Personalausweis: Online-Funktion

[hikaru]

Man ist im übrigen nicht verpflichtet, diese Funktion zu nutzen.

Das ist aber nicht der entscheidende Punkt, wenn ich Sicherheitsbedenken habe. Der entscheidende Punkt ist dann, dass die Funktion auch kein anderer ohne meine ausdrückliche Zustimmung nutzen kann. Das ist nicht gegeben, denn technisch ist ein Zugriff ohne meine Zustimmung möglich.

Und natürlich gibt es in Deutschland keine Pflicht zur Mitführung des Ausweises, aber das ist doch im Zusammenhang mit dem digitalen Personalausweis völlig egal.

Nein, das ist nicht egal. Die Freiheit, ein qualifiziertes Ausweisdokument nicht mitführen zu müssen, noch dazu eines das prinzipiell unbemerkt und ohne Zustimmung durch Dritte ausgelesen werden kann, ist eine wesentliches Merkmal der informationellen Selbstbestimmung.

Außerdem liest mein Telefon den Chip nur aus, wenn die Karte am Telefon anliegt. Sobald die Karte in Alufolie steckt, geht nichts mehr. Eben getestet.

Das lässt sich aber nicht verallgemeinern.
An den früher angesprochenen 0,5m-Türschlössern setzt Alufolie um meine Schlüsselkarte zwar drastisch die Reichweite herab, wenn ich das Portemonnaie aber direkt auf den Sensor auflege, geht die Tür trotzdem auf.

Auch zur Erstellung von Bewegungsprofilen ist die Lösung sicher nicht gedacht.

Aber sie kann dazu genutzt werden. Das möchten manche nicht und sehen sich in diesem Wunsch durch das Grundgesetz bestätigt. Mehr Begründung für die Ablehnung ist nicht nötig.

Das geht doch durch Handydaten viel, viel einfacher.

Was immer noch voraussetzt, das Handy ständig dabei zu haben. Ich weiß, das ist für manche heute unvorstellbar, aber es soll immer noch Leute geben, die lebensfähig sind, ohne ständig die Taschenwanze in Griffweite zu haben.

[debianoli]

Man ist im übrigen nicht verpflichtet, diese Funktion zu nutzen.

Das ist aber nicht der entscheidende Punkt, wenn ich Sicherheitsbedenken habe. Der entscheidende Punkt ist dann, dass die Funktion auch kein anderer ohne meine ausdrückliche Zustimmung nutzen kann. Das ist nicht gegeben, denn technisch ist ein Zugriff ohne meine Zustimmung möglich.

Und natürlich gibt es in Deutschland keine Pflicht zur Mitführung des Ausweises, aber das ist doch im Zusammenhang mit dem digitalen Personalausweis völlig egal.

Nein, das ist nicht egal. Die Freiheit, ein qualifiziertes Ausweisdokument nicht mitführen zu müssen, noch dazu eines das prinzipiell unbemerkt und ohne Zustimmung durch Dritte ausgelesen werden kann, ist eine wesentliches Merkmal der informationellen Selbstbestimmung.

Ist das denn so? Erfüllt der Personalausweis die Vorgaben des Gesetzes oder sind die technisch nicht umgesetzt worden? Denn im Personalausweisgesetz - PAuswG steht in §18 Abs. 2 ganz eindeutig (Fettung von mir):

(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.

https://www.gesetze-im-internet.de/paus ... 10009.html

[hikaru]

Das ist doch schon geklärt:
Es besteht keine technisch wirksame Zugriffsbeschränkung auf die gespeicherten Daten. Andernfalls könnten staatliche Geräte nicht in jedem Fall Daten Auslesen und die Onlinefunktion ohne PIN oder PUK reaktivieren.
Die Zugriffsbeschränkung ist eine rein Administrative, die darauf beruht, dass nichtstaatliche Stellen eben keine Geräte mit vollem Funktionsumfang bekommen.

Ein Zugriffsschutz des Ausweisinhabers gegen voll funktionsfähige Geräte existiert nicht. Missbrauch kann also entweder durch Staatsbedienstete selbst oder durch Dritte geschehen, die auf welchen Wegen auch immer Zugang zu solchen Geräten erlangen.
Datenschutz existiert hier nur unter der Annahme, dass der Staat mit allen seinen Vertretern vertrauenswürdig ist und für immer sein wird. Und ich hoffe wir müssen nicht im Grundsatz diskutieren, warum diese Annahme naiv ist.

[Tintom]

Das ist doch schon geklärt:
Es besteht keine technisch wirksame Zugriffsbeschränkung auf die gespeicherten Daten. Andernfalls könnten staatliche Geräte nicht in jedem Fall Daten Auslesen und die Onlinefunktion ohne PIN oder PUK reaktivieren.
Die Zugriffsbeschränkung ist eine rein Administrative, die darauf beruht, dass nichtstaatliche Stellen eben keine Geräte mit vollem Funktionsumfang bekommen.

