Die AusweisApp ist hackbar und das BSI behauptet sie sei sicher - und der Nutzer ist veranwortlich dafür

Unglaublich …

1 „Gefällt mir“

Habts ihr keine 2-Faktor Authentifizierung?

1 „Gefällt mir“

Habe die ganzen e Funktionen dankend abgelehnt

6 „Gefällt mir“

Klassische Man-in-the-Middel-Attack mit Phishing-Anleihen. Wundert mich jetzt nicht so wirklich dass das geht. Aber gerade wie sehr der BSI da drauf reagiert, finde ich nicht so geil.

1 „Gefällt mir“

Wenn ich es richtig verstehe, das klassische Problem von Sicherheit in einer unsicheren Umgebung. Schlüssel, Algorithmen, Programme können nur dann sicher sein, wenn man der direkten Umgebung vertraut. Der klassische Fall, wieso es HSMs gibt und vermutlich immer geben muss: :eyes:

Ein Smartphone ist halt alles andere als eine vertrauenswürdige Umgebung.

2 „Gefällt mir“

Die Antwort vom BSI finde ich unter aller Sau. Aus dem Blogeintrag, der bei Heise Security verlinkt ist:

However, their primary counterargument centers on placing the responsibility for client device security on the user, citing legal obligations for the citizen (“ensuring a secure operational environment at the client side is an obligation of the ID card owner per §27 (2) and (3) PAuswG.”). These obligations for citizens to ensure a secure operational environment include regular updates to the operating system, anti-virus programs, and firewalls (refer to the BMI advice).

Ja klar. Weil jeder ein Smartphone kauft, das regelmäßig Softwareupdates bekommt. Und vor allem, das Softwareupdate würde die Sicherheitslücke nicht mal schließen. Die Lücke ist der User, der eine legitim-aussehende App aus einem AppStore installiert, die das DeepLinking ausnutzt. Da helfen auch die neusten Sicherheitsupdates nichts…

Und anstatt konstruktiv an die Sache ranzugehen und zu überlegen, welche Sicherheitsmaßnahmen zusätzlich umgesetzt werden könnten, reden sie sich mit dem Gesetz raus. Na danke.

1 „Gefällt mir“

Sie reden sich nicht raus, sie verweisen darauf was nun mal gültiges Recht ist. Und ja, was erwartest du denn, soll der Staat, der ja bitte jedem die absolute Freiheit schenken und bloß nicht in das Leben der Leute eingreifen bzw einschränkend wirken soll dann am Ende dafür aufkommen wenn der Bürger sich etwas auf seinem privaten Gerät einfangt.

Davon ab, ist das, wie es für mich laienhaft klingt, die klassische Angriffsweise gegen die du auch sxhlecht was machen kannst, da sie nicht aus einer Lücke in deiner Software beruht sondern darsuf, wie die technik funktioniert.

1 „Gefällt mir“

Dass ist richtig, es wäre zumindest schön wenn man vom BSI sagen würde dass man sich dem Problem bewusst ist, und gerade für technisch unbedarfte Nutzer noch einmal eine offizielle Mitteilung veröffentlicht oder so.

Nunja, nachdem ich den Blogpost und den Heise-Artikel gelesen hatte, bekam ich den Eindruck, dass das BSI nicht willens wäre, sich mit dem Problem zu beschäftigen und die Verantwortung auf den Nutzer abschiebt. Vor allem weil der Autor ja Gegenmaßnahmen vorschlug.

Ich habe jetzt auch das Paper gelesen und festgestellt, dass das BSI sehr wohl auf die Kritik reagiert hat und auch bessere Gründe geliefert hat, warum Gegenmaßnahmen nicht umgesetzt werden können. Stand in den beiden Artikeln nicht.

Der Autor schlägt 11 Gegenmaßnahmen vor, von denen das BSI drei abgelehnt hat. Für zwei steht keine Begründung da, für die dritte lautet sie „das würde dem offenen Ansatz unserer Plattform widersprechen.“. Finde ich fair, aber dann werde ich das auch nicht benutzen.

Ich will das BSI auch nicht bashen oder blöd finden. Mein Ärger stammt, wie gesagt, von dem Eindruck, dass das BSI nicht willens war, etwas zu tun. Etwas, was sich beim Lesen des Papers nicht bestätigt hat.

Hätte ich auch gern getan, nur lassen dir Institutionen wie das BAföG-Amt, mittlerweile gar keine andere Möglichkeiten mehr zu. Wenn du die ganzen e-Ausweis-Funktionen nicht hast/aktivierst, werden deine Anliegen einfach nicht weiter bearbeitet, du musst Unsummen für den Postverkehr ausgeben oder wartest ewig - nein „ewig“ ist ein viel zu variabler Begriff, lass es mich dir anhand meines Beispiels zeigen: Ich habe vor 3 Jahren einen Antrag auf Rückstellung (über 2 Jahre) der Rückzahlungsverpflichtung meiner BAföG-Schulden eingereicht. Es kam keine Mahnung, kein Anruf, kein gar nichts, also dachte ich, joa, wird schon geklappt haben.
Jetzt habe ich mich nach 3 Jahren wieder gemeldet und sie sagen mir, dass über die Rückstellung (von vor 3 Jahhren und für maximal 2 Jahren pro Antrag!!!) noch gar nicht entschieden wurde. :smiley:

2 „Gefällt mir“

Haha, als ob das nicht klar war. Vor der E-Ausweisfunktion wurde seit Beginn gewarnt. Aber sie macht eben vieles so bequem, da habe ich es weiterhin lieber unbequem und lache.

Aber wenn sie dann entscheiden, dass die Rückstellung abgelehnt wird, hat das Geld dann innerhalb von zwei Wochen bei denen auf dem Konto zu sein, oder? :beanlurk:

1 „Gefällt mir“

Das ist das einzig Schöne an der Armut, wer nichts hat, dem kannste nix wegnehmen. :smiley: