21.02.2024 eID des ePerso nicht mehr sicher?

Identität lässt sich auch hier stehlen

Die Antwort ist JEIN, denn ein anonymer Sicherheitsforscher mit dem Namen CtrlAlt hat zwar ein Beispiel aufgezeigt, wie ein Endgerät eines Anwenders durch eine über eine Pishing Mail erhaltene verseuchte App kompromittiert werden kann. Aber in so einem Fall gilt, wie bei allen Fällen, wo Menschen aus eigener "Dummheit" auf Angriffe hereinfallen - selbst schuld.

Mit dieser schnellen Antwort wollte sich Jürgen Schmidt, Leiter heise Security, nicht zufrieden geben und hat das Problem näher untersucht. Er geht vom Anspruch des eID-Verfahrens aus, den sich die Bundesregierung mal gestellt hatte und sagt: Doch der Anspruch des eID-Systems war und ist es, eine digitale Ausweisfunktion bereitzustellen, die auch dann noch sicher ist, wenn das Endgerät des Anwenders kompromittiert wurde – etwa wie hier mit einem Trojaner. Da hält die eID ihr Versprechen als unabhängiger Vertrauensanker nicht ein.

Im weiteren nennt er zwei Verbesserungsmöglichkeiten, eine davon lässt sich schnell anwenden. Es wäre bereits eine Hilfe, wenn die Nutzer eine Liste des BSI einsehen könnten, welche Apps und welche Updates vertrauenswürdig seien und eventuell auch Hinweise zu aktuellen Fake Apps als Warnung. Das BSI prüft diesen Vorschlag zur Zeit.

Der zweite Vorschlag geht ans Eingemachte. Dazu muss man wissen, dass eine ID-Feststellung in der eID App mit einer URL der Form eid://... beginnt. Solche URL-Schemes gelten bereits seit einigen Jahren nicht mehr als sicher, vor allem, wenn sich jede App, also auch ein Trojaner, dort registrieren kann. Sowohl für iOS als auch für Android gibt es sogenannte Universal URLs, bei denen definierte Deep-Links zum Anbieter den Aufruf einer App triggern, wie Heise Security vorschlägt. Die Antwort des BSI auf diesen Vorschlag ist wesentlich zurückhaltender, denn der Ansatz der Universal Links würde "das Ziel der Interoperabilität und Offenheit/Transparenz des eID Systems deutlich einschränken".

Die eID für den ePerso war ja vor vielen vielen Jahren aus der Taufe gehoben worden, um auch Firmen die Möglichkeit zu geben eine sichere Identifikation ihrer Nutzer sicherzustellen. Über Jahre gab es praktisch keine sinnvollen Anwendungen und auch heute kommen die immer noch wenig genutzten aus dem Öffentlichen Dienst. Selbst der vor 2 Jahren eingeführte und von uns verurteilte Zwang zur Freischaltung der eID in jedem neu ausgegebenen Personalausweis hat die Nutzerzahlen kaum beflügelt.

Wir zitieren hier gern eine Meldung aus dem Jahr 2010: Notbremse beim E-Personalausweis ziehen „Die übereilte Einführung des neuen Personalausweises fällt der Bundesregierung schneller auf die Füße als befürchtet" (Die Linke fordert Verzicht auf ePerso ) und verweisen auf über 50 Artikel (s.u.) in denen wir uns mit dem Thema "ePerso" beschäftigen mussten. Wir geben allerdings gerne zu, dass eine verlässliche und sichere Identifikation immerhin eine sinnvollere Anwendung als die ebenfalls staatlich eingeführte (und inzwischen beerdigte) DE-Mail mit stückweise verschlüsselten Nachrichten wäre.

Mehr dazu bei https://www.heise.de/hintergrund/eID-und-AusweisApp-kritische-Sicherheitsluecke-aber-auch-gefaehrlich-9632374.html
und alle unsere Artikel zum ePerso https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePerso&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z6
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Tags: #eID #ePerso #Fingerabdruck #ElektronischerPersonalausweis #ElektronischerPass #Identitätsdiebstahl #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #Ergonomie #Datenpannen #Vertrauen #Pishing #Unschuldsvermutung #Verhaltensänderung #BSI #URL #App-Liste

01.08.2023 Gibt die EU Kommission klein bei?

Zugriff auf unsere biometrischen Daten durch die US-Polizei?

Wenn sich die EU, allen voran der EuGH so kleinlich haben und den USA ständig verbieten wollen auf die Daten der EU Bürger zuzugreifen - und zwar egal ob das Abkommen dazu Safe Harbor oder Privacy Shield heißt - dann vereinbaren die USA die Weitergabe der Daten einfach mit jedem Staat in der EU einzeln.