Ein Zugriffsschutz des Ausweisinhabers gegen voll funktionsfähige Geräte existiert nicht. Missbrauch kann also entweder durch Staatsbedienstete selbst oder durch Dritte geschehen, die auf welchen Wegen auch immer Zugang zu solchen Geräten erlangen.
Datenschutz existiert hier nur unter der Annahme, dass der Staat mit allen seinen Vertretern vertrauenswürdig ist und für immer sein wird. Und ich hoffe wir müssen nicht im Grundsatz diskutieren, warum diese Annahme naiv ist.

Ich verstehe deinen Punkt hier nicht ganz. Der Zugriffsschutz ist vom Ausweisinhaber sicherzustellen:

(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist.

Über Sinn und Unsinn dieser Vorschrift will ich gar nicht weiter ausholen, aber faktisch wird hier das Betriebsrisiko auf den Inhaber abgewälzt.

Und noch zum Punkt Induktionsherd ein kleiner Einwurf:

(3) Störungen der Funktionsfähigkeit des elektronischen Speicher- und Verarbeitungsmediums berühren nicht die Gültigkeit des Personalausweises.

[wanne]

Wikipedia [1] schreibt was von 4m als theoretische Obergrenze und beruft sich dabei auf [2].

Die Quelle beruft sich auf das da: https://www.bsi.bund.de/SharedDocs/Down ... onFile&v=2
Da haben die Leute vom BSI mal ausprobiert was sie so hin bekommen und gemeint, dass da bestimmt nicht viel mehr geht wenn man das noch mehr optimiert.
Damit sind sie auf ihre 2,XXm gekommen.
Das ist aus folgenden Gründen Quatsch:

• Ringantennen sind nicht zeitgemäß: Mit ner vernünftigen Fraktalen wirst du vermutlich deutlich mehr erreichen. (Selbst wenn du nicht mehr berechnen kannst warum.)
• Einen authoriserten Handshake passiv abhören heißt nicht passiv zu sein. Ich würde 25 mal irgend wo dazwichen funken dann werden den 10% Ausbeute über 90%.
• Am ende willst du deine SNI hoch drehen. Das geht recht locker indem du den Noise runter drehst. => Nimm ein paar Antennen statt eine und du das störende Signal mittelt sich raus.
• Das ganze geht explizit nicht auf aktive angriffe ein.
• Ich würde mal gucken was passiert, wenn ich ne Schüssel nutze. Ob das bei den 13,56 MHz noch Funktioniert weiß ich nicht. Aber bei Funkt geht probieren über studieren.
• Mit viel Phantasie kommt man bestimmt noch auf andere Ideen.

Ihr "theoretisches" Maximum von 4m ziehen sie daraus, dass in üblichen "ländlichen" Gegenden ab dann das Rauschen so stark ist, dass man aus dem Signal nicht mehr genug Information ziehen kann um die vollständige Nachricht wiederherzustellen.
Auch das ist Quatsch:

• Eventuell reicht es nur teile der Nachricht wieder herstellen zu können.
  Insbesondere wenn du durch aktives stören Übertragungswiederholungen anstoßen kannst...
• Die rechnen da Rauschleistung einfach in Entropie um. Dein Hintergrundrauschen ist aber nicht unabhängig und gleichverteilt. Das ist schlicht physikalisch falsch. Bei WLAN oder DSL ist es schon lange state of the art regelmäßiges Rauschen wieder weg zu rechnen. Kannst du auch für NFC.
• Fast alle der oben genannten Maßnahmen: Mehrere Antennen, größere Antennen, Schüsseln... reduziert dir die Rauschleistung im Vergleich zu einem einfachen Dipol.
• Du kannst natürlich auch den Bereich in dem du angreifst schirmen.

Nur um das mal zu demonstrieren: Wenn man die Rechnung einfach auf die Voyager-Sonden überträgt könnte man die theoretisch aus maximal 30m empfangen! (ca. ein hundertstel der Datenrate bei halber Frequenz aber gleicher Leistung. macht nach Adam Riese sqrt(100/2)*4m≃30m.)
Es wird jetzt keiner mit NASA-Equptment versuchen Ausweise auszulesen. Aber das theoretische Limit ist ein schlechter Witz.

[DeletedUserReAsG]

Es ist ein Account. Jeder Account birgt ein Sicherheitsrisiko.

Kann man so sehen. Der Account wird dann aber nicht gelöscht, wenn man die Zugangsdaten unbrauchbar macht – und nix anderes ist die Karte: etwas, womit man sich authentifizieren kann. Nur man selbst kommt dann nicht mehr ran. Das wäre dann ’n Account, auf den man selbst nicht mehr zugreifen könnte, wenn’s angebracht wäre. Ob das so viel sinnvoller ist, als das Ding einfach mit der gebotenen Umsicht zu handhaben?

Die völlig unspektakulären, aber absehbaren Folgen vom mutwilligen Unbrauchbarmachen der Elektronik werden auch nur sein: du bekommst die Auflage, dir für 26,50€ eine neue, heile Karte zu bestellen, sobald das festgestellt wurde.

Weiterhin sind die Aspekte zu berücksichtigen, dass dieser vom (überwachenden) Staat konzipiert und (bedingt durch Ausschreibungs-/Förderpolitik) von inkompetenten IT-Unternehmen implementiert wurde.

Gibt es Hinweise, die eine dieser Annahmen unterstützen würden (implizit: dass der Kram zur Überwachung geschaffen wurde, und dass die ausführenden Firmen es zusätzlich versaut haben)? Die Vermutung, dass Sicherheitsmechanismen nicht greifen würden, wurde hier im Thread ja mehrfach geäußert. Irgendjemand davon, der das auch irgendwie unterlegen könnte? Ernstgemeinte Frage – bislang wurde das Ding nach meinem Kentnissstand jedenfalls nicht aufgemacht, und ich kann mir ausdrücklich nicht vorstellen, dass es daran liegen soll, dass es noch keiner versucht hätte.

Oder auch nur die Sache mit dem Abgreifen von Daten aus der Ferne – das Ding ist ’ne Smartcard, nix, wo man ’n Lesegerät dranhält und die Daten im Klartext serviert bekommt (wie man’s von alten Magnetstreifenkarten so kennt – wenn auch nicht kontaktlos – oder von billigsten RFID-Tags). Man muss dem μC darin erstmal ordentlich Strom zur Verfügung stellen, sich authentifizieren, der prüft das, und kann dann erst im Rahmen seiner Freigaben die Daten einsehen. Und Replay-Angriff? Sollte in etwa so gut funktionieren, wie bei den üblichen Auth-Mechanismen im Netz: gar nicht, wenn’s nicht irgendwer total versaut hat. Man bekommt den Eindruck, dass sich die Leute, die hier „schlimm, schlimm!“ schreiben, noch nicht dazu bequemt haben, sich einfach selbst mal ’n Lesegerät zu besorgen (die einfachsten Modelle gab’s gar mal als Beilage in einschlägigen Zeitschriften) und zu gucken, was das überhaupt ist, wie es funktioniert, und was man damit so machen kann.

Kleiner Seitenhieb noch auf die „aber aber aber … die Fingerabdrücke!!k“-Fraktion: ihr hinterlasst eure Fingerabdrücke an allem, was ihr ohne Handschuhe anfasst. Viele nutzen sie auch noch freiwillig, um mobile Computer oder Heimautomatisationsanlagen zu entsperren – bei denen könnte ich das Gejammer gar noch weniger nachvollziehen.

Ach, und Tracking: ihr glaubt wirklich, jemand würde recht aufwändige Technik installieren, die dann allenfalls ein paar Meter Reichweite hat, um etwas zu erreichen, was er mit ’ner billigen Cam und entsprechender Software erheblich einfacher, billiger, universeller und mit höherer Reichweite haben könnte? Abgesehen davon gibt es entsprechende Faradayische Käfige, mit denen man die Übertragung von elektromagnetischen Wellen von und zur Karte wirkungsvoll unterbinden kann. Selbst mein popeliges Portemonnaie hat das mittlerweile eingebaut – nix mit Träcking durch hinterhofgetunte NFC-Lesegeräte.

Diese Funktion gehört schon aus Prinzip nicht auf den Personalausweis!

Wozu soll ’n Ausweis denn sonst gut sein, wenn nicht, um sich auszuweisen? Das »n« in nPA ist halt nur, dass es auch auf dem elektronischen Weg entfernten Akzeptanzstellen gegenüber gehen soll. Und mal ehrlich: ich würde erheblich lieber einem Onlinehändler gegenüber mein Alter mit der entsprechenden Funktion meines Personalausweises bestätigen, bei der er eben nur die Info bekommt, ob das angegebene Alter stimmt, als mich datentechnisch auch noch gegenüber Drittanbietern nackig machen zu müssen. Leider bieten’s noch die wenigsten an. Weil irgendwelche Leute irgendwelchen anderen Leuten irgendwelche Märchen drüber erzählen, wie schlimm die Idee doch ist. Und deswegen wird die Beispielanwendung mit den Punkten in Flensburg (und nix anderes, als ‘ne „sowas geht“-Demonstration, ist das halt – weswegen es nicht sonderlich intelligent wirkt, wenn sich jemand drüber auslässt, dass er seine Punkte ja auch im Kopf zusammenzählen könnte) noch länger recht alleine auf weiter Flur bleiben. Und das ist traurig.

[Meillo]

Weiterhin sind die Aspekte zu berücksichtigen, dass dieser vom (überwachenden) Staat konzipiert und (bedingt durch Ausschreibungs-/Förderpolitik) von inkompetenten IT-Unternehmen implementiert wurde.

