blog@netplanet

Es macht auf mich einen spontan sympathischen Eindruck, wenn ein Kunde, der nicht im EDV-Business arbeitet, um die Zugangsdaten zu seiner Homepage bittet und im gleichen Satz vorschlägt, dass man diese doch bitte verschlüsselt übersenden möge und dann das Passwort zum Datencontainer telefonisch durchgibt. So etwas lasse ich mir nicht zweimal sagen, denn da hat jemand verstanden, worauf es ankommt.

Klarer Fall für GPGsfx aus der GnuPG-Phalanx. Dieses Schweizer Taschenmesser im Kryptobereich wird leider viel zu selten gewürdigt.

Es ist in meinen Augen mehr als bezeichnend, dass ausgerechnet in Großbritannien, inzwischen die Mutter aller Überwachungsstaaten, andauernd irgendwelche Disketten und CD mit Millionen Datensätzen von Bürgern verloren gehen. Ich glaube fest, dass das eine mit dem anderen fundamental zusammenhängt.

Das fängt mit dem Fast-Naturgesetz an, dass Datensammlungen Nutznießer anziehen wie das Licht die Fliegen.  Und endet damit, dass genau die Leute, die eigentlich auf diese Daten aufpassen sollen, immer laxer damit umgehen und offenkundig überhaupt kein Gefühl oder eine Achtung vor solchen Daten mehr haben. Ich sage und schreibe es immer wieder: Die Datensammlung selbst ist in so einem Fall nicht mehr das Problem, sondern der Umgang damit. Das Social Engineering… “Du, kannst du mal kurz schauen, ich habe da so ein Problem mit meinem Nachbarn.”

Alle wollen sie immer mehr Daten sammeln. Aber immer weniger wollen sagen, was sie genau sammeln, wer darauf genau Zugriff hat und vor allem möchte niemand die Verantwortung für die Datensammlungen mehr übernehmen. Sehr massive Probleme, die allesamt nur entstehen, wenn Vorratsdatenhaltungen hoffähig werden. Erschreckend ist, dass es offenbar keine Sau mehr wirklich interessiert, wenn Disketten und CD einfach mal so verschütt gehen.

Also ich weiß nicht: Da prügeln wir letzten Kämpfer der Privatsphäre vehement wirklich jedem ein, niemals, niemals, niemals Online-Banking-Zugangsdaten aus der Hand zu geben, irgendwo zu notieren oder auf fremde Websites einzutragen und da kommt so ein Dienst wie “sofortueberweisung.de” einer “Payment Network AG” daher und will doch tatsächlich für einen Zahlungsvorgang die Online-Zugangskennung, die PIN und eine TAN des Nutzers haben, die dieser dann in die sofortueberweisung.de-Website eingeben soll. Klassisches Man-in-the-middle, das vermutlich hunderte Mal pro Tag genutzt wird, wenn ich mir so die Referenzliste anschaue.

Zwar rühmt man sich damit, dass PIN und TAN nach dem Zahlungsvorgang gelöscht würden und die Serverumgebung gar TÜV-geprüft sei, aber dennoch ist das einfach nur eine elende Idee, die im übrigen die AGB der meisten Banken schlicht verletzt. Da hilft auch die etwas krude Argumentation der Payment Network AG nicht, die doch tatsächlich zwischen “Personen” und “Software” unterscheidet und argumentiert, dass man eigentlich auch einen Webbrowser nicht zum Online-Banking verwenden dürfte, wenn die Hausbank die Zahlungsvermittlung durch eine Software untersage.

Witzig ist übrigens der Versicherungsansatz: Da man bei der Payment Network AG offensichtlich davon ausgeht, dass in einem Mißbrauchsfall die Hausbank eines Kunden die Haftung verweigern dürfte, hat man eine eigene Versicherung abgeschlossen, die immerhin bis zu einer Transaktionssumme von 5.000 Euro haftet. Interessant hierbei wird jedoch das Kleingedruckte bei Punkt 6:

6 Ausschlüsse

Nicht ersetzt werden Schäden,

6.1 wenn der missbräuchlich verfügte Betrag von der Empfängerbank zurück verlangt werden kann.

6.2 aus Umsätzen/Transaktionen, die darauf zurückzuführen sind, dass der Kunde nach Kenntnis der missbräuchlichen Verwendung der PIN und TAN nicht unverzüglich sein Online-Konto hat sperren lassen.

6.3 bei denen der Nachweis nicht erbracht werden kann, dass der Vermögensschaden aus der missbräuchlichen Verwendung einer beim PayNet-Dienst “Sofortüberweisung” entwendeten PIN und TAN stammt.

Cleverer Ansatz unter Punkt 6.3, den Nachweis über eine missbräuchliche Verwendung von entwendeten PIN und TAN nachweisen zu sollen, wenn der Dienst selbst vorgibt, eben die PIN und TAN nicht zu speichern. Könnte dann sehr lustig werden.

Siehe auch Meldung der Verbraucherzentrale Sachsen.

Unlängst ist mir ein USB-Stick untergekommen, der als Werbegeschenk von einem befreundeten Unternehmen verteilt wird. Das Unternehmen ist technisch etwas unbegabt, was aber überhaupt kein Problem ist, da wir zugegebenermaßen auch recht unbegabt in der Materie sind, die der das Unternehmen zu den Weltmarktführern gehört.

Rein optisch gefiel mit der USB-Stick ganz gut, weil er komplett in einem Metallgehäuse steckt und an sich einen robusten Eindruck macht. Auf dem Stick ist optisch recht nett das Firmenlogo eingeätzt, das Ding erfüllt augenscheinlich seinen Zweck als edles Werbegeschenk ganz gut.

Eben aber nur augenscheinlich, denn der USB-Stick ist leider unzuverlässig. Das USB-Stick-Testprogramm der c’t zeigte nach einer spaßeshalber durchgeführten Prüfung, dass von 512 Megabyte Speicherkapazität insgesamt 2,2 Megabyte defekt sind. Das ist enorm, wenn man bedenkt, dass eigentlich 0,0 Bytes in einem USB-Stick defekt sein sollten. Ärger ist dann vorprogrammiert, wenn man das Ding nett der Kundschaft schenkt, die Kundschaft die USB-Sticks eifrig nutzt, damit dann Daten verliert und auf dem Stick wunderschön das Firmenlogo prangt.

Ergo: Vorsicht bei personalisierten USB-Sticks als Werbegeschenke. Auf Qualität achten, nicht das günstigste wählen, den Lieferanten um mehrere Muster zum Testen bitten und bei bestellter Ware Stichproben machen.

Für Beschenkte gilt: Vorher den USB-Stick testen! Also frisch formatieren und mit obigem Programm einmal komplett beschreiben und auslesen lassen.

Ich bin verschlüsselungstechnisch nun nicht unbedingt gänzlich auf die Nase gefallen. Okay, ich gebe zu, dass ich nicht weiß, auf welche mathematische Weisen Verschlüsselungsalgorithmen arbeiten (allein dieser Umstand genügt genügend so genannten Experten dazu, einen als kompletten Vollidioten abzustempeln), allerdings bin ich mir dem Sinn und Unsinn von Verschlüsselung und Authentizität in der elektronischen Kommunikation bewusst und versuche das bekanntlicherweise auch ein Stück weit in netplanet zu vermitteln (übrigens auch ohne mathematische Tiefgänge, was ebenfalls wieder genügend so genannte Experten dazu verleitet, mir zu empfehlen, das Thema lieber erst gar nicht anzuschneiden, was nun wirklich der absolut falsche Weg ist).

Der Weg war also nicht weit zu einer Signaturkarte, mit der ich mich dann doch tatsächlich nach hiesigem Signaturengesetz im Internet eindeutig authentifizieren und mit Gegenstellen verschlüsselt kommunizieren kann. Das ist schon mal ganz nett für die ganzen Rechnungen, die ich als PDF-Datei per E-Mail versende und die ohne vernünftige Signatur rein rechtlich gesehen nicht zum Vorsteuerabzug berechtigen.

Entschieden habe ich mich für Signtrust der Deutschen Post AG, einfach, weil sie die günstigsten derzeit sind. Dass der Markt der Elektronischen Signatur jedoch offenkundig nicht sonderlich groß ist, habe ich sehr schnell an der Dokumentation gemerkt. Die ist zwar nicht wirklich schlecht, aber auch nicht wirklich gut, weil das doch alles recht komplex ist:

