Der HEISE-Newsticker meldet ergänzend am 11.6.2001, dass diese
Sicherheitslücken bei den heutigen
Digitalen-Signatur-Verfahren schon im Herbst 2000 (!) von den
Informatikern der Uni-Bonn gemeldet wurden. (Nachzulesen
unter).
Nur durch die Veröffentlichung im SPIEGEL vom 11.6.2001 ist dies
einem größeren Publikum bekannt geworden – Insider wußten dies
anscheinend schon lange, wie sich nachfolgend herausstellt:
Bereits im Januar soll die RegTP (Regulierungsbehörde für Post und
Telekommunikation) offiz. von dem Vorfall gehört haben. Die RegTP
informierte damals sofort alle betroffenen Stellen und Firmen und
ergänzte sogar daraufhin bereits im Februar 2001 ihre Web-Seiten um
folgenden Warnhinweis:
"Aus gegebenem Anlaß weist die RegTP darauf hin, daß
Anwenderkomponenten, welche z.B. zur Erzeugung bzw. Verifikation
digitaler Signaturen eingesetzt werden, nur auf ‚vertrauenswürdigen
IT-Systemen‘ betrieben werden sollten. Wird die Anwenderkomponente auf
IT-Systemen eingesetzt, in welchen keine wirkungsvollen Schutzmaßnahmen
zur Abwehr bösartiger Software ergriffen sind, so können
Sicherheitslücken entstehen, welche die Sicherheit der
Anwenderkomponente aushöhlen."
‚Vertrauenswürdige IT-Systeme‘ sind nach dem heutigem Stand der
Technik Internet-Zugänge, die mit täglich administrierten FireWalls und
aktuellen, mehrfach-hintereinandergeschalteten, unterschiedlichen,
stündlich-aktualisierten Viren-Scannern geschützt sind. VirenScanner
können aber nur dann vor Viren – und hier speziell vor Trojanische
Pferden – schützen, wenn diese schon einmal aktiv und daher marktbekannt
wurden und wenn dann auch noch die Anti-Viren-Softwareindustrie
geeignete Gegenmaßnahmen entwickelt hat. Dies ist aber heute zum Teil
ein "Hase-und-Igel"-Spiel geworden.
Im SPIEGGEL vom 11.6.2001 steht auch der hierzu passende
Kommentar:
"Das würde im übertragenen Sinne bedeuten, dass
kugelsichere Westen nur dort sicher sind, wo nicht geschossen
wird."
Für ein im Massenmarkt einzusetzendes
Digitales-Signatur-Produkt ist das aber nicht akzeptabel!
Mittlerweile gibt es auch erste Stellungnahmen anderer
Trust-Center-Betreiber:
Die Fa. D-Trust (Tocherunternehmen der Bundesdruckerei – die u.a.
auch das SmardCard-System der IHK`s erstellt hat) meldet am 13.6.2001:
"Digitale Signatur entgegen Pressemeldungen nicht geknackt". Weitere
Informationen – die die Bedenken ausräumen könnten – sind dann aber von
dort nicht mehr zu erfahren.
Das Trust-Center der Bundes-Notar-Kammer meldet:
"Mit der ausgespähten PIN alleine kommt niemand weiter". Ansonsten will
bisher die Bundes-Notar-Kammer keine weiteren Konsequenzen aus
der Hacker-Attacke ziehen (siehe auch).
Doch das Institut für Informatik der Uni-Bonn
reagiert sofort: "Durch das Ausspionieren der PIN habe der
Angreifer die Möglichkeit, vom Nutzer unbemerkt Dokumente zu erstellen
und mit der elektronischen Unterschrift zu
versehen. Zudem könne der Angreifer das Dokument, wenn es dem Nutzer
vor der Signatur noch einmal zur Kontrolle angezeigt wird, im Text
verändern. Z.B. statt einer werden dann zehn Kaffeemaschinen
bestellt". Natürlich funktioniert dies nur – wie die Uni-Bonn einräumt
– wenn der Nutzer seine SmartCard im passenden Lesegerät läßt. Nur
welcher Nutzer steckt zig mal pro Tag bei jeder eMail die SmartCard in
das Lesegerät und nimmt diese sofort wieder
heraus?
"Auch Privatleute müssten mit Virenscannern
arbeiten, um möglichst sicher zu arbeiten." so die erste Reaktion eines
Pressesprechers der Deutsche Post AG.
Am 12.6.2001 traf sich in Berlin sofort eine
Gruppe von Behörden, Verbänden und Unternehmen - "Partnerschaft für
sichere Internet-Wirtschaft" - unter Vorsitz von
Bundes-Wirtschafts-Minister Werner Müller. Bundes-Wirtschaft-Minister
Müller befürchtet nun gravierende Ansehens-Verlust für den E-Commerce
(Nachzulesen im ZDF-Online-Magazin vom
15.6.2001).
Bereits auf einem Kongress im Mai 2001 hatten die Informatiker
der Uni-Bonn das Problem mit den derzeit üblichen
Digitalen-Signatur-Verfahren einer breiten Öffentlichkeit bekannt
gemacht. Wie in obigen HEISE-News weiterhin nachzulesen ist, hatte sogar
das BSI (Bundesamt für Sicherheit in der Informationstechnik) im Vorfeld
dieses Kongresses die Wissenschaftler der Uni-Bonn aufgefordert, auf
Teile Ihres Vortrages zu verzichten. Die Informatiker der Uni-Bonn
hatten sich aber hierauf nicht eingelassen und prompt die Quittung
erhalten: Das BSI legte eine zuvor in Aussicht gestellte Kooperation mit
der Uni-Bonn auf Eis (In diesem Markt herrschen anscheinend heute
Zustände wie in Süd-Italien).
Laut diesem HEISE-Artikel gab dann abschließend
der Referatsleiter, Jürgen Schwemmer, von der Regulierungsbehörde für
Telekommunikation und Post (RegTP) eine Wertung des Ganzen:
"Es ist doch jedem bekannt, dass diese Produkte zur
Digitalen-Signatur alle nicht sicher sind".
100% Sicherheit gibt es nicht – aber wenn dies so
stimmt, sollten dies doch alle Anwender genau wissen, damit die Risiken
eingeschätzt werden
können!