Gibt es Hinweise, die eine dieser Annahmen unterstützen würden (implizit: dass der Kram zur Überwachung geschaffen wurde, und dass die ausführenden Firmen es zusätzlich versaut haben)?

Was die Sicherheit staatlicher Software-Systeme betrifft, fand ich diesen Artikel recht anschaulich:
https://www.vice.com/en_us/article/zmak ... ing-system

[DeletedUserReAsG]

Ich dachte da eher konkret an den deutschen nPA, der hier das Thema ist.

Mir ist übrigens noch ’ne Anwendung dafür eingefallen, die einigermaßen sinnvoll ist: ich kann damit mein Auto remote abmelden. Gut, ich melde nun nicht zu häufig meine Autos ab, aber solche Sachen sind halt möglich.

[Meillo]

Ich dachte da eher konkret an den deutschen nPA, der hier das Thema ist.

Ist die Situation dort strukturell anders? Wurden da der Code offengelegt? Sind dort unabhaenige Audits mit full-disclosure durchgefuehrt worden? Ist das System so ausgelegt, dass man den staatlichen Mitarbeitern nicht trauen muss? ... Falls es dabei keine strukturellen Unterschiede gibt, ist es wahrscheinlich, dass das System unter den gleichen oder aehnlichen Problemen leidet.

[DeletedUserReAsG]

Ist die Situation dort strukturell anders? Wurden da der Code offengelegt? Sind dort unabhaenige Audits mit full-disclosure durchgefuehrt worden? Ist das System so ausgelegt, dass man den staatlichen Mitarbeitern nicht trauen muss? ... Falls es dabei keine strukturellen Unterschiede gibt, ist es wahrscheinlich, dass das System unter den gleichen oder aehnlichen Problemen leidet.

Spekulieren kann ich auch ganz toll. Ja, es gibt ’nen Unterschied: das ist ein völlig anderes System, zu ’nem völlig anderen Zweck, in ’nem ganz anderen Land, von einer anderen Regierung in Auftrag gegeben, von anderen Leuten ausgearbeitet, von anderen Firmen umgesetzt.

Ich hatte auf was Handfestes zum deutschen nPA gehofft. Ist ja nicht so, dass der erst letzte Woche ausgerollt wurde, und die Leute, die sich damit beschäftigen wollen, erst noch auf die notwendige Hardware warten müssten.

[MSfree]

Wozu soll ’n Ausweis denn sonst gut sein, wenn nicht, um sich auszuweisen?

Und das muß man wirklich mit Drahtlostechnik implementieren? Auf Kreditkarten geht es doch auch mit einem kontaktierten Chip, den man nicht unbemerkt auslesen kann. (Achso, die Funkchips auf den Kreditkarten kann man immerhin deaktivieren lassen)

Das »n« in nPA ist halt nur, dass es auch auf dem elektronischen Weg entfernten Akzeptanzstellen gegenüber gehen soll.

So selten, wie das wirklich nötig ist, sollte man diese unsinnige Funktechnik lieber lassen. Ich hatte dafür in den letzten 30 Jahren jedenfalls keinen einzigen Anwendungsfall.

[DeletedUserReAsG]

Und das muß man wirklich mit Drahtlostechnik implementieren?

Ja. Wenn ich dich fragen würde, würdest du „Nein.“ schreiben. Wollen wir ’ne Umfrage machen?

Ich find’s jedesfalls recht gut – eröffnet die Möglichkeit für viele Anwendungsszenarien. Könnte mir ’nen kontaktbehafteten Leser nur ziemlich schwer in zum Beispiel mobilen Handterminals (Umschreibung für Smartphone, geklaut aus „The Expanse“) vorstellen.

Ich hatte dafür in den letzten 30 Jahren jedenfalls keinen einzigen Anwendungsfall.

Wahrscheinlich lag’s daran, dass es in den letzten dreißig Jahren auch nicht viele Anwendungsmöglichkeiten gab. Glücklicherweise bist du nicht Referenz, sonst würde sich das auch nie ändern

Ich hab z.B. zwei mögliche Anwendungsfälle skizziert (Auto abmelden als Beispielanwendung, Altersnachweis, ohne dafür unnötige Daten preiszugeben). Ich könnte mir noch ’n Dutzend weitere vorstellen.

[wanne]

Ich könnte mir noch ’n Dutzend weitere vorstellen.

Und 99% scheitern daran, dass der Staat der Privatwirtschaft keine Konkurrenz machen kann.
Wenn irgend jemand (Wir wollen hier ja nicht die Telekom nennen.) einen noch so beschissenen alternativeservice anbietet darf der nPA das nicht mehr machen.
Das ist der Grund warum da nicht viel übrig bleibt.

Und das muß man wirklich mit Drahtlostechnik implementieren?

Ja. das ist defakto alternativlos. Steckkarten halten alle samt maximal ein paar 100 Transaktionen eher weniger. Hätte der nPA wirklich die Bedeutung für die er mal gedacht war. (Insbesondere E-Mail Signaturen..) hättest du alle paar Monate einen neuen Ausweis gebraucht. Auf der anderen Seite geht die "Haltbarkeit" von dem Ding so schnell runter das wir wahrscheinlich eh bald auf dem Niveau sind...

Btw. Kannst du dich auch mit Reisepass ausweisen. Der Personalausweis ist keine Pflicht.

[MSfree]

Wenn irgend jemand (Wir wollen hier ja nicht die Telekom nennen.) einen noch so beschissenen alternativeservice anbietet darf der nPA das nicht mehr machen.
Das ist der Grund warum da nicht viel übrig bleibt.

Das, was man so über Killerapplikationen für den Perso liest, überzeugt mich überhaupt nicht. Auch das, was "Konkurrenten" bieten, ist für mich wenig überzeugend. Die Altersverifikation wird doch hoffnungslos überbewertet. Bisher hatte ich eine einzige Internetbestellung, die ich gegen Vorlage des Personalausweises zwecks Altersverifikation beim Paketdienstleister abholen mußte. Da hätte der nPa aber auch nichts geholfen, denn das Päckchen wäre ja nicht durchs Internet geschlüpft.

Ja. das ist defakto alternativlos.

Uih, wie ich dieses Wort hasse.

Steckkarten halten alle samt maximal ein paar 100 Transaktionen eher weniger.

Mag sein, 100 Transaktionen reichen beim nPA aber für mindestens 40 Jahre, eher sogar für 400 Jahre.

Hätte der nPA wirklich die Bedeutung für die er mal gedacht war. (Insbesondere E-Mail Signaturen..) hättest du alle paar Monate einen neuen Ausweis gebraucht.

Und wer braucht Email-Signaturen? 99.999% der Bevölkerung jedenfall nicht. Das ist genauso eine Schnappsidee wie diese unsägliche DE-Mail.

Ich für meinen Teil bin jedenfalls froh, daß ich mich nicht alle paar Stunden irgendwo ausweisen muß und ich hoffe, daß das auch so bleibt.

Btw. Kannst du dich auch mit Reisepass ausweisen. Der Personalausweis ist keine Pflicht.

Der Reisepaß hatte schon viel früher als der Perso die verpflichtende RFID-Technik.

[debianoli]

Ich für meinen Teil bin jedenfalls froh, daß ich mich nicht alle paar Stunden irgendwo ausweisen muß und ich hoffe, daß das auch so bleibt.

Darum geht es hier doch gar nicht, es geht um die Online-Funktionen des neuen Personal-Ausweises. Ich verfolge das Thema eGovernment seit ca. 20 Jahren. Die Online-Ausweis-Funktion ist der erste einfach zu bedienende Ansatz für Verwaltungs-Dienstleistungen, die sich online erledigen lassen. Da sind schon sinnvolle Sachen dabei, die über das Anbieten von Formular-PDFs zum Download und Ausfüllen mit dem Kuli weit hinausgehen. Es ist auch nicht so ein Schrott wie es Elster viele Jahre lang war.
Ob man nun wirklich jede Verwaltungsaufgabe online abwickeln kann und muss, ist jetzt ein anderes Thema. Aber bei Sachen wie zB der Online-Beantragung eines Führungszeugnisses ist das schon sehr hilfreich, denn das betrifft gar nicht so wenige Leute. Siehe Übungsleiter in Sportvereinen etc.

[hikaru]

Ich verstehe deinen Punkt hier nicht ganz. Der Zugriffsschutz ist vom Ausweisinhaber sicherzustellen:

Ertappt!
Ich hatte die Quelle nicht gelesen und ging einfach davon aus, dass das keine Auflage für den Inhaber sondern eine Anforderung an den Ersteller des Ausweises ist.
Etwas Anderes kam mir beim Lesen des Absatzes schlicht nicht in den Sinn und ich verstehe ehrlich gesagt auch jetzt nicht, welche Relevanz das für den Inhaber haben soll. Der Inhaber hat doch gar keine Kontrolle über die technische Implementation der Datenspeicherung auf dem Chip.

@debianoli:
Was war dein springender Punkt beim Zitieren des Absatzes?

(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist.

Über Sinn und Unsinn dieser Vorschrift will ich gar nicht weiter ausholen, aber faktisch wird hier das Betriebsrisiko auf den Inhaber abgewälzt.

Ja, ist leider so, aber das ist ja völlig hirnrissig.
Außer bei mir zu Hause am heimischen Lesegerät kann ich doch nirgends einschätzen, ob die Umgebung "nach dem jeweiligen Stand der Technik als sicher anzusehen ist".
Simpelstes Beispiel: Muss ich jedes mal bevor ich jemandem meinen Ausweis zur elektronischen Abfrage übergebe einen kompletten Check auf Viren, Trojaner und Updates des Windowsrechners meines Gegenübers machen, auf dem letztendlich die Daten aus dem Lesegerät landen? Die lassen mich doch direkt einweisen!

Und noch zum Punkt Induktionsherd ein kleiner Einwurf:

(3) Störungen der Funktionsfähigkeit des elektronischen Speicher- und Verarbeitungsmediums berühren nicht die Gültigkeit des Personalausweises.

Ich glaube den Teil missinterpretierst du.
Das ist nur eine Absicherung für den Aussteller, dass der analoge Teil des Dokuments auch allein gültig bleibt, selbst wenn der digitale Teil vorübergehend oder dauerhaft unbrauchbar ist. Damit soll nur unmittelbarer Handelsbedarf bei einer technischen Störung abgewälzt werden. Das ist aber kein Freibrief für den Inhaber zum Grillen des Chips. Es bleibt Sachbeschädigung und Urkundenfälschung.

indem du den Noise runter drehst. => Nimm ein paar Antennen statt eine und du das störende Signal mittelt sich raus.

Vorausgesetzt, du kennst die Empfangscharakteristik deiner Antennen gut genug und kannst sonstige Störeinflüsse gut genug modellieren. Das mag in dem Bereich gegeben sein (nicht mein Fachgebiet), ganz allgemein kann man aber nicht davon ausgehen, dass das der Fall ist.

Den Rest deines Beitrag nehme ich mangels Kenntnissen mal als zutreffend an.

Darum geht es hier doch gar nicht, es geht um die Online-Funktionen des neuen Personal-Ausweises. Ich verfolge das Thema eGovernment seit ca. 20 Jahren. Die Online-Ausweis-Funktion ist der erste einfach zu bedienende Ansatz für Verwaltungs-Dienstleistungen, die sich online erledigen lassen.

Ich fürchte, beide Parteien reden hier einfach aneinander vorbei.
Die Pro-nPA-Fraktion argumentiert auf Basis der nützlichen Funktionen, die Contra-Fraktion auf Basis der zweifelhaften Sicherheit. Ich behaupte mal, dass die Contra-Fraktion die Nützlichkeit der Funktionen nicht prinzipiell anzweifelt, sondern höchstens für den persönlichen Bedarf als nicht notwendig ansieht.
Was mir bisher fehlt ist eine Betrachtung der Sicherheit seitens der Pro-Fraktion. Meiner Ansicht nach hat zunächst derjenige der eine Funktion bereitstellt nachzuweisen, dass sie sicher ist. Ist dieser Nachweis augenscheinlich schlüssig erbracht, müssen Kritiker die Schwachstellen dieses Nachweises aufzeigen.
Ich sehe schon den Sicherheitsnachweis des Ausstellers nicht als gegeben. Am besten hat das Meillo zusammengefasst: Wo ist der Code? Wo sind die öffentlichen Audits (Wie stoße ich selbst einen an?)? Wie wird Missbrauch durch Staatsbedienstete vorgebeugt?

[Meillo]

Ich fürchte, beide Parteien reden hier einfach aneinander vorbei.
Die Pro-nPA-Fraktion argumentiert auf Basis der nützlichen Funktionen, die Contra-Fraktion auf Basis der zweifelhaften Sicherheit. Ich behaupte mal, dass die Contra-Fraktion die Nützlichkeit der Funktionen nicht prinzipiell anzweifelt, sondern höchstens für den persönlichen Bedarf als nicht notwendig ansieht.

Schoen formuliert!

Was mir bisher fehlt ist eine Betrachtung der Sicherheit seitens der Pro-Fraktion.

Bevor es zu dieser Diskussion kam, hat die Contra-Fraktion ja nur ihren Wunsch formuliert, dass die von ihr (aus welchen persoenlichen Gruenden auch immer) als unsicher oder unerwuenscht betrachten Funktionen abschaltbar sein sollten. Wuerde diesem Wunsch entsprochen werden, waere der meiste Dampf aus dem Thema raus und wir muessten gar nicht darueber diskutieren ob etwas nun objektiv unsicher ist oder nicht und wie jede einzelne Person das zu sehen habe. Jeder koennte dann fuer sich waehlen, auf welcher Grundlage es ihm auch beliebt.

[MSfree]

Bevor es zu dieser Diskussion kam, hat die Contra-Fraktion ja nur ihren Wunsch formuliert, dass die von ihr (aus welchen persoenlichen Gruenden auch immer) als unsicher oder unerwuenscht betrachten Funktionen abschaltbar sein sollten. Wuerde diesem Wunsch entsprochen werden, waere der meiste Dampf aus dem Thema raus

Das ist einer der wesentlichen Punkte.

