiedenen Medienberichten geäußerten Sicherheitsbedenken bei der Verwendung des neuen Personalausweises zurück. Die geschilderte Angriffsmöglichkeit weist auf einen klassischen Trojanerangriff auf den PC des Nutzers hin. Angriffe mit Schadsoftware wie einem Trojanischen Pferd sind bei der Nutzung des Internets grundsätzlich möglich. Bei Verwendung eines Basislesegerätes ohne eigenes Zahleneingabefeld kann ein solcher Trojaner die Tastatureingabe der sechsstelligen PIN mitlesen, die zur Online-Authentisierung mit dem neuen Personalausweis notwendig ist. Um Angriffen mit Schadsoftware und Phishing vorzubeugen, sollten Anwender ihren PC mit den gängigen Methoden (Nutzung von Antivirensoftware und Personal Firewall, regelmäßige Updates aller verwendeten Programme) absichern. [...]

Quelle: https://www.bsi.bund.de/cln_183/…/Sicherheitsbedenken_Personalausweis_240810.html

Ich habe keine Ahnung, wie das BSI zu dieser Aussage kommt.
Betrachten wir uns mal eine andere Identifikation, die über das Internet getätigt werden kann – Homebanking.
Man hat zum Einen die Möglichkeit via PIN sich auf der Webseite des jeweiligen Bankinstitut’s zu identifizieren und die jeweiligen Transaktionen mit der TAN zu bestätigen.
Ist hier der verwendete Rechner mit einer Malware (Keylogger) infiziert und speichert sämtliche Tastatureingaben, dann kann dieses Verfahren an dem kompromittierten Rechner als nicht mehr sicher angesehen werden.
Daher empfiehlt das BSI die Verwendung von HBCI beim Online-Banking.
Neben einer entsprechenden Verschlüsselung (RSA- oder DES-Chipkarte) werden die notwendigen Eingaben über den HBCI-Chipkartenleser (und nicht über die Tastatur des Rechners) getätigt werden.
Es kann beim Chip-Verfahren weder der kryptographische Schlüssel der Karte ausgelesen werden, noch ist das Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner möglich.
Das macht HBCI nicht 100% sicher… bietet aber wesentlich mehr Sicherheit, als das Verfahren via PIN und TAN auf der Webseite des jeweiligen Kreditinstitut’s.

Ernsthaft, was für Homebanking gilt, das sollte bei dem Lesegerät des elektronischen Personalausweises (ePA) ebenfalls Anwendung finden.
Die Installation eines Virenscanners/Firewall bietet für den Anwender keinen ausreichenden Schutz vor Malware. Insbesondere deshalb, da Virenscanner einfach nicht in der Lage sind, eine Malware zeitnah zu erkennen (siehe hier und hier).

Aber es wird im Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz – PAuswG) so geregelt.
Unter § 27 Pflichten des Ausweisinhabers, Absatz 3 ist zu lesen:

Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

Sehr spannend… ich lasse mir da noch mal den letzten Satz auf dem Augapfel zergehen:”Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.”

Was muss der Inhaber des elektronischen Personalausweises tun, wenn er die Absicht hat, den ePA im Internet zur Authentifizierung verwenden will?

• Die Webseite des BSI aufrufen?
• Einmal im Monat?
• Einmal pro Woche?
• Taglich?
• Die erste Seite nach dem Aufruf zu lesen?
• Alles zu lesen?
• Das was man gelesen hat zu verstehen?
• Das was man vestanden hat, umzusetzen (auch wenn dann beim BSI irgendwann mal zu lesen ist: “FreeBSD ist sicherer als Windows – BSI empfiehlt FreeBSD”)?

Mit der obigen Einschätzung der Recherchen von Plusminus und dem CCC hat das BSI in meine Augen bewiesen, das die nicht wirklich die Ahnung haben.

Update 2:
Wer die gestrige PlusMinus Sendung verpasst hat, der kann sich diese in der ARD-Mediathek noch mal anschauen.

Die Nutzung eines Computers mit Internet-Anschluss ist in Deutschland wirklich keine Seltenheit mehr.
Wer einen PC mit Internet-Anschluss nutzt, der kann sicherlich auch mal mit dem Gestz in Konflikt kommen.
Sei es Urheberrechtsverletzungen oder das gezielte Ausspähen fremder Rechner.

Offenbar scheint es seitens der Justiz Computerdelikte zu geben, welche mit “erhöhter krimineller Energie” und “extrem konspirativ” bezeichnet werden.
Welche das sind? Nun, die Nutzung von TOR, Truecrypt und CCleaner.
Ein Scherz? Nicht wirklich. Rechtsanwalt Udo Vetter berichtet in seinem Blog über einen derartigen Vorgang.

