[datensicherheit.de, 28.06.2023] Der Digitalcourage e.V. betont in einer aktuellen Stellungnahme: „Wir wollen Personalausweise ohne Fingerabdrücke!“ Der Verein ist nach eigenen Angaben der Auffassung, dass die Speicherpflicht für Fingerabdrücke bei Personalausweisen nicht vereinbar mit europäischen Grundrechten sei, und hat deshalb dagegen Klage eingereicht. Diese Klage liege vor dem Europäischen Gerichtshof (EuGH) in Luxemburg. Am 29. Juni 2023 wird das Gericht demnach die Schlussanträge der Generalanwältin veröffentlichen.

Das Urteil zu den Fingerabdrücke wird alle EU-Bürger betreffen

„Die Klage mit dem Aktenzeichen C-61/22 wird vor der Großen Kammer des EuGH verhandelt, die nur für besonders bedeutsame und komplexe Fragen zusammenkommt.“ Das Urteil in diesem Fall werde alle Bürger der EU betreffen. Ein Termin für die Urteilsverkündung sei bislang noch nicht bekannt gegeben worden.

Seit August 2021 verpflichtend, Fingerabdrücke beider Zeigefinger speichern zu lassen

Seit August 2021 gelte in Deutschland: „Wer einen neuen Personalausweis beantragt, muss verpflichtend die Fingerabdrücke beider Zeigefinger scannen und speichern lassen.“ Das Gesetz, welches diese Speicherpflicht in Deutschland regele, sei die Umsetzung einer EU-Verordnung. „Gegen diese Verordnung klagt Digitalcourage vor dem EuGH.“

Der EuGH wird entscheiden, ob Speicherpflicht für Fingerabdrücke gekippt wird

Der Kläger, Detlev Sieber, Geschäftsführer des Digitalcourage e.V., „hat im November 2021 einen Personalausweise ohne gespeicherte Fingerabdrücke beantragt“. Das Verwaltungsgericht Wiesbaden, an welches dieser Fall daraufhin übergeben worden sei, „ist unserer Argumentation gefolgt und hat uns mit unserer Klage direkt an den Europäischen Gerichtshof verwiesen“. Dort werde nun entschieden, ob die Speicherpflicht – mit Wirkung für alle EU-Staaten – gekippt wird.

Weitere Informationen zum Thema:

digitalcourage, 11.05.2022
#PersoOhneFinger / Unsere juristische Argumentation

digitalcourage, Julia Witte, 19.10.2022
#PersoOhneFinger / Fingerabdruckpflicht wird EuGH vorgelegt

digitalcourage
Perso ohne Finger! Seit August 2021 müssen wir zwangsweise Fingerabdrücke im Personalausweis speichern lassen. Digitalcourage findet das übergriffig und undemokratisch – und hat dagegen Klage eingereicht.

datensicherheit.de, 08.03.2023
Fingerabdrücke im Personalausweis: Mündliche Anhörung vor dem EuGH zur Speicherpflicht / Speicherpflicht für Fingerabdrücke bei Personalausweisen nicht vereinbar mit europäischen Grundrechten

[datensicherheit.de, 08.03.2023] Der Digitalcourage e.V. betont in seiner aktuellen Stellungnahme: „Wir wollen Personalausweise ohne Fingerabdrücke!“ – die Speicherpflicht für Fingerabdrücke bei Personalausweisen sei nicht vereinbar mit europäischen Grundrechten und deshalb sei dagegen Klage eingereicht worden. Digitalcourage engagiert sich nach eigenen Angaben seit 1987 für „Grundrechte, Datenschutz und eine lebenswerte Welt im Digitalen Zeitalter“. Betont wird dabei: „Wir sind technikaffin; doch wir wehren uns dagegen, dass unsere Demokratie ,verdatet und verkauft’ wird.“

Große Kammer des EuGH verhandelt über Digitalcourage-Klage gegen Fingerabdrücke in Personalausweisen

Am 14. März 2023 werde um 9.30 Uhr eine mündliche Anhörung vor dem Europäischen Gerichtshof (EuGH) in Luxemburg stattfinden.

