blog@netplanet

Unglaublich. Die PGP Corporation, also die Firma, die die Verschlüsselungssoftware PGP kommerziell vertreibt, hat es doch nun tatsächlich geschafft, mit der PGP-Version 9.8 eine PGP-Version zu schaffen, die unter einem 64-Bit-Windows läuft. Wann hatte ich das das erste Mal angefragt? War in einer vergangenen Blog-Generation im Dezember 2006. Da funktionierte die damalige Version 9.0 zwar noch mit Fehlermeldungen, im nächsten Build dann aber einfach gar nicht mehr, weil PGP offenkundig prüfte, unter welcher Version es lief und bei einem 64-Bit-Windows schlicht die Installation verweigerte.

Damit und mit der Hoffnung, dass irgendwann noch vor dem Abbrand der Sonne doch noch einen PGP-Version mit 64-Bit-Unterstützung kommt, hätte man ja noch leben können. Im PGP-Forum war jedoch der arme PGP-Mitarbeiter, der das Forum überwachen musste, mit entsprechenden Anfragen weitgehend überlastet, weil niemand auch nur ansatzweise die Frage beantworten konnte, ob PGP Corp. überhaupt jemals eine 64-Bit-Version machen wollte. Nun ist es doch schon nach 17 Monaten, nachdem Windows Vista veröffentlicht wurde, passiert.

Too late, in meinem Fall. Ich bin mit meiner GnuPG-Installation - nachdem ich mir das mühsam zusammengefrickelt habe - recht zufrieden. Dafür, dass ich PGP mangels kompatibler Kommunikationsgegenstellen leider nur etwa alle zwei Mal pro Halbjahr brauche, ist das annehmbar.

So wie in der Überschrift müsste ich es umschreiben, wenn ich in einem Satz beschreiben soll, wie das Thema Signaturkarte bei mir angelaufen ist. Als nun wirklich nicht ganz Unbeleckter muss ich konstatieren, dass es für Laien praktisch unmöglich ist, in absehbarer Zeit eine Signaturkarte zum Einsatz zu bringen. Und leider macht SignTrust der Deutschen Post AG da leider kein gutes Bild.

Denn das zentrale Problem in meiner Installation war, dass die mitgelieferte Software OpenLimit CC Sign zwar schön und gut ist, allerdings nicht die geänderten Adressen für Zeitstempeldienst und Zertfikatsabfrage von SignTrust enthält, die seit dem 1. Januar diesen Jahres gelten. Das ist natürlich unglaublich toll, wenn man diese Angaben aus der Homepage nach Wochen eruieren muss, das dann nach etwas Fummelei sogar in die Konfigurationsdateien von OpenLimit eingetragen bekommt, dann aber (irgendwo zu Recht) Schwierigkeiten mit der OpenLimit Programmverifikation bekommt, weil diese meldet, dass Konfigurationsdateien verändert wurden.

Die von OpenLimit nun heruntergeladene Version 2.6.1.3 funktioniert nun, Zeitstempeldienst und Zertifikatsabfrage sind erreichbar und nun kann ich auch endlich Rechnungen signieren und den Zeitstempeldienst von SignTrust nutzen, um das Signaturdatum zertifizieren zu lassen. Knapp zwei Monate und einige Stunden Frickelei und Gehirnschmalzing hat das nun gedauert, bis ich “drin” bin. Ein Otto Normalverbraucher wäre da schon längst ausgestiegen, ohne meine Hartnäckigkeit da jetzt unnötig zu loben.

Zumindest bleibt zu sagen, dass SignTrust technisch - so weit ich das beurteilen kann - funktioniert, die Dienste sind erreichbar und flott. Aber an der Doku und an der Homepage, da kann man wirklich noch viel Hand anlegen.

Sehr gut versteckt hat die Deutsche Rentenversicherung die Möglichkeit, mit dem Dienst namens eService Zugriff auf die individuellen Rentenversicherungsdaten zu bekommen. Dazu braucht es einen Kartenleser der Klasse 2, den praktisch jeder haben sollte, der eine gültige Signaturkarte besitzt. Und dann kann es an sich auch schon losgehen, denn jegliche zusätzliche Registrierung entfällt - die Rentenversicherung traut den Ausstellern der berechtigten Signaturkarten und genau so stelle ich mir das vor, wenn man mit einer Behörde kommunizieren möchte.

Zu sehen gibt es im geschlossenen Bereich freilich nicht viel mehr als bei den üblichen Briefen, die man als Arbeitnehmer jährlich von der Rentenversicherung erhält und die einen nicht wirklich froh stimmen. Dennoch: Ich kann mir wirklich sehr gut vorstellen, per Signaturkarte Behördenkram zu erledigen, in Versandhäusern zu bestellen und viele Dinge tun und lassen, die man eben nur dann tun und lassen kann, wenn der Gegenüber auch wirklich weiß, dass ich Besim Karadeniz bin und nicht Knut® der Bär.

Da meckert man immer selbst über seinen Montag, der jeweils noch nie so schlimm war, wie heute - anderen Leuten geht es nicht besser. Ein Kunde von uns hat heute einen absoluten Daten-GAU, da ihm sein externes Festplattenlaufwerk nur noch Datenmüll anzeigt. Als Sofortmaßnahme hilft da nur eines: Umgehend das Laufwerk abschalten und konservieren.

Leider musste ich ihm richtige Sorgen machen, denn so ein malades Laufwerk fassen wir noch nicht mal mehr mit der Kohlenzange an, sondern verweisen auf die gängigen Datenrettungsunternehmen, wenn einem die Daten wirklich lieb sind. Jeder Kollege, so genannte Experte oder Bekannter, der sich an so einem Laufwerk mal probieren möchte, macht da unweigerlich alles viel schlimmer, wenn es ein mechanisches Problem ist.

Ist mein Spam-Filter nur so gut oder ist tatsächlich das Aufkommen von Phishing-Spam in den letzten Monaten praktisch auf Null herabgesunken? Die letzte, entsprechende Spam habe ich vor Monaten bekommen und zu der Zeit war das mehrfach täglich im Postfach.

Zur Zeit scheint aber Ruhe zu sein, wie sieht das bei euch draußen aus?

Es macht auf mich einen spontan sympathischen Eindruck, wenn ein Kunde, der nicht im EDV-Business arbeitet, um die Zugangsdaten zu seiner Homepage bittet und im gleichen Satz vorschlägt, dass man diese doch bitte verschlüsselt übersenden möge und dann das Passwort zum Datencontainer telefonisch durchgibt. So etwas lasse ich mir nicht zweimal sagen, denn da hat jemand verstanden, worauf es ankommt.

Klarer Fall für GPGsfx aus der GnuPG-Phalanx. Dieses Schweizer Taschenmesser im Kryptobereich wird leider viel zu selten gewürdigt.

Es ist in meinen Augen mehr als bezeichnend, dass ausgerechnet in Großbritannien, inzwischen die Mutter aller Überwachungsstaaten, andauernd irgendwelche Disketten und CD mit Millionen Datensätzen von Bürgern verloren gehen. Ich glaube fest, dass das eine mit dem anderen fundamental zusammenhängt.

Das fängt mit dem Fast-Naturgesetz an, dass Datensammlungen Nutznießer anziehen wie das Licht die Fliegen.  Und endet damit, dass genau die Leute, die eigentlich auf diese Daten aufpassen sollen, immer laxer damit umgehen und offenkundig überhaupt kein Gefühl oder eine Achtung vor solchen Daten mehr haben. Ich sage und schreibe es immer wieder: Die Datensammlung selbst ist in so einem Fall nicht mehr das Problem, sondern der Umgang damit. Das Social Engineering… “Du, kannst du mal kurz schauen, ich habe da so ein Problem mit meinem Nachbarn.”