Wie netzpoliti.org schreibt, wollen US-Behörden Fingerabdrücke und Gesichtsbilder in insgesamt 40 Staaten abfragen, die meisten davon in Europa. "Um einem Flickenteppich zu vermeiden" will sich nun die EU Kommission doch zu dem Deal hinreißen lassen.

Damit ihre Bürger:innen zu geschäftlichen oder touristischen Zwecken für maximal drei Monate ohne Visum in die USA einreisen dürfen - so sieht es das "Visa Waiver Program" (VWP) der US-Regierung vor - müssen die Polizeien im Rahmen eines „Enhanced Border Security Partnership“ (EBSP) Zugang zu ihren Biometrie-Datenbanken für Fingerabdrücke und biometrische Fotos gewähren.

Selbst netzpolitik.org stellt erstaunt fest: "Ein solcher Direktzugriff aus dem Ausland ist selbst unter befreundeten Geheimdiensten unüblich." Damit würden die USA nach mehr als 10-jährigem Bemühen letztendlich doch ihren Willen durchsetzen.

Außerdem würde das Verfahren den 1997 geschlossenen Vertrag von Amsterdam zur EU-Visapolitik verletzen. Danach müssen alle EU-Bürger, egal aus welchem Staat sie kommen, gleich behandelt werden. Da Bürgern aus Bulgarien, Rumänien und Zypern aber die Teilnahme am visafreien Reisen in die USA weiterhin verwehrt sein soll, werden diese drei Staaten benachteiligt.

Zu diesen rechtlichen Verletzungen kommt noch der schale Beigeschmack, dass diie „Enhanced Border Security Partnership“ nicht auf Gegenseitigkeit beruht, denn der direkte Zugriff deutscher Behörden auf die entsprechenden Daten von US Bürgern soll erst 2027 in die Diskussion einbezogen werden. Flüchtlingsorganisationen befürchten auch, dass die Abfragen der sensiblen Daten für Asylverfahren genutzt werden können.

Formal muss die EU Kommission erst einmal einen Auftrag für Verhandlungen von den EU Staaten zu diesem Thema bekommen, doch der Druck dazu wird von den USA aufgebaut.

Mehr dazu bei https://netzpolitik.org/2023/alleingang-in-bruessel-eu-kommission-prueft-zugriff-auf-biometriedaten-durch-us-polizei/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vr
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8478-20230801-gibt-die-eu-kommission-klein-bei.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8478-20230801-gibt-die-eu-kommission-klein-bei.html
Tags: #USA #EU #Polizei #Geheimdienste #Biometrie #Fingerabdruck #IrisScan #Visa #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Anonymisierung #Fingerabdruck #ElektronischerPersonalausweis #ElektronischerPass #EnhancedBorderSecurityPartnership #EBSP #DataMining #Asylantrag #eBorder #VisaWaiverProgram #VWP

01.12.2022 Gesichtserkennung als gefährliches Gesellschaftsspiel

Was suchen die Leute bei PimEyes?

Männer suchen die Gesichter von Frauen, die sie "heiß" finden, andere suchen ihre "persönlichen Doppelgänger", so die Erkenntnis der Autoren des verlinkten Artikels von Netzpolitik.org.

Spätestens bei der Suche nach dem eigenen Doppelgänger hat man bereits verloren, weil man dafür das eigenen Bild hochgeladen hat. Damit wächst der Vorrat für die Gesichtserkennung täglich - und es sind bereits viele Hundert Millionen.

Die biometrischen Fotos für Ausweis und Pass, gegen die wir seit mehr als 10 Jahren protestieren und die der EuGH leider für rechtens hält, waren der Einstieg in die Gesichtserkennung. Nun ist auch das ein lukratives Privatgeschäft. Die Gefahren sind:

• Meine Privatsphäre und meine Anonymität sind dahin.
• Der/die Gesuchte kann jede/r sein, dessen Foto Ähnlichkeiten aufweist und von den einschlägigen Programmen aufgelistet wird.
• War eine Verwechselung bisher ein "kleiner Irrtum", muss nun der Verwechselte seine Unschuld beweisen. Eine Umkehrung der Unschuldsvermutung durch massenhafte False-Positives.
• Menschen in autoritären Regimen können über ihr Gesicht identifiziert werden, wenn sie öffentlich in Erscheinung treten.
• Menschen, die ihren Beruf geheim halten wollen oder müssen, wie z.B. SexarbeiterInnen, erleiden Nachteile, wenn sie über die Gesichtserkennung identifiziert werden.