„Die Klage mit dem Aktenzeichen C-61/22 wird vor der Großen Kammer verhandelt, die nur für besonders bedeutsame und komplexe Fragen zusammenkommt.“ Das Urteil in diesem Fall werde alle Bürger der EU betreffen.

Entscheidung, ob Speicherpflicht für Fingerabdrücke beider Zeigefinger gekippt wird

Seit August 2021 gelte in Deutschland: „Wer einen neuen Personalausweis beantragt, muss verpflichtend die Fingerabdrücke beider Zeigefinger scannen und speichern lassen.“ Das diese Speicherpflicht in Deutschland regelnde Gesetz sei die Umsetzung einer EU-Verordnung. Gegen diese Verordnung klagt Digitalcourage demnach vor dem EuGH.

„Unser Kläger, Detlev Sieber, Geschäftsführer von Digitalcourage, hat im November 2022 einen Personalausweise ohne gespeicherte Fingerabdrücke beantragt.“ Dieser Fall sei sodann an das Verwaltungsgericht Wiesbaden übergeben worden – dieses „ist unserer Argumentation gefolgt und hat uns mit unserer Klage direkt an den Europäischen Gerichtshof verwiesen“. Dort werde nun entschieden, „ob die Speicherpflicht – mit Wirkung für alle EU-Staaten – gekippt wird“.

Weitere Informationen zum Thema:

digitalcourage
Perso ohne Finger! / Seit August 2021 müssen wir zwangsweise Fingerabdrücke im Personalausweis speichern lassen. Digitalcourage findet das übergriffig und undemokratisch – und hat dagegen Klage eingereicht.

digitalcourage, Julia Witte, 19.10.2022
#PersoOhneFinger / Fingerabdruckpflicht wird EuGH vorgelegt

digitalcourage, 11.05.2022
#PersoOhneFinger / Unsere juristische Argumentation

datensicherheit.de, 06.04.2022
Gegen Fingerabdruckpflicht: Digitalcourage klagt vor EuGH / Digitalcourage appelliert an Bundesregierung, sich im Sinne der Grundrechte der Bürger ablehnend zur Fingerabdruckpflicht zu äußern

[datensicherheit.de, 06.04.2022] Der Digitalcourage e.V. klagt nach eigenen Angaben vor dem Europäischen Gerichtshof (EuGH) gegen die Fingerabdruckpflicht und fordert die Bundesregierung zu einer Stellungnahme auf. Der EuGH habe die Mitgliedsstaaten bis zum 3. Juni 2022 zu Stellungnahmen zur Klage mit dem Aktenzeichen C-61/22 aufgefordert. Der Verein appelliert an die neue Bundesregierung, sich hier im Sinne der Grundrechte der Bürger ablehnend zur Fingerabdruckpflicht zu äußern. Der Digitalcourage e.V. repräsentiere dabei über 13.000 Menschen, die sich mit ihrer Unterschrift gegen die Fingerabdruckpflicht bei Personalausweisen ausgesprochen hätten.

Digitalcourage sieht richtigen Moment, um unverhältnismäßige Fingerabdruckpflicht in Personalausweisen zu kippen

Julia Witte kommentiert für den Verein: Die Bundesregierung habe im Koalitionsvertrag versprochen, die Freiheitsrechte aller Bürger ernst zu nehmen und Gesetze, die diese Freiheiten zu Gunsten einer angeblichen Sicherheit einschränken, überprüfen zu wollen. Sie betont: „Jetzt ist der richtige Moment, um dieses Versprechen umzusetzen und die unverhältnismäßige Fingerabdruckpflicht in Personalausweisen zu kippen.”

Der Digitalcourage e.V. klagt demnach vor dem EuGH gegen die EU-weite Pflicht zur Speicherung von Fingerabdrücken in Personalausweisen und fordert die Bundesregierung zur Stellungnahme gegen die Fingerabdruckpflicht in dem Verfahren auf. Im Rahmen dieses Verfahrens seien nun die Regierungen aller EU-Mitgliedsstaaten sowie die EU-Organe Kommission, Parlament, Rat und Zentralbank und der Digitalcourage e.V. als klagende Partei dazu aufgefordert worden, eine Stellungnahme gegenüber dem EuGH zum Fall abzugeben.

Digitalcourage: Selbst BSI bestätigt Sicherheit des Personalausweises auch ohne Fingerabdruck

Die „Ampel-Koalition“ habe angekündigt, gemeinsam mit der Zivilgesellschaft (digitale) Bürgerrechte stärken und „eine neue Kultur der Zusammenarbeit” schaffen zu wollen. Der Digitalcourage e.V. begrüßt diesen versprochenen Neuanfang und sucht daher das Gespräch mit der Bundesregierung.

Sie hofften, dass die neue Bundesregierung stärker als ihre Vorgängerin auf die Stimmen der Bürger, der Zivilgesellschaft und nicht zuletzt auf die Einschätzung ihrer eigenen Fachorganisationen hört, erklärt Konstantin Macher für den Verein und führt aus: „Denn selbst das BSI bestätigt ja, dass die Sicherheit des Personalausweises auch ohne Fingerabdruck, alleine durch die herkömmlichen Sicherheitsmerkmale wie z.B. Kippbilder gegeben ist.”

Digitalcourage warnt vor massenhaftem Erheben und Speichern biometrischer Daten

Der Digitalcourage e.V. warnt vor dem massenhaften Erheben und Speichern biometrischer Daten, denn heute als sicher geltende Schutzmaßnahmen könnten in der Zukunft leicht zu umgehen sein. Die Speicherung des gesamten Fingerabdrucks auf Personalausweisen erhöhe das Risiko eines Identitätsdiebstahls, „falls es zu einem Datenleck kommt“. Solche unerlaubten Zugriffe auf die Daten könnten z.B. durch Individuen, Unternehmen oder auch durch autoritäre Regierungen erfolgen. Da biometrische Daten nicht veränderbar seien und Menschen ein Leben lang identifizierbar machten, stelle die Speicherung des Fingerabdrucks auf Personalausweisen ein enormes Risiko dar.

„Wenn ich gezwungen werde, meinen Fingerabdruck speichern zu lassen, dann fühle ich mich behandelt wie eine Straftäterin – als ob der Staat mir unterstellt, ich würde etwas Kriminelles planen. So ein Misstrauen gegenüber der Bevölkerung passt einfach nicht zu Demokratien und Rechtsstaaten!“, unterstreicht Julia Witte abschließend.

Weitere Informationen zum Thema:

digitalcourage, 06.04.2022
Terminanfrage: Ihre Stellungnahme zur Klage von Digitalcourage vor dem EuGH zur Fingerabdruckpflicht in Personalausweisen

digitalcourage
Perso ohne Finger!

Verwaltungsgericht Wiesbaden (Deutschland), 24.03.2022
Rechtssache C-61/22 / Vorabentscheidungsersuchen

InfoCuria Rechtsprechung
Landeshauptstadt Wiesbaden / Rechtssache C-61/22

datensicherheit.de, 25.01.2021
Perso-Fingerabdruck-Pflicht: Bürgerrechtler kritisieren mangelhafte Transparenz / Gesetz vom November 2020 enthält generelle anlasslose Fingerabdruck-Speicherpflicht

datensicherheit.de, 28.11.2020
Fingerabdrücke im Personalausweis: Digitalcourage prüft rechtliche Schritte / Digitalcourage warnt vor Klassifikation aller Bürger als potenziell Tatverdächtige

[datensicherheit.de, 18.10.2021] „Derzeit erhalten Bürgerinnen und Bürger in Deutschland Anrufe – angeblich im Namen des Bundeskriminalamts“, warnt das Bundeskriminalamt (BKA) in eigener Sache. Am Telefon behauptet demnach eine automatische Stimme, dass der Personalausweis der Angerufenen überprüft werden müsse und sie den Anweisungen folgen sollen, um die Überprüfung zu ermöglichen.