Alle wollen sie immer mehr Daten sammeln. Aber immer weniger wollen sagen, was sie genau sammeln, wer darauf genau Zugriff hat und vor allem möchte niemand die Verantwortung für die Datensammlungen mehr übernehmen. Sehr massive Probleme, die allesamt nur entstehen, wenn Vorratsdatenhaltungen hoffähig werden. Erschreckend ist, dass es offenbar keine Sau mehr wirklich interessiert, wenn Disketten und CD einfach mal so verschütt gehen.

Also ich weiß nicht: Da prügeln wir letzten Kämpfer der Privatsphäre vehement wirklich jedem ein, niemals, niemals, niemals Online-Banking-Zugangsdaten aus der Hand zu geben, irgendwo zu notieren oder auf fremde Websites einzutragen und da kommt so ein Dienst wie “sofortueberweisung.de” einer “Payment Network AG” daher und will doch tatsächlich für einen Zahlungsvorgang die Online-Zugangskennung, die PIN und eine TAN des Nutzers haben, die dieser dann in die sofortueberweisung.de-Website eingeben soll. Klassisches Man-in-the-middle, das vermutlich hunderte Mal pro Tag genutzt wird, wenn ich mir so die Referenzliste anschaue.

Zwar rühmt man sich damit, dass PIN und TAN nach dem Zahlungsvorgang gelöscht würden und die Serverumgebung gar TÜV-geprüft sei, aber dennoch ist das einfach nur eine elende Idee, die im übrigen die AGB der meisten Banken schlicht verletzt. Da hilft auch die etwas krude Argumentation der Payment Network AG nicht, die doch tatsächlich zwischen “Personen” und “Software” unterscheidet und argumentiert, dass man eigentlich auch einen Webbrowser nicht zum Online-Banking verwenden dürfte, wenn die Hausbank die Zahlungsvermittlung durch eine Software untersage.

Witzig ist übrigens der Versicherungsansatz: Da man bei der Payment Network AG offensichtlich davon ausgeht, dass in einem Mißbrauchsfall die Hausbank eines Kunden die Haftung verweigern dürfte, hat man eine eigene Versicherung abgeschlossen, die immerhin bis zu einer Transaktionssumme von 5.000 Euro haftet. Interessant hierbei wird jedoch das Kleingedruckte bei Punkt 6:

6 Ausschlüsse

Nicht ersetzt werden Schäden,

6.1 wenn der missbräuchlich verfügte Betrag von der Empfängerbank zurück verlangt werden kann.

6.2 aus Umsätzen/Transaktionen, die darauf zurückzuführen sind, dass der Kunde nach Kenntnis der missbräuchlichen Verwendung der PIN und TAN nicht unverzüglich sein Online-Konto hat sperren lassen.

6.3 bei denen der Nachweis nicht erbracht werden kann, dass der Vermögensschaden aus der missbräuchlichen Verwendung einer beim PayNet-Dienst “Sofortüberweisung” entwendeten PIN und TAN stammt.

Cleverer Ansatz unter Punkt 6.3, den Nachweis über eine missbräuchliche Verwendung von entwendeten PIN und TAN nachweisen zu sollen, wenn der Dienst selbst vorgibt, eben die PIN und TAN nicht zu speichern. Könnte dann sehr lustig werden.

Siehe auch Meldung der Verbraucherzentrale Sachsen.

Unlängst ist mir ein USB-Stick untergekommen, der als Werbegeschenk von einem befreundeten Unternehmen verteilt wird. Das Unternehmen ist technisch etwas unbegabt, was aber überhaupt kein Problem ist, da wir zugegebenermaßen auch recht unbegabt in der Materie sind, die der das Unternehmen zu den Weltmarktführern gehört.

Rein optisch gefiel mit der USB-Stick ganz gut, weil er komplett in einem Metallgehäuse steckt und an sich einen robusten Eindruck macht. Auf dem Stick ist optisch recht nett das Firmenlogo eingeätzt, das Ding erfüllt augenscheinlich seinen Zweck als edles Werbegeschenk ganz gut.

Eben aber nur augenscheinlich, denn der USB-Stick ist leider unzuverlässig. Das USB-Stick-Testprogramm der c’t zeigte nach einer spaßeshalber durchgeführten Prüfung, dass von 512 Megabyte Speicherkapazität insgesamt 2,2 Megabyte defekt sind. Das ist enorm, wenn man bedenkt, dass eigentlich 0,0 Bytes in einem USB-Stick defekt sein sollten. Ärger ist dann vorprogrammiert, wenn man das Ding nett der Kundschaft schenkt, die Kundschaft die USB-Sticks eifrig nutzt, damit dann Daten verliert und auf dem Stick wunderschön das Firmenlogo prangt.

Ergo: Vorsicht bei personalisierten USB-Sticks als Werbegeschenke. Auf Qualität achten, nicht das günstigste wählen, den Lieferanten um mehrere Muster zum Testen bitten und bei bestellter Ware Stichproben machen.

Für Beschenkte gilt: Vorher den USB-Stick testen! Also frisch formatieren und mit obigem Programm einmal komplett beschreiben und auslesen lassen.

Ich bin verschlüsselungstechnisch nun nicht unbedingt gänzlich auf die Nase gefallen. Okay, ich gebe zu, dass ich nicht weiß, auf welche mathematische Weisen Verschlüsselungsalgorithmen arbeiten (allein dieser Umstand genügt genügend so genannten Experten dazu, einen als kompletten Vollidioten abzustempeln), allerdings bin ich mir dem Sinn und Unsinn von Verschlüsselung und Authentizität in der elektronischen Kommunikation bewusst und versuche das bekanntlicherweise auch ein Stück weit in netplanet zu vermitteln (übrigens auch ohne mathematische Tiefgänge, was ebenfalls wieder genügend so genannte Experten dazu verleitet, mir zu empfehlen, das Thema lieber erst gar nicht anzuschneiden, was nun wirklich der absolut falsche Weg ist).

Der Weg war also nicht weit zu einer Signaturkarte, mit der ich mich dann doch tatsächlich nach hiesigem Signaturengesetz im Internet eindeutig authentifizieren und mit Gegenstellen verschlüsselt kommunizieren kann. Das ist schon mal ganz nett für die ganzen Rechnungen, die ich als PDF-Datei per E-Mail versende und die ohne vernünftige Signatur rein rechtlich gesehen nicht zum Vorsteuerabzug berechtigen.

Entschieden habe ich mich für Signtrust der Deutschen Post AG, einfach, weil sie die günstigsten derzeit sind. Dass der Markt der Elektronischen Signatur jedoch offenkundig nicht sonderlich hoch sind, habe ich sehr schnell an der Dokumentation gemerkt. Die ist zwar nicht wirklich schlecht, aber auch nicht wirklich gut, weil das doch alles recht komplex ist:

1. Online den Auftrag ausfüllen. Das ist noch das einfachste an der ganzen Geschichte. Name, Anschrift, Geburtstag ist weitgehend schon alles. Beim Absenden muss bestätigt werden, eine so genannte Unterrichtungsbroschüre heruntergeladen und gelesen zu haben, die FAQ-mäßig weitgehend die Elektronische Signatur und das hybride Verschlüsselungsverfahren erklärt. Das Dokument ist nicht vollkommen daneben, allerdings didaktisch auch nicht sonderlich ausgefeilt. Ob Otto Normalverbraucher das versteht, wage ich schwer zu bezweifeln.
2. Den generierten Auftrag ausdrucken, zur Post wackeln und ein Postident-Verfahren machen. Auch das geht noch, denn dazu halte ich der Postangestellten lediglich meinen Ausweis unter die Nase und unterschreibe das Ding, das sie am Schalter ausdruckt und als Identifikation meiner Person zusätzlich zum Antrag an Signtrust sendet.
3. Warten. Drei Wochen. Ohne Auftragsbestätigung.
4. Schließlich kommt die Signaturkarte. Mit dem Hinweis, dass aus dem Anschreiben der untere Teil ausgeschnitten werden und unterschrieben als Empfangsbestätigung an Signtrust zurückgesendet werden muss. Die beiden PIN stehen übrigens auf dem Anschreiben ebenfalls drauf, eine für das “qualifizierte Signaturzertifikat” und eine für “Verschlüsselung und Authentisierung”. Beide müssen umgehend auf eigene Nummern geändert werden. Würde das nicht gehen, “liegt der Verdacht nahe, dass die Karte manipuliert wurde”. Ach! Wo bleibt eigentlich der Kartenleser und die Software?
5. Vier Tage später bringt der Paketbote ein Paket von Signtrust, handgeklebt. Mit dem endlich bestellten Kartenleser und der Software Openlimit. Beides lässt sich installieren und sollte es auch, denn Signtrust macht Support für alles, nur für Kartenleser und Software nicht und die Hotline für letzteres kostet schlappe 1,99 Euro pro Minute.
6. Als erstes will ich die PIN der Karte ändern. Geht aber mit der Software nicht, denn die meldet, dass die PIN ungültig seien. Super. Irgendeine Meldung, mit der man etwas anfangen könnte? Nein. Aus der Installation von der Openlimit-Software geht aber heraus, dass diese vor dem ersten Einsatz die Eingabe der Lizenznummer erfordert und diese Lizenznummer dann mit der eigenen Signaturkarte signiert werden muss. Mir dämmert es, dass das eventuell damit zusammenhängen könnte, dass meine Signaturkarte mit den noch nicht geänderten PIN das vielleicht nicht kann.
7. Das bestätigt sich dann, nachdem ich auf Seite zwei des Begleitschreibens einen Hinweis im vierten Absatz herauslese, dass meine Beobachtung möglicherweise tatsächlich auftreten könnte und man in so einem Falle eine gesonderte Software zur PIN-Änderung einer neuen Signaturkarte von der Signtrust-Homepage herunterladen könne. Super Sache. Kann man da nicht einfach eine CD beilegen oder sowas einfach als normale Vorgehensweise in eine Anleitung packen?
8. Diese PIN-Änderungssoftware ist in der Tat nur ein einfaches Programm und auch nicht sonderlich schwer zu bedienen, allerdings variieren hier die Bezeichnungen für die PIN: Die PIN für das “qualifizierte Signaturzertifikat” ist wohl die “globale PIN”, weil ich annehmen kann, dass die PIN für “Verschlüsselung und Authentisierung” die “Verschlüsselungs-PIN” sein müsste. Dito.

Schade, dass der Benutzer offenkundig mit dem Produkt etwas allein gelassen wird. Man hätte sicherlich alles noch viel komplizierter machen können und hat sich durchaus an einigen Stellen viel Mühen gegeben, aber man kann das alles auch didaktisch einheitlich erläutern und eine wirkliche Hilfestellung für die Kundschaft erstellen. So muss sich keiner wundern, wieso die Elektronische Signatur nicht bis in die Niederungen der elektronisch kommunizierenden Gesellschaft ankommt und das ist sehr bedauerlich.

Fairerweise sei angemerkt, dass Signtrust nicht alleine dasteht. Mein Chef hat seine Signaturkarte von D-Trust und hat mit ähnlichen Erfahrungen gestartet. Wenn wir in unserer Firma nicht mit dem unnachahmlichen Gespür für etwas Herumspielen und Ausprobieren ausgestattet wären, wäre das alles ein wirklich teurer Spaß.