Meine Meinung:
Erneut wird bestätigt, das bestimmte Politiker und Juristen soviel Ahnung von IT haben, wie ein Goldhamster vom Hubschrauber fliegen.
Und ich befürchte, daran wird sich so schnell nichts ändern.

• Datenschutz: Deutscher leitet Bußgeldverfahren gegen Facebook ein
• Experte warnt vor gezielten BGP-Angriffen
• Skypes Verschlüsselungsverfahren teilweise aufgedeckt
• Vertrauen in Online-Banking gesunken
• The Pirate Bay: 4 Millionen Nutzerdatensätze abgegriffen
• Justizministerin will gegen Online-Abzocke vorgehen

Bundesverbraucherschutzministerin Ilse Aigner (CSU) ist offenbar dieser Meinung.

“Sollte bis zum Herbst nicht erkennbar sein, dass sich die Button-Lösung auf EU-Ebene durchsetzen wird, werden wir uns um eine nationale Regelung bemühen“

sagte Aigner dem Tagesspiegel.

Wie soll es also funktionieren? Wenn man auf einer derartigen Seite gelangt, dann soll ein Button, also eine unübersehbare Schaltfläche jeden auf die Kosten aufmerksam machen und man muss durch einen Klick auf diesen Button bestätigen, das man zur Kenntnis genommen hat, das Kosten auf einen zukommen.
Rückendeckung bekommt Frau Aigner vom Bundesverband der Verbraucherzentralen (VZBV).

Meine Meinung:
Nun gut, die Politik hat diesen Missstand erkannt und will hier gegensteuern.
Ob diese “Button-Lösung” die richtige Maßnahme ist, um dieses Problem anzugehen, das wage ich zu bezweifeln.

1. Die Betreiber derartiger Abo-Fallen haben schon heute keinen Zahlungsanspruch. Die Opfer zahlen aus Einschüchterung und Unwissenheit.
2. Und wie soll das Opfer beweisen, dass der Button sichtbar war und angeklickt wurde? Die meisten Opfer gelangen über Landing-Pages auf derartige Angebote. Der Verbraucher wird dazu nicht in der Lage sein, und die Betreiber der Abo-Fallen werden auf irgendeinen Button zeigen, der auf der “Vorzeige-Webseite” hinterlegt ist.

Ich habe die Befürchtung, das diese angedachte Maßnahme so wirksam ist wie die vor einiger Zeit diskutierten Stopp-Seiten.
Eine konkrete Abhilfe wäre die Schaffung eines Straftatbestands/Gesetzes, dass diejenigen, die massenweise ungerechtfertigte Rechnungen versenden, mit Haftstrafen bedroht werden.
Aber das ist dann schon wieder eine Nummer zu groß.

Muss man sein WLAN-Netzwerk verschlüsseln? Zu dieser Frage hatten die Gerichte in der Vergangenheit Urteile gesprochen, welche die WLAN-Betreiber mehr verunsicherte als eine klare Rechtsgrundlage lieferte.

Vergangenen Mittwoch hatte der BGH zu dieser Frage ein Urteil gesprochen.
Heise.de hatte dieses Urteil in diesem Artikel thematisiert.

Fassen wir den Artikel mal kurz zusammen:

1. Der Beklagte war zum Zeitpunkt, als das WLAN für Urheberrechtsverletzungen genutzt wurde in Urlaub und konnte nicht beweisen, dass das WLAN während der Abwesenheit deaktiviert war.
2. In erster Instanz hatte das LG Frankfurt den Beklagten antragsgemäß verurteilt. Das OLG Frnakfurt hatte in zweiter Instanz die Klage abgewiesen und der BHG in dritter Instanz das Berufungsurteil teilweise aufgehoben
3. Der Beklagte fungierte nach dem Urteil des BGH nicht als Täter, allerdings als Störer.

Was muss nun ein privater WLAN-Betreiber leisten, damit er mit dem Gesetz nicht in Konflikt gerät?
Zitat aus dem obigen Heise-Artikel:

[...] Dennoch obliege privaten Anschlussinhabern eine Pflicht zu prüfen, ob ihr WLAN-Anschluss durch angemessene Sicherungsmaßnahmen vor der Gefahr geschützt ist, von unberechtigten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden. Dem privaten Betreiber eines WLAN-Netzes sei jedoch nicht zuzumuten, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Die Prüfpflicht bezieht sich daher auf die Einhaltung der im Zeitpunkt der Installation des Routers für den privaten Bereich marktüblichen Sicherungen. [...]

Mir persönlich stellt sich nun die Frage, ob das Urteil anders ausgefallen wäre, wenn der Beklagte sein WLAN abgesichert hätte?
Der Beklagte war ja nicht in der Lage zu beweisen, das sein WLAN während der Abwesenheit deaktiviert war.

Gehen wir mal davon aus, dass der Beklagte einen älteren WLAN Router verwendet. Einen, der lediglich das WEP-Verschlüsselung Protokoll beherrscht.
Gehen wir weiter davon aus, dass dieses WEP-Verschlüsselte WLAN Netzwerk geknackt wird (dauert einige wenige Minuten), dann entspricht diese Verschlüsselung der marktüblichen Sicherungsvorkehrung zum Zeitpunkt, zu dem der Router angeschafft, in Betrieb genommen und konfiguriert wurde. Eine Upgrade auf WPA oder WPA2 ist bei diesem Router nicht möglich.
Wie beweist der Beklagte in diesem Fall das…

1. …die WEP-Verschlüsselung aktiv war?
2. …die Passwortstärke ausreichend lang war?

Immerhin wird der Kläger den Beklagten in einem anwaltlichen Schreiben darüber in Kenntnis setzen und der Kläger hat die Gelegenheit, die WEP-Verschlüsselung nachträglich zu etablieren.
Ähnlich wird es sich bei einer WPA-Verschlüsselung (ich meine nicht WPA2) verhalten, die mittlerweile auch nicht mehr als sicher gilt.

Ich meine, dass dieses Urteil WLAN-Betreiber nicht zwingend davor bewahrt, sich mit Anwälten und Gerichten auseinander zu setzen, wenn ein derartiger Fall eintritt.
Und wie verhält es sich bei diesem Urteil, wenn jemand gewerblich ein WLAN-Netzwerk betreibt?
Also z.B. in einer Gaststätte oder Café? Eine Einschätzung dazu findet man im Blog von Dr. Reto Mantz.

Das Landgericht Magdeburg (7 O 2274/09) hat entschieden, dass ein Vater für Urheberrechtsverletzungen seines volljährigen Sohnes mit in Verantwortung gezogen wird.
In der Pressemitteilung des Landgerichts liest man:

Der Vater hatte sich im Prozess damit verteidigt, nichts gewusst zu haben und nicht einmal einen Computer bedienen zu können. Das Gericht ließ nicht gelten. Auch der Vater haftete, da über seinen Internetzugang der illegale Tausch abgewickelt wurde. Der Vater hätte sich sachkundiger Hilfe bedienen müssen. Durch den Einsatz von „firewalls“ und Schutzprogrammen hätte verhindert werden können, dass der illegale Datenaustausch stattfindet.

Anmerkungen zu diesem Urteil äußert die Anwaltskanzlei Ferner in diesem Artikel.

Meine Meinung:
Ungeachtet dieser Bedenken, so gesehen hätte man also schon als DSL-Anschlussinhaber verloren, wenn der Bruder, Kumpel, Nachbar, etc. mit seinem Notebook vorbei kommt, und fragt, ob er mal gerade seine Mails checken kann.
Wer sagt da schon nein. Und aus Anstand und Diskretion (was geht einem schon die Mails anderer an) schaut man dann auch nicht aufs Display oder gar in der Taskliste. Und wenn da der P2P-Client des Besuchers auf dem Notebook bei dem Start des Betriebssystems automatisch den P2P-Client startet, welcher nur auf eine WAN-IP wartet um mit dem “leechen” der angebrochenen Downloads und “seeden” fortzusetzen.
Man kommt dann ins Gespräch und nach einer Stunde hängt das Notebook immer noch am Netz, während der P2P-Client munter seinen Job macht.
Wenn da die IP Adresse verfolgt wird, und man ein Schreiben von einer Anwaltskanzlei erhält (Wochen später), mag man sich nicht mehr erinnern, das der Besuch möglicherweise das Malheur verursacht hat oder man tippt auf einen Zahlendreher der IP-Adresse.
Alles in allem nicht befriedigend.

Kurz & knapp,
Die Verbraucherzentrale Nordrhein-Westfalen berichtet einleitend:

Immer mehr Online-Auktionsportale locken mit neuen “Erlebnisauktionen”. Viele Lifestyleartikel sowie Trend-Elektronik ließen sich dort laut Werbung mit “bis zu 96 Prozent Preisnachlass”ersteigern. Doch die Verbraucherzentrale NRW warnt vor einer Art Glücksspiel mit hohem Verlustrisiko. [...]

Quelle: http://www.vz-nrw.de/UNIQ126870937027119/link671921A.html

Update:
Am 8. Februar hatte ich obiges gepostet, und gestern hatte ich im ZDF diesen Wiso-Beitrag gesehen:

Auktionen mit Tücken
Vorsicht bei der Schnäppchenjagd im Internet

Der neuste Trend bei Onlineauktionen ist nicht risikolos: Auf Internetplattformen wie etwa hammerdeal.de, swoopo.de, vipauktion.de, dealstreet.de, werden Waren zum Teil zu Schnäppchenpreisen zur Ersteigerung angeboten. Der Nutzer kauft Gebote oder Zeit und setzt diese mit jedem Gebot ein. Bekommt ein anderer den Zuschlag, geht der Nutzer nicht nur leer aus, sondern hat auch das eingesetzte Geld verloren.[...]