BKA: Täter könnten mit persönlichen Daten Waren bestellen oder andere Straftaten begehen

Es folgten Anweisungen wie zum Beispiel „Drücken Sie die 1“, um Daten zum Personalausweis anzugeben und damit angeblich eine Strafe abzuwenden. Diese Anrufe kämen vorgeblich von Festanschlüssen aus Wiesbaden mit der Vorwahl „0611“. Es folgten unterschiedliche Rufnummern, häufig beginnend mit den Ziffern „916“.
„Wenn Sie den Anweisungen folgen, werden Sie möglicherweise unbemerkt auf kostenpflichtige Nummern weitergeleitet, bei denen für Sie hohe Gebühren anfallen.“ Außerdem könnten die Täter mit persönlichen Daten unter fremden Namen Waren bestellen oder andere Straftaten begehen.

BKA rät Angerufenen, sich nicht in ein Gespräch verwickeln zu lassen

Das BKA rät daher allen Angerufenen: „Folgen Sie nicht den Anweisungen, lassen Sie sich nicht in ein Gespräch verwickeln – legen Sie einfach auf!“ Das BKA fordere niemals dazu auf, persönliche Daten am Telefon preiszugeben.
„Sollten Sie nachträglich feststellen, dass Sie betrogen oder ihre Daten missbräuchlich benutzt wurden, erstatten Sie Strafanzeige bei Ihrer örtlichen Polizeidienststelle.“

[datensicherheit.de, 25.01.2021] Der Digitalcourage e.V. kritisiert in seiner aktuellen Stellungnahme die „mangelhafte Transparenz bei der Entstehung des Gesetzes zur Fingerabdruck-Pflicht in Personalausweisen“. Das im November 2020 vom Deutschen Bundestag beschlossene „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ enthalte unter anderem die „generelle anlasslose Fingerabdruck-Speicherpflicht“. Ab 2. August 2021 sind demnach alle Bürger bei der Beantragung von Personalausweisen verpflichtet, die Abdrücke ihrer beiden Zeigefinger elektronisch scannen und auf dem Chip des Personalausweises speichern zu lassen.

Empfehlung, jetzt noch fingerabdruckfreie Dokumente zu beantragen

Die Grundrechteorganisation kritisiert nach eigenen Angaben:

• „Während der Bundesnachrichtendienst früh in die Gesetzgebung eingebunden wurde, wurde Transparenz für Bürgerinnen und Bürger monatelang herausgezögert.“
• „Wenn Geheimdienste in Gesetzgebung eingreifen, hört Transparenz auf, weil die Dienste von Auskunftspflichten nach dem Informationsfreiheitsgesetz (IFG) ausgenommen sind.“
• „Transparenz-Anfragen werden häufig pauschal und ohne ausreichende Begründung abgelehnt.“
• „Die Bearbeitung von Transparenzanfragen dauert oft zu lange.“
• „Dokumente werden erst nach Ende einer Gesetzgebung zugänglich gemacht. Das widerspricht dem Demokratieprinzip.“

Nach dem Motto „#PersoOhneFinger“ wird nun empfohlen, noch – solange es geht – fingerabdruckfreie Dokumente zu beantragen.

Derzeit juristische Optionen gegen Rechtsgrundlagen der Fingerabdruck-Speicherpflicht in der Prüfung

Digitalcourage habe unter anderem mit einer ausführlichen Stellungnahme im Bundestag die Fingerabdruck-Pflicht als „unnötig und unbegründet“ abgelehnt. Kritik habe es u.a. auch vom EU-Datenschutzbeauftragten, der EU-Grundrechteagentur und von Dr. Thilo Weichert gegeben.
Geprüft würden derzeit juristische Optionen gegen die Rechtsgrundlagen der Fingerabdruck-Speicherpflicht in Personalausweisen. Hierzu wurde ein Aufruf zur materiellen und ideellen Unterstützung gestartet.

Weitere Informationen zum Thema:

Remote Chaos Experience (rC3), 29.12.2020
Vortrag „Holt euch Personalausweise ohne Fingerabdrücke solange es geht“

digitalcourage, 22.10.2020
Stellungnahme zum Entwurf eines Gesetzeszur Stärkung der Sicherheit im Pass- und Ausweiswesen

digitalcourage, Friedemann Ebelt, 25.01.2021
#PersoOhneFinger: Geheimdienst ja, Transparenz später

datensicherheit.de, 28.11.2020
Fingerabdrücke im Personalausweis: Digitalcourage prüft rechtliche Schritte / Digitalcourage warnt vor Klassifikation aller Bürger als potenziell Tatverdächtige

[datensicherheit.de, 28.11.2020] Eine wohl bald typische Szene im Bürgeramt: „Und jetzt müssen Sie noch Ihre Fingerabdrücke abgeben …“ Der Digitalcourage e.V. fragt in seiner aktuellen Stellungnahme: „Welche Bilder kommen Ihnen bei diesem Satz im Kopf? Wahrscheinlich welche mit Verhaftung, Verbrecherkartei oder Szenen aus Fernsehkrimis. Fingerabdrücke abgeben – das müssen normalerweise nur Tatverdächtige.“ Ab August 2021 „sollen wir alle behandelt werden wie Tatverdächtige“.

Digitalcourage berichtet über Engagement gegen das neue Gesetz

Wenn wir dann einen neuen Personalausweis beantragen, müssten wir verpflichtend unsere Fingerabdrücke speichern lassen – so verlange es ein neues Gesetz. Dagegen sei eine Menge in Bewegung gesetzt worden:

• Innerhalb kürzester Zeit hätten 10.000 Menschen ihre Petition gegen die Fingerabdrücke im Personalausweis unterstützt.
• Viele hätten auf ihren Aufruf hin ihre Bundestagsabgeordneten angeschrieben.
• Ihre Kritik sei Thema im Bundestag gewesen und ihr Mitarbeiter Friedemann Ebelt sei eingeladen worden, als Experte bei einer Anhörung im Innenausschuss zu sprechen.

Digitalcourage schaltet Anwälte ein

Trotz alledem habe der Bundestag dieses Gesetz beschlossen. „Die Mittel der Politik haben wir ausgeschöpft, jetzt geht es weiter auf der juristischen Ebene.“ Ihre Anwälte prüften zur Zeit, wie sie die Fingerabdruckpflicht am besten kippen könnten. Sie wollten keinen Staat, der seinen Bürgern grundsätzlich misstraue.

Weitere Informationen zum Thema:

digitalcourage, Friedemann Ebelt, 06.11.2020
Union und SPD haben Fingerabdruck-Pflicht beschlossen

datensicherheit.de, 27.10.2020
Fingerabdrücke im Personalausweis: Digitalcourage kritisiert Generalverdacht / Anhörung im Innenausschuss zur geplante Fingerabdruck-Pflicht

datensicherheit.de, 30.07.2020
Personalausweis: Digitalcourage kritisiert Speicherung von Fingerabdrücken / Laut Digitalcourage kein legitimer Grund, pauschal die ganze Bevölkerung zur Abgabe biometrischer Daten zu zwingen

Anhörung im Innenausschuss zur geplante Fingerabdruck-Pflicht

[datensicherheit.de, 27.10.2020] Der Digitalcourage e.V. hat abermals Stellung zur umstrittenen Speicherpflicht für Fingerabdrücke im Personalausweis genommen: „Die geplante Fingerabdruck-Pflicht kommt aus unserer Sicht einem Generalverdacht gegen Bürgerinnen und Bürger gleich“, warnt Friedemann Ebelt.

Abbildung: Digitalcourage e.V.