Da wir die Zeit nicht zurückdrehen können, müssen wir mit diesen fragwürdigen Angeboten leben. Es stellt sich also die Frage: Wie kann man diesen Markt regulieren und welche Regierung hat überhaupt ein Interesse daran?

Es würde an der Zeit sein, bei solchen Angeboten zu prüfen, ob sie für alle vorhandenen Fotos wirklich das Einverständnis des Besitzers vorzuliegen haben. Eine Sisyphus-Arbeit ...

Mehr dazu bei https://netzpolitik.org/2022/we-fight-for-your-digital-rights-die-erfassen-milliarden-gesichter-biometrisch-ohne-jede-zustimmung/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3r8
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8228-20221201-gesichtserkennung-als-gefaehrliches-gesellschaftsspiel.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8228-20221201-gesichtserkennung-als-gefaehrliches-gesellschaftsspiel.htm
Tags: #Gesichtserkennung #PimEyes #Biometrie #Fingerabdruck #ElektronischerPersonalausweis #ElektronischerPass #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Anonymisierung #Persönlichkeitsrecht #Privatsphäre #Gender #Diskriminierung #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung
Erstellt: 2022-12-01 09:27:47

21.06.2022 Der Personalausweis darf nicht als Pfand vergeben werden

Es wird verlangt, obwohl verboten

"Dann brauche ich noch Ihren Personalausweis als Pfand" ist oft die Ansage bei der Ausleihe besonders von teuren Sportgeräten, wie Fährrädern, Taucherausrüstung o.ä.

Und dann muss man eigentlich sagen

• "Das ist zwar mein Ausweis, aber er gehört der Bundesrepublik Deutschland" oder
• "Das Personalausweisgesetz in § 1 Abs. 1 Satz 3 verbietet die Ausleihe"

Denn dort steht: "Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben". Und schon hat man ein Problem, denn man muss etwas anderes finden, was die Gegenseite als wertvoll genug ansieht, um den Ausleihvorgang durchzuführen. Eigentlich sollten die persönlichen Kontaktdaten - meinetwegen abgeschrieben vom Personalausweis für die Ausleihe ausreichen. Auch eine Fotokopie des Ausweises sollte man nicht erlauben.
Hat die Digitalisierung das Problem nicht längst gelöst?

Das sollte man erwarten, nach den vielen Veränderungen an Aussehen und Inhalt des Ausweisdokuments, doch im Gegenteil: Das Ausweisdokument ist nicht nur vom Preis - inzwischen 37€ - wertvoller geworden (s. z.B. Biometrisches Foto und Fingerabdruck von Allen ). Es enthält

• für Jede/n lesbar die Adresse und die persönlichen Daten
• RFID Chip mit den persönlichen Daten
• seit 2010 mit einem biometrischen Foto
• danach mit automatisch scharf geschalteter Authentifizierungsfunktion
• seit 2021 auch verpflichtend mit zwei Fingerabdrücken des Inhabers - nicht Besitzers (s.o.)
• seit neuestem auch als Ausweis-App auf dem Handy

Auch wenn die Verschlüsselung des RFID-Chips für Normalmenschen sicher sein sollte, so können Personen mit Beziehungen zu "amtlichen Lesegeräten" darauf zugreifen und wer dies im Ausland sein könnte, ist schwer zu entscheiden. Hier ergibt sich die Gelegenheit auf den heutigen Geburtstag unseres Ehrenmitglieds Edward Snowden zu verweisen, der uns 2013 mit seinen Enthüllungen zu PRISM und anderen Überwachungsprogrammen auf die Gefahren durch Geheimdienste und Hacker aufmerksam gemacht hat.

Auch der Ausweis auf dem Handy ist keine Lösung des Problems, es sei denn, das Handy ist so wertvoll, dass es als Pfand angesehen wird. ;-)
Damit stellt sich die Frage, wofür der Ausweis auf dem Handy überhaupt gut sein sollte (Elektronischer Personalausweis auf dem Handy? ).

Mehr dazu bei https://www.chip.de/news/Personalausweis-niemals-aus-der-Hand-geben-Warum-das-sogar-per-Gesetz-verboten-ist_184294516.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3oa
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8056-20220621-der-personalausweis-darf-nicht-als-pfand-vergeben-werden.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8056-20220621-der-personalausweis-darf-nicht-als-pfand-vergeben-werden.htm
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Pfand #Besitz #Ergonomie #Datenpannen #Handy #Smartphone #AusweisApp #Identitaetsnachweis #ePerso #Fingerabdruck #ElektronischerPersonalausweis #ElektronischerPass #Grundrechte #Hacks #ePerso #eID #Verfahren #Bundesdruckerei