|
<<
^
>>
Date: 2009-05-17
eVoting: Zertifizierungen sind Schall und Rauch
Die A-SIT hat die elektronische Wahl geprüft - also alles sicher, oder? Das blindes Vertrauen in Zertifizierungen dieser Art unangebracht ist, zeigt eine Sicherheitslücke im Bürgerkartensystem aus 2006 - geprüft und bescheinigt von einem so "unabhängigen" Institut wie der A-SIT.
-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
Forschern des Seclab der TU Wien gelang es, schwerwiegende Fehler in der - ebenfalls von der A-SIT zertifizierten - Bürkerkartenumgebung (BKU) 'trustdesk basic' aufzuzeigen: Mit einem Demotrojaner gelang es, den Inhalt einer signierten Nachricht unbemerkt auszutauschen. Die Signatur - welche genau das verhindern sollte - erscheint trotzdem als gültig. Eine Funktion wie sie auch beim eVoting zum Schutz der abgegebenen Stimme benutzt wird.
Weiters gelang es dem Team eine von der Bürgerkarte eingerichtete sichere Session nach Ihrer Anmeldung bei Finanzonline zu entführen und von einem anderen Rechner fortzusetzen.
Die Forscher geben zu bedenken, dass die von Ihnen aufgezeigte und
demonstrierte Sicherheitslücke auch in anderen Bürgerkartenumgebung
realisierbar wäre. Die Hersteller hatten inzwischen genügend Zeit, Sicherungen gegen genau diese Angriffe einzubauen, das zugrundeliegende Problem der unsicheren Rechner bleibt jedoch bestehen.
Ein amtliches Siegel - wie jenes von der A-SIT - ist keine Garantie für
eine sichere Software. Vielleicht ist der vollständige Bericht der A-SIT zum eVoting deshalb auch geheim. Veröffentlicht wurde nur eine ca auf 1/8 gekürzte Zusammenfassung. Keine vertrauensstärkende Maßnahme.
Die A-SIT ist ein vom E-Government Gesetz erkorener "unabhängiger" Verein, welcher Komponenten des eGovernement vor Ihrem Einsatz prüfen soll. Der wissenschaftliche Leiter Reinhard Posch dieser "unabhängigen" obersten Kontrollstelle ist jedoch zugleich der Chief Information Officer des Bundes im Bürgerkanzleramt und Koordinator der Dachorganisation 'Digitales Österreich'. Als Professor an der TU Graz war er für die Entwicklung des Bürgerkartenkonzeptes und später im BKA der dafür notwendigen Gesetze beteiligt. Heute hat er die Oberaufsicht über alle eGovernment Agenden Österreichs - und berät das BMI und die EU-Kommission.
Damit kann Posch sich quasi selbst die Zertifizierungen und Prüfberichte
ausstellen.
Dieses absolut unprofessionelle Vorgehen ist vor dem Hintergrund der geringen Verbreitung der Bürgerkarten leicht zu verstehen. Große Teile des eGovernment/Bürgerkarten Komplexes leiden unter der fehlenden Akzeptanz. Die A-Trust musste schon mehrmals vor dem Konkurs bewahrt werden. Projekte wie die mobile Signatur der mobilkom erwiesen sich als Millionengrab und wurden wieder eingestellt.
Interne Untersuchungen sollen gezeigt haben, dass ein durchschnittlicher
Bürger nur 1,7 Behördenkontakte im Jahr hat (ohne Strafmandate). Für das Überleben des Projekts werden krampfhaft neue Abnehmer gesucht. Notare und Rechtsanwälte wurden damit zwangsbeglückt, die seit jahrzehnten gültige FAX-Rechnung verboten und durch eine verpflichtende elektronische Signatur ersetzt. (Wobei dem Finanzministerium die Problematik bekannt sein dürfte, weshalb sie seit 3 Jahren jedes Jahr aufs neue eine Ausnahmeregelung in Kraft setzt.).
Wie unbeliebt die Bürgerkarte ist zeigt ein anderes Beispiel: Finanzonline muß auch weiterhin ohne Bürgerkarte zugänglich bleiben. Heute sind die Bürgerkarten-Benutzer mit unter 5% klar in der Minderheit.
Elektronische Wahlen auf Basis der Bürgerkarte scheinen daher wieder der Versuch dieser Lobby zu sein, die Bürgerkarte zu verkaufen. 10.000 Bürgerkarten-Lesegeräte (der schwächsten Sicherheitsstufe) sollen - bezahlt vom Steuerzahler - an Studenten verschenkt werden. Genau jene Geräte, die im Forschungsbericht bemängelt werden. In den letzen 8 Monaten konnten aber trotz eigens vom Ministerium bezahlten Studenten-Scouts nur etwa die Hälfte davon verteilt werden.
Der Bericht über die Sicherheitslücke:
http://www.iseclab.org/papers/citizen_technical.pdf
Reinhard Posch
http://de.wikipedia.org/wiki/Reinhard_Posch
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
edited by Mac Gyver
published on: 2009-05-17
comments to [email protected]
subscribe Newsletter
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
<<
^
>>
|
|
|
|