Stellungnahme zum Entwurf eines Gesetzes zur Stärkung der Sicherheit im Pass- und Ausweiswesen v. 22.10.2020

Fingerabdrücke: Millionenfach sollen hochsensible biometrische Körpermerkmale gespeichert werden

Denn erfasst werden sollen demnach „millionenfach hochsensible biometrische Körpermerkmale – von allen“, erläutert Ebelt. Also von fast ausschließlich rechtstreu lebenden Menschen, die keine kriminellen Absichten hätten.
Ebelt war nach eigenen Angaben als Sachverständiger eingeladen worden und äußerte sich am 26. Oktober 2020 im Rahmen einer öffentlichen Anhörung im Innenausschuss. Zur Debatte habe dort der Gesetzesentwurf der Bundesregierung „zur Stärkung der Sicherheit im Pass-, Ausweis und ausländerrechtlichen Dokumentenwesen“ gestanden.

Gesetzesvorhaben zur Fingerabdruck-Pflicht hält Digitalcourage für „unverhältnismäßig“

Das Gesetz sehe vor, dass Bürger ab August 2021 bei der Beantragung eines neuen Personalausweises verpflichtend Abdrücke beider Zeigefinger auf dem Dokument speichern lassen müssten – dieses Gesetzesvorhaben hält Digitalcourage für „unverhältnismäßig“.
Es verstoße sowohl gegen das deutsche Grundgesetz als auch gegen die EU-Grundrechtecharta. „Die Risiken sind enorm, der Nutzen nicht erkennbar“, sagt Ebelt. Die Bürger hätten eine bessere Gesetzgebung verdient: „weitsichtig und an tatsächlichen Problemen orientiert“.

Kurze Begründung zur Ablehnung der Fingerabdruck-Pflicht durch Digitalcourage:

• Eine allgemeine Fingerabdruck-Pflicht sei kein wirksames Mittel gegen Terrorismus.
• Die geplante Pflicht sei nicht notwendig, um die Fälschungs- und Manipulationssicherheit von Personalausweisen zu verbessern.
• Die Fingerabdrücke auf dem amtlichen Personalausweis sollten eine zeitlich schnellere Überprüfung der Identität einer Person durch einen Fingerabdruck-Vergleich möglich machen – dies seien aber seltene Einzellfälle, die in keinem Verhältnis zu einer anlasslosen generellen Fingerabdruck-Pflicht stünden.
• Die geplante Fingerabdruck-Pflicht habe im Grundgedanken nichts mit der Freizügigkeit der Bürger zu tun, „wie ein von der Bundesregierung angeführtes Argument behauptet“. Sondern es sei „eine Pflicht, ein Zwang, also Unfreiheit“.

Geplante Fingerabdruck-Pflicht „grundrechtswidrig“

Noch stehe kein Termin für die Abstimmung im Bundestag fest. Aber es sei möglich, dass bereits nächste Woche über den Gesetzesentwurf abgestimmt werde. Nach Ansicht von Digitalcourage habe die Anhörung am 26. Oktober 2020 aber gezeigt, „dass das Gesetz dringend in einigen Punkten überarbeitet werden muss“.
Der Wichtigste sei: Die geplante Fingerabdruck-Pflicht sei „grundrechtswidrig“. Die Abgeordneten sollten deshalb der Einschätzung von Digitalcourage, dem EU-Datenschutzbeauftragten, der EU-Kommision und der EU-Grundrechteagentur folgen und das geplante Gesetz zur Fingerabdrucks-Pflicht ablehnen.

Weitere Informationen zum Thema:

digitalcourage, 22.10.2020
Stellungnahme zum Entwurf eines Gesetzes zur Stärkung der Sicherheit im Pass- und Ausweiswesen

datensicherheit.de, 30.07.2020
Personalausweis: Digitalcourage kritisiert Speicherung von Fingerabdrücken / Laut Digitalcourage kein legitimer Grund, pauschal die ganze Bevölkerung zur Abgabe biometrischer Daten zu zwingen

[datensicherheit.de, 25.11.2018] Laut Medienberichten soll am 20. November 2018 eine kritische Schwachstelle in der Online-Ausweisfunktion des elektronischen Personalausweises bekanntgeworden sein. So sei es Sicherheitsforschern der SEC-Consult gelungen, sich online als Bürger mit dem fiktiven Namen „Johann Wolfgang von Goethe“ auszugeben.

50 Prozent der Schwachstellen auf Designfehler zurückzuführen

Zu dem Fall hat Adam Brown, „Manager Security Solutions“ bei Synopsys, Stellung bezogen: Diese Schwachstelle sei „ein gutes Beispiel für einen Designfehler“. Nach ihren Erfahrungen seien 50 Prozent der Schwachstellen auf Designfehler zurückzuführen – und würden daher häufig übersehen.
„Designfehler lassen sich nämlich nicht durch automatisiertes Testen erkennen, sondern werden üblicherweise in einer Designprüfung identifiziert“, erläutert Brown.
Eine solche Prüfung sei deshalb eine „wichtige Aktivität im Software-Entwicklungslebenszyklus“ und sollte möglichst frühzeitig durchgeführt werden, um die Implementierung fehlerhafter Designs zu verhindern.

Identitätsbetrug droht

Brown weiter: „Unternehmen, die diesen Authentifizierungsmechanismus verwenden, sind offen für Repudiation-Angriffe.“ Die Folge könne ein Identitätsbetrug sein.
Angesichts der weit verbreiteten Implementierung und des hohen Vertrauensgrades in diese Art der Online-Authentifizierung wären die Auswirkungen eines jeden Angriffs mit dieser Schwachstelle als „kritisch“ zu bewerten.
Betroffene Organisationen sollten daher unbedingt den bereitgestellten Patch verwenden und auf eine nicht verwundbare Version updaten, empfiehlt Brown.

Weitere Informationen zum Thema:

SEC Consult
MEIN NAME IST JOHANN WOLFGANG VON GOETHE – ICH KANN ES BEWEISEN

datensicherheit.de, 25.01.2017
Personalausweisrecht: Bundesregierung plant grundlegende Änderungen

datensicherheit.de, 27.08.2013
report München: Sicherheitslücken beim neuen Personalausweis

datensicherheit.de, 09.11.2010
AusweisApp für ePerso: Parteimitglied der PIRATEN deckt Sicherheitslücken auf

[datensicherheit.de, 27.08.2013] Nach Recherchen des ARD-Politmagazins report München und des BR-Funkstreifzugs ist die Onlineausweisfunktion des neuen Personalausweises weiterhin angreifbar und ermöglicht, sensible Daten von Nutzern auszuspähen. In einem gemeinsamen Versuch mit dem Chaos-Computer-Club (CCC) gelang es, einen Ausweis fremdzusteuern und persönliche Daten zum Beispiel über die Rentenversicherung einer fremden Person abzurufen. Bundesinnenminister Hans-Peter Friedrich schätzt die Onlineausweisfunktion trotzdem als sicher ein und überträgt die Verantwortung auf die Bürger.

Für report München las der IT-Experte und CCC-Hacker Volker Birk die PIN-Nummer eines Ausweises aus. Angriffsziel ist der Computer, auf dem der Nutzer die Geheimnummer eingibt. Voraussetzung ist, dass der Ausweis über ein Basislesegerät ohne eigene Tastatur an den Computer angeschlossen wird. Bei dem Angriff konnte ein so genannter Keylogger die virtuelle Bildschirmtastatur ausspähen. „Der PC ist keine sichere Möglichkeit eine PIN einzugeben, weil man PCs abhören kann“, sagte Volker Birk gegenüber report München. Bereits zur Einführung des neuen Personalausweises vor drei Jahren hatte der CCC die Basislesegeräte kritisiert.

In dem neuen Versuch gelang es erstmals, die PIN automatisiert von der Bildschirmtastatur auszulesen und danach den Ausweis fremdzusteuern. So konnte der Hacker sensible Daten über die Deutsche Rentenversicherung abrufen und genau sehen, wann die Ausweisbesitzerin gearbeitet und wie viel sie verdient hat. Seiner Meinung nach ist ein solcher Angriff auch massenhaft möglich – und das, ohne den Ausweis zu besitzen.

Außerdem war es möglich, ein Bankkonto mit der gehackten Identität einzurichten. Diese Möglichkeit wertet der Bund Deutscher Kriminalbeamter (BDK) kritisch: Mit solchen Konten könne Geldwäsche betrieben werden. „Ein Bereich, der auch für die organisierte Kriminalität interessant wird“, warnte der Verbands-Vorsitzende André Schulz im Interview mit report München. Der BDK rät davon ab, die tastaturlosen Basislesegeräte zu benutzen.

Die Bundesregierung weist die Kritik am neuen Personalausweis und den Lesegeräten zurück. „Man muss eben auch dafür sorgen, dass man versucht, seinen Computer so gut wie möglich zu schützen. Insofern kann man nicht sagen, dass automatisch dieses Basismodell weniger Sicherheit bietet“, sagte Innenminister Hans-Peter Friedrich im Interview mit report München. Doch der CCC-Aktivist Volker Birk zweifelt an dieser Einschätzung: „Mindestens jeder vierte Windows-Rechner dürfte schon geknackt sein und in diesem Sinne abgehört werden.“

Mehr zu diesem Thema heute, Dienstag, 27. August 2013 in report MÜNCHEN um 21:45 Uhr im Ersten.

Quelle: ARD-Politmagazin report MÜNCHEN.

[datensicherheit.de, 27.01.2011] Vor dem Hintergrund der Diskussion über Verfahrensvereinfachungen in der Kommunikation zwischen Bürger und Verwaltung spricht sich der IT-Sicherheitsverband TeleTrusT Deutschland e.V. für ein grundsätzliches Festhalten an der „Qualifizierten Elektronischen Signatur“ (QES), aber auch für bessere, massenkompatible Anwendungslösungen aus:
Einzelne Kritikpunkte an der QES seien gerechtfertigt und müssten konstruktiv aufgegriffen werden. Es sei zu prüfen, ob in Abhängigkeit von Nutzen und Risiko neben der QES auch andere Formen der elektronischen Signatur geeignet sein könnten, so TeleTrusT. Eine Anpassung der rechtlichen Rahmenbedingungen könnte mehr Klarheit über die Anwendbarkeit dieser Signaturformen schaffen und die Verbreitung der elektronischen Signatur insgesamt stärken. Darüber hinaus sollte laut TeleTrusT über weitere technische Vereinfachungen bei der QES nachgedacht werden, um die Integration in Anwendungen und auf Anwenderseite zu erleichtern und darüber die geforderte Massenkompatibilität zu unterstützen.
TeleTrusT weist darauf hin, dass die QES in vollautomatisierten Geschäftsprozessen wie z. B. der sicheren Digitalisierung von Papierbelegen und bei der elektronischen Rechnungsstellung bereits erfolgreich zum Einsatz kommt. Dabei würden schon jetzt regelmäßig Millionen qualifizierter Signaturen erzeugt. Dieses Beispiel zeige, dass die QES als hoch spezialisiertes und effektives Werkzeug in wichtigen Prozessen breite Anerkennung gefunden habe.
Insbesondere in sensiblen Bereichen, in denen u.a. personenbezogene bzw. besonders schutzwürdige Daten ausgetauscht werden, sind erhöhte Sicherheitsmaßnahmen erforderlich. An dieser Stelle biete der neue Personalausweis (nPA) nach Ansicht von TeleTrusT durch seine starke Autorisierungsfunktion eine gute Basis, die auch auf anderen Gebieten, etwa dem Gesundheitswesen, mit der QES sinnvoll ergänzt werden müsse. Im Zuge der Einführung des nPA, der primär die Identifizierung und Authentifizierung sicherstelle, sollte die QES massentauglich und für alle zur Anwendung kommen, um die Vertrauenswürdigkeit von Transaktionen zu gewährleisten. Mit der Einführung des nPA bestehe die große Chance, die QES für alle Bürger nutzbar zu machen und somit medienbruchfreie Infrastrukturen und Verfahren zu etablieren.

Weitere Informationen zum Thema:

TeleTrusT, 27.01.2011
Stellungnahme zur Qualifizierten Elektronischen Signatur (QES)