SuisseID - Wie sicher ist das Verfahren?
Derzeit finden sich täglich neue Meldungen über die SuisseID und deren Sicherheit im Internet. Je nach Perspektive und Hintergrund könnten die Positionen unterschiedlicher nicht sein. Einerseits sind da diejenigen, die sich mit der Sicherheit der SuisseID und vergleichbarer Systeme beschäftigt und herausgefunden haben, wie sich die SuisseID und andere Systeme missbrauchen lassen: http://www.vimeo.com/15155073. Andererseits finden sich da die Befürworter, die von "digitalen fälschungssicheren Signaturen" sprechen. Besonders schön hier; es wird versucht, alles an der Demonstration gezeigte ins Lächerliche zu ziehen. Meines Erachtens können hier ein paar Fakten nicht schaden:
- Das Verfahren das mit der SuisseID zur Anwendung kommt ist auf jeden Fall sicherer, als wenn eine Unterschrift eingescannt wird. Oder wenn bei einer E-Mail darauf vertraut wird, dass sie tatsächlich vom angegebenen Absender stammt.
- Die Verschlüsselung der SuisseID wird mit dem gezeigten Verfahren nicht geknackt. Sie ist auch nicht das Problem.
- Der Schwachpunkt ist der PC des Anwenders und dessen potentielle Unsicherheit.
- Das Problem, das sich mit der Sicherheit und digitalen Signaturen stellt, ist nicht neu. Banken waren und sind seit jeher damit konfrontiert, dass PC's ihrer Benutzer nicht immer sicher sind.
- Es handelt sich nicht um ein Problem der SuisseID, sondern um ein allgemeines Problem im Zusammenhang mit der Identifikation von Personen im Internet. Es geht darum festzustellen, ob eine Erklärung oder Aktion tatsächlich von einer zweifelsfrei identifizierten Person stammt (und nicht von jemand anderem, der im Besitz des "Schlüssels" ist).
- Ein potentieller Angreifer muss Zugriff auf den Rechner des Opfers gehabt haben, damit er für diesen Erklärungen abgeben kann. Ein zu unterschreibendes Dokument wird dann mit Hilfe der SuisseID des Opfers "unterschrieben": Es wird mit Hilfe der SuisseID die Signatur des Opfers erstellt und mit dem Dokument verwendet.
- Dieses Problem ist seit über 10 Jahren bekannt: Es gibt gute Gründe, warum Banken seit jeher einen zweiten Kanal zur Identifikation ihrer Kunden einsetzen. Sei das nun eine Streichliste, eine SMS PIN oder einen Leser mit Chipkarte und Tastatur, der nicht am PC angeschlossen wird.
- Die SuisseID hat keinen zweiten Kanal und ist somit weniger sicher als Online-Banking.
- Es bedarf dazu nicht eines "völlig virenverseuchten PCs", die Methoden um gezielt einen Benutzer anzugreifen ist eine Frage der richtigen Tools und allenfalls ein bisschen "ungewollter Mitarbeit" des Opfers oder dessen nicht gepatchten Systems.
- In diesem Zusammenhang sei auf die Dissertation ("Elektronische Signaturen") von Schlauri verwiesen, der im Jahr 2002 unter dem Titel "Haftungsfragen" (Seite 193) das Folgende ausführt: "Wie bei den herkömmlichen Legitimationssystemen trägt der Anbieter im Weiteren eine Pflicht zur sorgfältigen Auswahl des Systems. Dabei ist auf den Stand der Technik und die Wirtschaftlichkeit Rücksicht zu nehmen." "Das geschilderte HBCI-Verfahren1151 der deutschen Banken, welches auf Klasse-1-Geräten oder gar Softwaresigniereinheiten basiert, erfüllt daher m.E. diese Anforderungen an ein sorgfältig ausgewähltes System nicht."