Quelle: http://wiso.zdf.de/ZDFde/inhalt/9/0,1872,8050217,00.html

In dem Artikel ist ein Video zu dem TV-Beitrag vorhanden.

Gibt es was neues zu dem Thema? Nicht wirklich was neues, aber eine Beurteilung des Sachverhaltes durch Rechtanwältin Dr. Astrid Auer-Reinsdorff zur rechtlichen Einordnung dieser Auktionen.
Glücksspiel hin, Auktionsplattform her, wenn man hier nicht aufpasst, dann wird man dort ganz schnell genau so viel Geld los wie bei den dubiosen Quiz-Sendungen im Fernsehen, wo die Antwort offensichtlich ist, niemand anruft, und man jedes mal bei einem Anruf von der Telefonanlage ab serviert wird,
und kommt man durch, einem dies oder das hier passieren kann.
Wenn man deren Fußangeln kennt, fällt man auch nicht mehr darauf rein. Genauso wenig blauäugig sollte man auf den Auktionsportalen agieren.

Thomas Hoeren, Jura-Professor von der Universität Münster hat eine überarbeitete Version seines Kompendiums “Internetrecht” zum Download (PDF-Datei) kostenlos bereitgestellt. Die Entwicklungen der vergangenen Monate wie etwa die drei Novellierungen des Bundesdatenschutzgesetzes wurden hier berücksichtigt. Außerdem wurden gegenüber der vorigen Fassung mehr als 300 Urteile und Literaturfundstellen eingearbeitet.

Kurz & knapp…
Heise.de berichtet in diesem Artikel:

Das Landgericht Köln hat eine Klage abgewiesen, mit der sich ein Hauseigentümer gegen das Abfotografieren seines Hauses mit anschließender Veröffentlichung inklusive des Straßennamens und der Hausnummer auf einem Internetportal wehren wollte.[...]

Meine Meinung:
Hat das Gericht hier nicht einen Sachverhalt bestätigt, der schon immer erlaubt war? Was öffentlich sichtbar ist, kann doch photographiert werden, wenn man dabei keinen Hausfriedensbruch begeht.
Wer nicht will, das seine Immobilie abgelichtet wird, der soll es auf ein Grundstück bauen, das groß genug ist, das Bäume, Sträucher oder Hecken dies nicht zulassen.

Update:
Heise.de hat dieses Thema erneut mit dem Artikel Gericht: Keine Rechtsverletzung bei Fotos von fremden Gebäuden aufgegriffen.
In diesem ist einleitend zu lesen:

Die Stiftung Preußische Schlösser und Gärten konnte sich im Berufungsverfahren vor dem OLG Brandenburg mit ihrer Forderung nach Schadensersatz gegen zwei Fotoagenturen und einen Fotografen nicht durchsetzen.[...]

Heise.de berichtet einleitend:

Auch das kurzfristige Herunterladen von Kinderpornos in den Arbeitsspeicher ohne ein manuelles Abspeichern bringe Nutzer in den strafbaren Besitz der Dateien, stellte das OLG Hamburg fest.[...]

Quelle: http://www.heise.de/newsticker/meldung/Urteil-Kinderpornos-anklicken-ist-strafbar-931446.html

Ist ja schön, das sich die Justiz Gedanken zur Bekämpfung um Kinderpornographie macht ist ja löblich, aber das mag ja Tür und Tor für eine Abzock-Welle öffnen.
Also nochmal – Derartige Bilder werden nicht auf Festplatte gespeichert sondern nur im Arbeitsspeicher zwischengespeichert (eben so, als wenn der Porno-Modus des Browsers aktiviert ist).
Wenn der Rechner herunter gefahren wurde, sind auch die Bilder weg.
Wie will man also beweisen, das man die Bilder betrachtet hat?
Bundestrojaner?
Wenn also jemand einem anderen etwas böses will, dann schickt er der Person einen Link via E-Mail, welcher mit z.B. TinyURL gekürzt wurde.
Das Opfer klickt den Link an, bekommt die Bilder zu sehen, löscht den Browsercache und hat einige Tage später Besuch von der Polizei.
Wie kommt’s?
Der, der den Link versendet hat, kann durch ein Protokoll beweisen, das derjenige mit der IP (wenn sie denn nicht verschleiert war), Inhalte von jener Webseite abgerufen hat.

Und wie kann man das Zufällige Auffinden einer KiPO-Seite der Polizei melden UND glaubhaft versichern, das man die Bilder eigentlich nicht gesehen hat? Richtig – gar nicht.
Man behält es besser für sich, und schaut, das man einer solchen Seite zukünftig fern bleibt.