1. Online den Auftrag ausfüllen. Das ist noch das einfachste an der ganzen Geschichte. Name, Anschrift, Geburtstag ist weitgehend schon alles. Beim Absenden muss bestätigt werden, eine so genannte Unterrichtungsbroschüre heruntergeladen und gelesen zu haben, die FAQ-mäßig weitgehend die Elektronische Signatur und das hybride Verschlüsselungsverfahren erklärt. Das Dokument ist nicht vollkommen daneben, allerdings didaktisch auch nicht sonderlich ausgefeilt. Ob Otto Normalverbraucher das versteht, wage ich schwer zu bezweifeln.
2. Den generierten Auftrag ausdrucken, zur Post wackeln und ein Postident-Verfahren machen. Auch das geht noch, denn dazu halte ich der Postangestellten lediglich meinen Ausweis unter die Nase und unterschreibe das Ding, das sie am Schalter ausdruckt und als Identifikation meiner Person zusätzlich zum Antrag an Signtrust sendet.
3. Warten. Drei Wochen. Ohne Auftragsbestätigung.
4. Schließlich kommt die Signaturkarte. Mit dem Hinweis, dass aus dem Anschreiben der untere Teil ausgeschnitten werden und unterschrieben als Empfangsbestätigung an Signtrust zurückgesendet werden muss. Die beiden PIN stehen übrigens auf dem Anschreiben ebenfalls drauf, eine für das “qualifizierte Signaturzertifikat” und eine für “Verschlüsselung und Authentisierung”. Beide müssen umgehend auf eigene Nummern geändert werden. Würde das nicht gehen, “liegt der Verdacht nahe, dass die Karte manipuliert wurde”. Ach! Wo bleibt eigentlich der Kartenleser und die Software?
5. Vier Tage später bringt der Paketbote ein Paket von Signtrust, handgeklebt. Mit dem endlich bestellten Kartenleser und der Software Openlimit. Beides lässt sich installieren und sollte es auch, denn Signtrust macht Support für alles, nur für Kartenleser und Software nicht und die Hotline für letzteres kostet schlappe 1,99 Euro pro Minute.
6. Als erstes will ich die PIN der Karte ändern. Geht aber mit der Software nicht, denn die meldet, dass die PIN ungültig seien. Super. Irgendeine Meldung, mit der man etwas anfangen könnte? Nein. Aus der Installation von der Openlimit-Software geht aber heraus, dass diese vor dem ersten Einsatz die Eingabe der Lizenznummer erfordert und diese Lizenznummer dann mit der eigenen Signaturkarte signiert werden muss. Mir dämmert es, dass das eventuell damit zusammenhängen könnte, dass meine Signaturkarte mit den noch nicht geänderten PIN das vielleicht nicht kann.
7. Das bestätigt sich dann, nachdem ich auf Seite zwei des Begleitschreibens einen Hinweis im vierten Absatz herauslese, dass meine Beobachtung möglicherweise tatsächlich auftreten könnte und man in so einem Falle eine gesonderte Software zur PIN-Änderung einer neuen Signaturkarte von der Signtrust-Homepage herunterladen könne. Super Sache. Kann man da nicht einfach eine CD beilegen oder sowas einfach als normale Vorgehensweise in eine Anleitung packen?
8. Diese PIN-Änderungssoftware ist in der Tat nur ein einfaches Programm und auch nicht sonderlich schwer zu bedienen, allerdings variieren hier die Bezeichnungen für die PIN: Die PIN für das “qualifizierte Signaturzertifikat” ist wohl die “globale PIN”, weil ich annehmen kann, dass die PIN für “Verschlüsselung und Authentisierung” die “Verschlüsselungs-PIN” sein müsste. Dito.

Schade, dass der Benutzer offenkundig mit dem Produkt etwas allein gelassen wird. Man hätte sicherlich alles noch viel komplizierter machen können und hat sich durchaus an einigen Stellen viel Mühen gegeben, aber man kann das alles auch didaktisch einheitlich erläutern und eine wirkliche Hilfestellung für die Kundschaft erstellen. So muss sich keiner wundern, wieso die Elektronische Signatur nicht bis in die Niederungen der elektronisch kommunizierenden Gesellschaft ankommt und das ist sehr bedauerlich.

Fairerweise sei angemerkt, dass Signtrust nicht alleine dasteht. Mein Chef hat seine Signaturkarte von D-Trust und hat mit ähnlichen Erfahrungen gestartet. Wenn wir in unserer Firma nicht mit dem unnachahmlichen Gespür für etwas Herumspielen und Ausprobieren ausgestattet wären, wäre das alles ein wirklich teurer Spaß.

