**********************************************************
akin-Pressedienst.
Aussendungszeitpunkt: Dienstag, 19. Mai 2009; 18:24
**********************************************************

Moderne Zeiten:

> Wie verkaufe ich eine Buergerkarte?

eVoting: Zertifizierungen sind Schall und Rauch


Die A-SIT hat die elektronische Wahl geprueft -- also alles sicher,
oder? Das blindes Vertrauen in Zertifizierungen dieser Art
unangebracht ist, zeigt eine Sicherheitsluecke im Buergerkartensystem
aus 2006 -- geprueft und bescheinigt von einem so "unabhaengigen"
Institut wie der A-SIT.

Forschern des Seclab der TU Wien gelang es, schwerwiegende Fehler in
der -- ebenfalls von der A-SIT zertifizierten -- Buerkerkartenumgebung
(BKU) 'trustdesk basic' aufzuzeigen: Mit einem Demotrojaner gelang es,
den Inhalt einer signierten Nachricht unbemerkt auszutauschen. Die
Signatur -- welche genau das verhindern sollte -- erscheint trotzdem
als gueltig. Eine Funktion wie sie auch beim eVoting zum Schutz der
abgegebenen Stimme benutzt wird.

Weiters gelang es dem Team eine von der Buergerkarte eingerichtete
sichere Session nach Ihrer Anmeldung zu entfuehren und von einem
anderen Rechner fortzusetzen.

Die Forscher geben zu bedenken, dass die von Ihnen aufgezeigte und
demonstrierte Sicherheitsluecke auch in anderen Buergerkartenumgebung
realisierbar waere. Die Hersteller hatten inzwischen genuegend Zeit,
Sicherungen gegen genau diese Angriffe einzubauen, das
zugrundeliegende Problem der unsicheren Rechner bleibt jedoch
bestehen.

Ein amtliches Siegel -- wie jenes von der A-SIT -- ist keine Garantie
fuer eine sichere Software. Vielleicht ist der vollstaendige Bericht
der A-SIT zum eVoting deshalb auch geheim. Veroeffentlicht wurde nur
eine ca auf 1/8 gekuerzte Zusammenfassung. Keine vertrauensstaerkende
Massnahme.

Die A-SIT ist ein vom E-Government-Gesetz erkorener "unabhaengiger"
Verein, welcher Komponenten des eGovernement vor Ihrem Einsatz pruefen
soll. Der wissenschaftliche Leiter Reinhard Posch dieser
"unabhaengigen" obersten Kontrollstelle ist jedoch zugleich der Chief
Information Officer des Bundes im Buergerkanzleramt und Koordinator
der Dachorganisation 'Digitales Oesterreich'. Als Professor an der TU
Graz war er fuer die Entwicklung des Buergerkartenkonzeptes und
spaeter im BKA der dafuer notwendigen Gesetze beteiligt. Heute hat er
die Oberaufsicht ueber alle eGovernment Agenden Oesterreichs -- und
beraet das BMI und die EU-Kommission.

Damit kann Posch sich quasi selbst die Zertifizierungen und
Pruefberichte ausstellen.

Dieses absolut unprofessionelle Vorgehen ist vor dem Hintergrund der
geringen Verbreitung der Buergerkarten leicht zu verstehen. Grosse
Teile des eGovernment/Buergerkarten-Komplexes leiden unter der
fehlenden Akzeptanz. Die A-Trust (Anm.: die Signaturfirma der
Buergerkarte) musste schon mehrmals vor dem Konkurs bewahrt werden.
Projekte wie die mobile Signatur der mobilkom erwiesen sich als
Millionengrab und wurden wieder eingestellt.

Interne Untersuchungen sollen gezeigt haben, dass ein
durchschnittlicher Buerger nur 1,7 Behoerdenkontakte im Jahr hat (ohne
Strafmandate). Fuer das Ueberleben des Projekts werden krampfhaft neue
Abnehmer gesucht. Notare und Rechtsanwaelte wurden damit
zwangsbeglueckt, die seit Jahrzehnten gueltige Fax-Rechnung verboten
und durch eine verpflichtende elektronische Signatur ersetzt. (Wobei
dem Finanzministerium die Problematik bekannt sein duerfte, weshalb
sie seit 3 Jahren jedes Jahr aufs neue eine Ausnahmeregelung in Kraft
setzt.).

Wie unbeliebt die Buergerkarte ist zeigt ein anderes Beispiel:
Finanzonline muss auch weiterhin ohne Buergerkarte zugaenglich
bleiben. Heute sind die Buergerkarten-Benutzer mit unter 5% klar in
der Minderheit.

Elektronische Wahlen auf Basis der Buergerkarte scheinen daher wieder
der Versuch dieser Lobby zu sein, die Buergerkarte zu verkaufen.
10.000 Buergerkarten-Lesegeraete (der schwaechsten Sicherheitsstufe)
sollen -- bezahlt vom Steuerzahler -- an Studenten verschenkt werden.
Genau jene Geraete, die im Forschungsbericht bemaengelt werden.
(quintessenz)



***************************************************
Der akin-pd ist die elektronische Teilwiedergabe der
nichtkommerziellen Wiener Wochenzeitung 'akin'. Texte im akin-pd
muessen aber nicht wortidentisch mit den in der Papierausgabe
veroeffentlichten sein. Nachdruck von Eigenbeitraegen mit
Quellenangabe erbeten. Namentlich gezeichnete Beitraege stehen in der
Verantwortung der VerfasserInnen. Ein Nachdruck von Texten mit anderem
Copyright als dem unseren sagt nichts ueber eine anderweitige
Verfuegungsberechtigung aus. Der akin-pd wird nur als Abonnement
verschickt. Wer versehentlich in den Verteiler geraten ist, kann den
akin-pd per formlosen Mail an akin.buero{AT}gmx.at abbestellen.

*************************************************
'akin - aktuelle informationen'
a-1170 wien, Lobenhauerngasse 35/2
vox: ++43/1/535-62-00
(anrufbeantworter, unberechenbare buerozeiten)
http://akin.mediaweb.at
akin.buero{AT}gmx.at
Bankverbindung lautend auf: föj/BfS,
Bank Austria, BLZ 12000,
223-102-976/00, Zweck: akin