Nur hat die Regierung festgestellt, daß die bisherige Abschaltbarkeit dazu geführt hat, daß nur extrem wenige diese Funktion hat einschalten lassen. Es wurde also demokratisch abgestimmt, daß eine über 90%-ige Mehrheit diese Funktion nicht wünscht. Was macht die Regierung? Sie beschließt mit einem Gesetz, diesen Volkswillen zu ignorieren und alle mit der Funktion zwangszubeglücken, statt sich dem Votum zu beugen.

[debianoli]

(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist.

Über Sinn und Unsinn dieser Vorschrift will ich gar nicht weiter ausholen, aber faktisch wird hier das Betriebsrisiko auf den Inhaber abgewälzt.

Ja, ist leider so, aber das ist ja völlig hirnrissig.
Außer bei mir zu Hause am heimischen Lesegerät kann ich doch nirgends einschätzen, ob die Umgebung "nach dem jeweiligen Stand der Technik als sicher anzusehen ist".
Simpelstes Beispiel: Muss ich jedes mal bevor ich jemandem meinen Ausweis zur elektronischen Abfrage übergebe einen kompletten Check auf Viren, Trojaner und Updates des Windowsrechners meines Gegenübers machen, auf dem letztendlich die Daten aus dem Lesegerät landen? Die lassen mich doch direkt einweisen!

Der Hintergedanke dürfte beim Gesetzgeber der sein: Man hat seinen Rechner zu schützen. Wenn man das nicht macht, dann ist man bei Missbrauch der Ausweisfunktion in der Nachweispflicht.

Der Schutz der mir anvertrauten Daten durch "geeignete technische Maßnahmen" ist übrigens auch eine zu erfüllende Kernforderung im Rahmen der DSGVO (sobald ich nicht als Privatperson handle). Sprich: Sobald ich beim Versicherungsvertreter einen Vertrag abschließe und dies mit meinem Ausweis an seinem Kartengerät und seinem PC mache, hat der Versicherungsvertreter dafür Sorge zu tragen, dass sein PC sauber ist. Denn ich gehe als Privatperson in gutem Glauben davon aus, dass ich dem Versicherungsvertreter trauen kann und der seine gesetzlichen Pflichten (DSGVO) erfüllt.

[debianoli]

Nur hat die Regierung festgestellt, daß die bisherige Abschaltbarkeit dazu geführt hat, daß nur extrem wenige diese Funktion hat einschalten lassen. Es wurde also demokratisch abgestimmt, daß eine über 90%-ige Mehrheit diese Funktion nicht wünscht. Was macht die Regierung? Sie beschließt mit einem Gesetz, diesen Volkswillen zu ignorieren und alle mit der Funktion zwangszubeglücken, statt sich dem Votum zu beugen.

Auf was bezieht sich deine Aussage zur Abschaltbarkeit? Auf den NFC-Chip oder auf die Online-Funktion? Die bleibt doch bis zur Aktivierung durch den PIN ungenützt und uneingerichtet.

[debianoli]

Ich dachte da eher konkret an den deutschen nPA, der hier das Thema ist.

Ist die Situation dort strukturell anders? Wurden da der Code offengelegt? Sind dort unabhaenige Audits mit full-disclosure durchgefuehrt worden? Ist das System so ausgelegt, dass man den staatlichen Mitarbeitern nicht trauen muss? ... Falls es dabei keine strukturellen Unterschiede gibt, ist es wahrscheinlich, dass das System unter den gleichen oder aehnlichen Problemen leidet.

Zumindest der Code der Ausweisapp ist OpenSource : https://www.ausweisapp.bund.de/download ... en-source/

[Tintom]

Und noch zum Punkt Induktionsherd ein kleiner Einwurf:

(3) Störungen der Funktionsfähigkeit des elektronischen Speicher- und Verarbeitungsmediums berühren nicht die Gültigkeit des Personalausweises.

Ich glaube den Teil missinterpretierst du.
Das ist nur eine Absicherung für den Aussteller, dass der analoge Teil des Dokuments auch allein gültig bleibt, selbst wenn der digitale Teil vorübergehend oder dauerhaft unbrauchbar ist. Damit soll nur unmittelbarer Handelsbedarf bei einer technischen Störung abgewälzt werden. Das ist aber kein Freibrief für den Inhaber zum Grillen des Chips. Es bleibt Sachbeschädigung und Urkundenfälschung.

Nein, das hätte ich deutlicher schreiben sollen. Ich wollte damit keinen Freibrief ausstellen und auch keinen zur Sachbeschädigung aufrufen. Ich wollte damit nur sagen, was du schon schreibst: Analog gültig, selbst wenn digital defekt.

[Meillo]

Der Hintergedanke dürfte beim Gesetzgeber der sein: Man hat seinen Rechner zu schützen. Wenn man das nicht macht, dann ist man bei Missbrauch der Ausweisfunktion in der Nachweispflicht.