Ich hatte ja kürzlich das Problem, dass meine KeePass-Installation die Passwortdatenbank nicht mehr öffnen, konnte, da diese aus mir unerfindlichen Gründen defekt war (möglicherweise hatte ich den USB-Stick mit der Datenbank zu früh vom Computer entfernt). Anyway, die Gründe sind mir an sich herzlich egal (der USB-Stick zumindest ist in Ordnung), es sollte nur nicht so bald wieder auftreten oder es sollte zumindest eine Notfallkopie der Datenbank existieren.

An sich würde mir schon reichen, wenn beim Abspeichern der Datenbank, was immer dann passiert, wenn sich in der Datenbank etwas ändert, nicht einfach die Datenbank überschrieben wird, sondern die alte Version als Backup in eine gesonderte Datei kopiert und die neue Datenbank in eine neue Datei geschrieben wird. Da ja diese Backup-Versionen ebenso verschlüsselt sind, ist das grundsätzlich kein Sicherheitsproblem und man hat im Ernstfall, wenn die aktuelle Datenbank durch unvollständige Schreibvorgänge beschädigt wurde, immer noch eine alte Version unmittelbar daneben.

Leider kann genau das KeePass nicht von Hause aus. Da KeePass jedoch eine Plugin-Schnittstelle hat, hat sich schon jemand genau mit diesem Thema befasst und ein Plugin namens db_backup geschrieben. Das ist auch noch sehr leicht zu bedienen, da es einfach nur heruntergeladen werden und die in der Zip-Datei befindliche DLL-Datei in das KeePass-Verzeichnis kopiert werden muss. Danach kann in KeePass in den Einstellungen das Plugin aktiviert werden. Einfach nur noch angeben, wohin die Sicherheitskopien geschrieben werden und wie viele Versionen vorgehalten werden sollen (ich habe mal “2″ angegeben) und schon ist das Ding konfiguriert.

Ist nun tatsächlich im Katastrophenfall die aktuelle Passwortdatenbank defekt, kann einfach diese Backupkopie geöffnet werden. Noch nicht mal das Anpassen der Dateiendung ist erforderlich, das Passwort zum Öffnen der Passwortdatenbank ist selbstverständlich ebenfalls das alte.

Ich habe mich jetzt gut eine Stunde damit beschäftigt, das Problem zu lösen, weshalb ich mit unserem zugegeben doch etwas antiquierten Firmen-PGP-Schlüssel offensichtlich nicht mehr signieren kann. Und das habe ich eigentlich heute relativ dringend nötig, da ich RIPE-Datenbankpflege inzwischen eigentlich nur noch mit PGP-Signaturen mache und nicht mehr mit unverschlüsselt durch die Gegend geballerten Passwörtern.

Und, was ist der Grund gewesen: Natürlich, IDEA. Dieses vermaledeite Stück Verschlüsselungsalgorithmus, das einer schweizerischen Firma gehört und bei kommerziellem Einsatz lizenziert werden muss (was wir letztendlich auch haben), ist bei GnuPG von Hause aus nicht dabei, sondern muss anhand einer kleinen DLL hinzugefügt werden. Getan und schon läuft es. *grrr*

Es stand schon länger auf meiner To-Do-Liste, heute nun musste PGP nun daran glauben und sich von der Festplatte meines privaten Rechners wegschleichen. Vorbei ist es. Den letzten Ansporn gab es gestern, als sich doch tatsächlich die Firma PGP Inc. herabmühte, mir eine Einladung zur SYSTEMS zu schicken. Man dürfe sich bei PGP in der Lounge breitmachen und “wirklich hervorragenden Kaffee” trinken und abends, falls man das Oktoberfest verpasst habe, mal ordentlich bei PGP Inc. einen wegsaufen und das auch noch aus PGP-Krügen.

Dabei würde es auch vollkommen genügen, wenn die Firma PGP es endlich mal auf die Reihe bekäme, eine 64-Bit-Version ihres Desktopclients zu programmieren. Seit gut zwei Jahren benutze ich in der Firma 64-Bit-Betriebssysteme und noch nie ist PGP Desktop dort wirklich gut gelaufen. Andauernd gab es tolle Meldungen vom Client, dass die Benutzung unter einem 64-Bit-Betriebssystem mit der vorliegenden Version nicht gut sei und man Datenverlust erleiden könnte. Ein eilig letztes Jahr hinterhergeschobenes Update verweigerte dann gar komplett die Installation in 64-Bit-Umgebungen.

