E-Identitätsnachweis

24. September 2010 11:51; Akt: 24.09.2010 15:26 Print

«Wir sind lernfähig»

von Henning Steier - Die SuisseID macht mit Vorbestellungen statt Verkäufen Schlagzeilen. Diese Woche wurden zudem massive Sicherheitsprobleme publik. Anstatt sie umgehend zu lösen, feilt das SECO an der Kommunikation.

storybild

SuisseID: SECO und Post passen Informationen auf ihren Webseiten an.

Zum Thema
Fehler gesehen?

Denis Simonet ist empört: «Das SECO scheint an sich selbst zu zweifeln. Man hätte eine neue Medienmitteilung verschicken sollen, in der man offen Stellung nimmt. Denn immerhin handelt es sich hier um eine staatliche Organisation, die zur Wahrheit und Offenheit verpflichtet ist.» Dem Chef der Piratenpartei Schweiz war aufgefallen, dass das SECO Aussagen zur Sicherheit der SuisseID heimlich angepasst hat.

Zuvor hiess es im Dokument, das Simonet auf der Websites des Anbieters QuoVadis noch im Original fand: «Selbst wenn ein Hacker mit einem Trojaner Kenntnis vom PIN und von der SuisseID-Nummer beschaffen könnte, nützt ihm das nichts. Für einen Missbrauch der Identität für ein Login oder eine elektronische Unterschrift müsste er in jedem einzelnen Fall auf die SuisseID-Karte oder den USB-Stick zugreifen können.» In diesem Absatz wurden allerdings nicht Rechtschreib- und Grammatikfehler korrigiert. Er wurde stattdessen ganz gelöscht.

Angriff auf die SuisseID

Im Interview mit 20 Minuten Online hatte Hacker Max Moser kritisiert dass «nicht festgelegt wurde, welches Mindestmass an Sicherheit die Umgebung des Benutzers sowie die Softwarekomponenten erfüllen müssen.» Ausserdem zeigte er mit seinem Kollegen Thorsten Schröder auf der Konferenz Security Zone in Zürich einen Angriff auf das Lesegerät, den man mit frei verfügbarer, nur leicht modifizierter Software ausführen kann. Darauf hat das SECO reagiert und auf seiner Informationsseite nun den Satz eingefügt: «Lesegeräte von höherer Sicherheitsstufe (C2, C3) können die Angriffsmöglichkeiten weiter einschränken.»

Auch die Post hat in aller Stille Text zur SuisseID von ihrer Website entfernt. In einer Mitteilung vom 13. August hiess es unter anderem noch: «Kann ein Hacker, der sich mit einem Trojaner mein SuisseID-Kennwort beschafft, meine elektronische Identität missbrauchen? Nein. Selbst wenn ein Hacker das SuisseID-Kennwort (PIN) beschaffen könnte, nützt ihm das noch nichts, weil er zur Verwendung Ihrer Identität für eine Unterschrift oder ein Login immer auch im Besitz Ihres privaten Schlüssels sein muss. Der private Schlüssel ist auf dem hochwertigen Kryptochip der SuisseID gespeichert und kann weder kopiert noch verändert werden. Das SuisseID-Kennwort allein ist ohne Nutzen. Der Hacker müsste gleichzeitig zwingend auch im Besitze der SuisseID selber (Karte oder Stick) sein.»

Die Post war schneller

«Die Postkonzerngesellschaft SwissSign aktualisiert laufend die Webseiten zur Verbesserung der Kundenkommunikation. So sind die genannten Sicherheitshinweise schon seit 13. September so als Information für unsere Kunden aufgeführt», sagte Sprecher Oliver Flüeler auf Anfrage. SECO-Projektleiter Christian Weber sagte heute zu 20 Minuten Online: «Wir sind froh, dass Moser und Schröder die Diskussion neu angefacht haben. Man werde nun mit Partnern daran gehen, die Sicherheit des Systems zu verbessern. Wir sind schliesslich lernfähig.» Auf die Frage, warum das SECO die neue Entwicklung nicht offen kommuniziert habe, sagte Weber: «Wir können nicht jeden Tag eine Medienmitteilung versenden.» Vor zwei Tagen hatte er im Interview bereits eingeräumt, dass es eine Frage des Geldes sei, das System des elektronischen Identitätsnachweises sicherer zu machen. Von den ursprünglich beantragten 40 Millionen seien am Ende 21 Millionen Franken bewilligt worden. Ein Kritikpunkt in Mosers und Schröders Präsentation war, dass es keine Zertifizierung der Applikationen gibt. Laut Weber hätte es zu viel Zeit verschlungen, derartige Standards bis zum Marktstart zu entwickeln. «Vor einem Jahr wurde uns das Geld vom Parlament bewilligt. Also haben wir berechnet, dass die Suisse ID im Mai 2010 auf den Markt kommen muss, damit die ausschliesslich für dieses Jahr bewilligte Subvention noch ausgeschöpft werden kann.»

Auf die Frage nach dem alten Witz von der Bananen-Lösung, die beim Kunden reift, hatte Weber gekontert: «Wer verkauft halbfertige Lösungen? Das SECO hat die Spezifikation der beiden Zertifikate festgelegt, welche auf dem Chip sind.» Die SuisseID sei aber ein Zusammenspiel von Hardware, Software und Verhalten der Anwender. Sie müssten beispielsweise PIN und Stick beziehungsweise Karte getrennt aufbewahren und ein aktuelles Virenschutzprogramm auf ihrem Rechner verwenden. Das SECO hat auf der SuisseID-Website Empfehlungen zum sicheren Umgang mit der SuisseID veröffentlicht. Spekulationen, die SuisseID werde es angesichts von bislang erst 10 000 verkauften Exemplaren bald nicht mehr geben, hatte Weber nicht teilen wollen: «Wir haben aber zusätzlich rund 110 000 Bestellungen von Grossabnehmern erhalten. Bis Ende des Jahres sollen diese auch noch abgesetzt werden. Bekanntlich subventioniert der Bund jedes verkaufte Exemplar mit 65 Franken. Und die dafür bereit gestellten 17 Millionen Franken gibt es nur bis zum Jahresende.» Bei der Vorstellung der SuisseID hatte es geheissen, bis zum Jahresende sollten 300 000 Exemplare verkauft werden - eine Marke, die Christian Weber keine schlaflosen Nächte bereitet: «Wir halten dieses Ziel nach wie vor für erreichbar.»