Der Schutz der mir anvertrauten Daten durch "geeignete technische Maßnahmen" ist übrigens auch eine zu erfüllende Kernforderung im Rahmen der DSGVO (sobald ich nicht als Privatperson handle). Sprich: Sobald ich beim Versicherungsvertreter einen Vertrag abschließe und dies mit meinem Ausweis an seinem Kartengerät und seinem PC mache, hat der Versicherungsvertreter dafür Sorge zu tragen, dass sein PC sauber ist. Denn ich gehe als Privatperson in gutem Glauben davon aus, dass ich dem Versicherungsvertreter trauen kann und der seine gesetzlichen Pflichten (DSGVO) erfüllt.

Die Realiaet zeigt mir regelmaessig, dass man System nicht komplett sicher machen kann. Niemand kann also gewaehrleisten, dass er sich in einer sicheren Umgebung befindet. (Das heisst nicht, dass es fuer manche nicht auch okay sein kann, es trotzdem zu nutzen ... und irgendwie muss man das auch auch, weil es nirgends endgueltige Sicherheit gibt ... aber fuer jeden Menschen sind die Grenzen bei unterschiedlichen Themen unterschiedlich. Fuer eine Person ist es okay, fuer eine andere nicht. Das sollte die Person selbst fuer sich waehlen koennen.)

Die Realitaet zeigt mir auch regelmaessig, dass Behoerden nicht gerade die besten sind, wenn es um die Umsetzung von sowas wie DSGVO geht. In der Theorie muessen sie es, in der Praxis tun sie es oft nicht in dem Masse wie sie eigentlich muessten (und ihre Mitarbeiter haben teilweise gar keine Ahnung von der Sache). Wenn es um IT-Systemsicherheit geht, traue ich den behoerdlichen Systemen eher weniger zu. (Aber auch das sollte jede Person fuer sich selbst entscheiden koennen. Manch einer traut dem CCC mehr als dem Staat und manch einer anders rum. Es waere schoen, wenn man die Moeglichkeit haette jeder Institution misstrauen zu duerfen.)

In der Theorie stimme ich dir zu, aber in der Praxis beobachte ich eben leider etwas anderes.

[debianoli]

Wenn es um IT-Systemsicherheit geht, traue ich den behoerdlichen Systemen eher weniger zu. (Aber auch das sollte jede Person fuer sich selbst entscheiden koennen. Manch einer traut dem CCC mehr als dem Staat und manch einer anders rum. Es waere schoen, wenn man die Moeglichkeit haette jeder Institution misstrauen zu duerfen.)

In der Theorie stimme ich dir zu, aber in der Praxis beobachte ich eben leider etwas anderes.

Darum bin ich mir auch nicht ganz klar, wie man den nPN denn eigentlich exakt bewerten soll. Denn gerade so etwas wie die Online-Ausweisfunktion hat in meinen Augen Vorteile, gerade im Bezug auf die seit rund 20 Jahren geforderte "Verwaltungsvereinfachung" für den Bürger durch eGovernment. Aber die möglichen Sicherheitslücken sind ebenso nicht ganz von der Hand zu weisen.

[DeletedUserReAsG]

Was mir bisher fehlt ist eine Betrachtung der Sicherheit seitens der Pro-Fraktion. Meiner Ansicht nach hat zunächst derjenige der eine Funktion bereitstellt nachzuweisen, dass sie sicher ist.

Das ist ’ne ziemlich gemeine Forderung, denn es ist schlicht unmöglich, absolute Sicherheit nachzuweisen. Egal, in welchem Kontext. Wer das als Kriterium für die Nutzbarkeit einer Sache nimmt, möge doch bitte konsequent sein, und sämtlichen Rechnerkram dem Recycling zuführen – bei keiner einzelnen Komponente existiert ein Nachweis absoluter Sicherheit, ganz im Gegenteil: bei vielen Komponenten wurde, im Gegensatz zum nPA bislang, der Nachweis der Unsicherheit erbracht (Firmwares, Management-Engines, Spectre et al, etc., pp.,).

Ich für meinen Teil bin jedenfalls froh[…]

Mit der Formulierung ist alles in Ordnung. Mit der Anmaßung der Allgemeingültigkeit aller anderen Aussagen hingegen nicht. Ich, z.B., hätte ganz gerne ’ne Mail-Signierung damit, um nicht immer noch(!) tote Bäume umherschicken, oder gar selbst zu Behörden reisen zu müssen, wenn ’ne im Grunde ganz einfache Sache zu regeln wäre, bei der’s nur an der Authenti-/Identifikation scheitert. Auf der anderen Seite könnte ich sicher sein, dass entsprechend signierte Mails kein Spam sind, und dafür Sorge tragen, dass die nicht aus Versehen verschwinden. Das als Beispiel zu „aber aber aber … ich brauche das nicht, ich kann mir nicht vorstellen, dass es jemand brauchen könnte, also will es keiner!!k“.