Das richtig erbärmliche an PGP ist jedoch der Support im PGP-Forum, der das Problem seit Jahren klar erkannt hat und sich kaum dümmlich vorkommt, bei jeder Anfrage im gleichen Thread genau diesselbe Antwort zu liefern: “Zur Zeit gibt es keine 64-Bit-Version des Desktopclients. Man könnte aber pauschal nicht sagen, dass PGP Inc. die 64-Bit-Welt übersehen würden, denn der PGP-Kommandozeilen-Client ist 64-Bit-fähig.” Na super, Jungs. So funktioniert die Welt aber nicht.

Ergo: Es ist soweit, PGP wird nach zehn Jahren bei mir ausgemottet und gegen GnuPG und der Oberfläche WinPT ausgetauscht. Und das funktioniert auch soweit gut, denn ich habe nun beides auf meiner Speicherkarte untergebracht und habe es nun auch noch mobil. Und weil das nun so prächtig lief und ich ein ziemlich nachtretender Mensch sein kann, wenn man mich zu veräppeln versucht, werde ich dem GnuPG-Projekt eine Geldspende anheischen. Und meinem Chef untersagen, bei PGP auch nur einen Prospekt mitzunehmen.

Ein paar Gedanken dazu:

• Scheckkartengröße
  Eine sehr sinnvolle Angelegenheit, denn in vielen Geldbörsen und Brieftaschen ist der Personalausweis inzwischen der einzige, wirklich große Lappen geblieben. Von der Änderung dieses Formfaktors hat dann vermutlich auch gleich die Lederindustrie einen Vorteil…
• Integrierte Digitale Signatur
  Auch sehr sinnvoll, denn an sich ist der Personalausweis schon von Hause aus eine Art Signatur. Die Digitale Signatur mit dem Personalausweis zu verheiraten, ist das Logischste, was passieren kann. Niemand besser als eine ausweisausgebende Behörde kann meine Legitimation besser nachweisen (zumindest rein rechtlich betrachtet).
• Integrierte biometrische Daten
  Neben dem Passfoto sollen digitalisierte Fingerabdrücke der beiden Zeigefinger integriert werden. Das läßt sich vermutlich im Paranoiawahn eines Bundesinnenministers kaum verhindern, wobei hier unbedingt die Frage geklärt muss, was mit den Fingerabdrücken geschieht. Wenn sie rein auf der Karte bleiben und die Abbilder nach der Produktion der Karte beim Kartenhersteller bzw. bei der Behörde gelöscht werden, ließe sich darüber diskutieren, denn letztendlich ist es mit dem Passfoto ja nicht anders. Zentrale Datensammlung ist jedoch inakzeptabel.
• Integrierte RFID zum Speichern der Fingerabdrücke
  Das wiederum ist ein absolutes K.O.-Instrument. Die RFID ermöglicht kontaktfreies Auslesen des Inhaltes und die kryptografische Verschlüsselung ist, wie in vielen Fällen bereits beim Reisepass nachgewiesen, mehr als mangelhaft. Da der Personalausweis in den meisten Fällen das Ausweispapier ist, mit dem sich ein Mensch ausweist, ist er praktisch überall dabei und das Auslesen der Inhalte ist weitgehend unkontrollierbar. Unbemerkbaren Ausweiskontrollen wäre Tür und Tor geöffnet, das transparente Handeln des Staates wäre extrem erschüttert. Wobei auch hier der Dumme der brave Staatsbürger ist. Der Terrorist von Welt ist einfach kein Deutscher oder wickelt seinen RFID-verunstalteten Personalausweis einfach in ein paar Lagen Alufolie.

Hatten wir es nicht vor ein paar Tagen noch davon, dass es etwas abstrus klingt, Informationen auf Speicherkarten zu schmuggeln, die hinter Geldmünzen versteckt werden? Nun, so schnell kann es gehen, denn offenbar spähen US-Behörden beim Grenzeintritt und bei einer genaueren Durchsuchung unter anderem die Reiselektüre von Touristen aus und speisen all diese Informationen in Anti-Terror-Datenbanken ein. Es kann also durchaus sinnvoll sein, bei der Einreise in die USA die Anleitung für den Bau einer Atombombe nicht gerade in der gedruckten Fassung im Handgepäck dabeizuhaben, sondern vielleicht eben doch auf einer Speicherkarte, die hinter einer Fassade von Geldmünzen geklebt ist und im Geldbeutel liegt.

Vergleicht die Paranoia der Amerikaner eigentlich noch jemand mit Orwells 1984? Braucht man eigentlich nicht, denn das ist bereits Orwells 1984 in Reinform.