26.05.2014

SuisseID: Fluch oder Segen?

SuisseID ist, wenn nicht in aller, dann doch in vieler Munde. Während die einen auf die praktischen Vorteile verweisen – kein Schlangenstehen mehr auf den Ämtern – und die Einführung eines elektronischen Identitätsnachweises für überfällig hielten, warnen andere vor den möglichen Gefahren durch Datenausspähung oder gar Datenklau und anderen kriminellen IT-Machenschaften, die in der möglichen Manipulation der Sicherheitsinfrastruktur liegen könnten. Zu Recht?

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
SuisseID

Vorteiler der digitalen Identifizierungstechnik SuisseID

Mit SuisseID lassen sich unstrittig viele Dinge erledigen, für die man andernfalls persönlich vorsprechen oder sich anderweitig umständlich als derjenige ausweisen müsste, der man zu sein vorgibt. Online-Einkäufe, Ummeldungen, gesicherter Emailversand und der Online-Nachweis der Volljährigkeit zum Bezug bestimmter beschränkter Software, Computerspiele oder ähnlichem sind nur einige der vielen Vorteile, auf die Befürworter der SuisseID gerne verweisen. Sogar die Post ist auf den Zug aufgesprungen und präsentiert mit Post SuisseID ihrer Version der digitalen Identifizierungstechnik. Laut Eigenaussage auf www.postsuisseid.ch ist SuisseID «Ihr virtueller Pass und Ihr Kugelschreiber zugleich», und die Nutzer gingen «mit der Post SuisseID (…) auf Nummer sicher im elektronischen Geschäftsverkehr.»

Wie sind solche Aussagen zu werten – als nichtssagende Werbesprüche? Als selbstgefälliges, aber die Sicherheit ignorierende virtuelle Schulterklopferei, da mit SuisseID alles technisch Machbare unternommen wurde, um die Identitätsprüfung narren – und vor allem fälschungssicher zu gestalten?

Einsatzmöglichkeiten von SuisseID

Zuerst einmal muss festgestellt werden, dass SuisseID ein elektronischer Identitätsnachweis ist – nicht mehr und nicht weniger. Im typischerweise anonymen Internet gilt es nicht nur, die Übertragung von Daten zu verschlüsseln, sondern auch sicherzustellen, dass Absender und Empfänger tatsächlich diejenigen sind, für die sie sich ausgeben. Die Seite der Absender-, Kunden- oder Käuferverifizierung soll SuisseID erledigen. Mittels Chipkarte oder USB-Stick soll die Echtheit der persönlichen, digitalen Signatur garantiert werden. Hat die Gegenstelle – die selbstverständlich in die SuisseID-Infrastruktur eingebunden sein muss – die Signatur überprüft und akzeptiert, stehen dem Nutzer der SuisseID vielfältige Einsatzmöglichkeiten offen. Vom gesicherten Onlineeinkauf über Verifizierung beim Emailversand bis hin zur elektronischen Ausweiskontrolle beim Zugang zum Firmennetz. Gerade der letzte Punkt ist natürlich für Unternehmen interessant, die sicherstellen wollen, dass nur ihre Mitarbeiter einen Zugang zum Firmennetzwerk erlangen – Stichwort VPN. Allerdings muss man auch wissen, dass die SuisseID kein Verschlüsselungszertifikat enthält, sie besorgt nur die Verifizierung der Person, die sie benutzt.

Technischer Hintergrund des Ganzen ist eine so genannte Public Key Infrastructure (PKI), also ein Geflecht aus Zertifizierungsstellen, Zertifizierungsgebern und -nehmern. Privatpersonen können – ebenso wie Unternehmen – die SuisseID von der QuoVadis Schweiz und der Schweizerischen Post respektive der SwissSign AG erhalten, während die Swisscom ausschliesslich Unternehmen beliefert. Das Bundesamt für Informatik und Telekommunikation (BIT) schliesslich liefert die SuisseID für Verwaltungszwecke. Eine Liste der Anbieter finden Sie auf www.suisseid.ch

Kostenlos ist der elektronische Identitätsnachweis nicht – bei QuoVadis etwa kostet die SuisseID etwa CHF 180, bei einer Laufzeit von drei Jahren. Erwähnenswert ist noch, dass die Einführung der ID 2010 beschlossen wurde und seitdem massiv beworben wird. Interessant auch, dass der Bund im Jahr 2010 für CHF 17 Millionen den Erwerb einer SuisseID mit einem Betrag von CHF 65 subventionierte.

Sicherheitsbedenken bei der Verwendung der SuisseID

Aber es gibt Bedenken, und die sind nicht unbedingt gegen die SuisseID an sich gerichtet, sondern gegen vorgeblich fälschungs- und missbrauchssichere elektronische Sicherheitssysteme in ihrer Gesamtheit. So hat beispielsweise der bundesdeutsche Ärztetag im Jahr 2010 die e-Card und die Onlinestammdatenverwaltung in den Arztpraxen abgelehnt. In einem interessanten Radiobeitrag (siehe Link zu www.dradio.de) im Deutschlandradio von Ende Januar 2012 wies der renommierte Wissenschaftsjournalist Peter Welchering darauf hin, dass letztlich jedes elektronische System manipuliert werden kann. Da helfen auch nicht die Beteuerungen der SuisseID-Betreiber, dass ihr System sicher sei und sämtlichen aktuellen Standards entspreche. So heisst es auch auf der Webseite von SuisseID: «Die sichere SuisseID wird in einem Gesamtsystem von Mensch, Computer und Internet eingesetzt, deren totale Kontrolle ausserhalb der Möglichkeiten einer SuisseID liegt. Als Benutzer können Sie jedoch die Sicherheit dieses Gesamtsystems massgeblich beeinflussen.»

Und genau hier sind die beiden Gefahrenpunkte, die auch die SuisseID betreffen, genannt. Der eine Punkt berührt den Unsicherheitsfaktor Mensch, der andere die empirische Tatsache, dass kein elektronisches System zu 100% sicher ist – auch, wenn immer von der technisch maximal erreichbaren Sicherheit oder ähnlichem gesprochen wird. Der Autor dieser Zeilen beispielsweise erinnert sich nur zu gut an die zu jeder neuen Version des Betriebssystems Windows aus dem Hause Microsoft gebetsmühlenartig wiederholten Behauptung, dass das neue (aktuelle) Windows das sicherste Windows sei, was es jemals gegeben habe. Was einerseits einen gewissen Wortklamauk beinhaltet, denn wieviel mehr sicher als sicher ist noch sicherer? Andererseits dürfte jeder Leser und jede Leserin nur zu gut um die zahlreichen Sicherheitslücken wissen, die auch nach Herausgabe dieser Werbeaussage aufgetreten sind – und das trifft beileibe nicht nur Systeme aus dem Hause Microsoft.

Nun ist natürlich ein vielfältiges Betriebssystem wie Windows oder das MacOS nicht mit einer relativ schlanken und stringenten Sicherheitsinfrastruktur wie der zu vergleichen, die hinter SuisseID steckt. Es bleibt aber die nicht nur theoretische oder gefühlte Bedrohung durch Schwachstellen, die auszuspähen immer lohnender wird, je weiter die SuisseID Verbreitung und Anwendung finden wird. So hat der Chaos Computer Club (CCC) bereits vor ein paar Jahren erhebliche Schwachstellen der SuisseID nachgewiesen. In einer Mitteilung auf ihrer Webseite www.ccc.de wird von einer praktischen Vorführung berichtet, auf der die Sicherheitsexperten Max Moser und Thorsten Schröder «mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch (den) elektronische(n) Personalausweis (ePA) ferngesteuert benutzen lassen» konnten. Die Sicherheitsexperten des Chaos Computer Clubs resümieren: «Die dafür ausgenutzten Sicherheitslücken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen» – und genau hierin liegt die Crux elektronischer Medien, unter die wir auch eine SuisseID letztlich rechnen müssen. Jedwedes elektronische Sicherheitssystem ist von Menschen gemacht, Menschen machen naturgemäss Fehler, und diese Fehler aufzuspüren wird immer lohnender, umso mehr sich damit Geld verdienen lässt – oder andere unlautere Motivationen stark genug werden (Identitätsmissbrauch, Einbruch in Serversysteme und vieles mehr).

Und ein weiterer Aspekt soll nicht unerwähnt bleiben: so bequem die Nutzung der SuisseID zu werden verspricht, umso mehr wird die Tatsache der menschlichen Bequemlichkeit zum Tragen kommen – wer hat schon sein PC-System und seine anderen elektronischen Medien (Handy, Laptop, Chipkarten und eben auch SuisseID) immer im Blick und sicherheitstechnischen Griff? Und wer, Hand aufs Herz und mit der anderen dabei auch an die eigene Nase gefasst, liest schon Verträge und Nutzungsbedingungen penibel durch? Eine Kommentatorin im Internet bringt es auf den Punkt, was mit der SuisseID auch droht: «Ohne grosses Nachdenken Dinge bestätigen, welche man früher noch gelesen hätte.»

Fazit

Lassen wir abschliessend noch einmal Peter Welchering zu Wort kommen: «Die Frage ist, ob wir eine Gesetzgebung haben werden, die den entsprechenden Datenschutz vorsieht. Wenn nicht, wird der Missbrauch sehr groß sein. Und zwar von organisierten Kriminellen und nicht vom allwissenden Staat.»

Es gilt also, nicht einer Paranoia das Wort zu reden, die bereits hinter jeder Ecke und in jedem Winkel des Landes den Überwachungsstaat agieren sieht, sondern die offensichtlich viel grösseren Gefahren zu sehen, die in schlichtem Datenklau und Datenmissbrauch liegen. Hier heisst es, nicht nur gesellschaftlich den Wandel zur Digitalisierung kritisch zu begleiten, sondern auch und vor allem an die Sicherheit des eigenen IT-Umfelds (Lagerung von sensiblen Objekten wie Laptops, e-Cards, Ausweisen und Daten, gesicherter Zugang zu PCs, Verwendung sicherer Passwörter, Updates auf Rechnersystemen usw.) zu denken.

MaLiWi IT

Seminar-Empfehlungen
  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Alles zum Datenschutz am Arbeitsplatz: Lernen Sie die rechtlichen Rahmenbedingungen bei der Bearbeitung von HR-Daten kennen und profitieren Sie von einem fixfertigen IT-Nutzungsreglement.

    Nächster Termin: 17. Oktober 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

    Nächster Termin: 22. November 2018

    mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Datenschutz PRAXIS

    Datenschutz PRAXIS

    Das Fachmagazin für Datenschutzbeauftragte.

    Mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos