20230i701 ePerso ohne Fingerabdruck!

Urteil des EuGH wird erwartet

Digitalcourage und andere Bürgerrechtsorganisationen haben gegen die Speicherpflicht für Fingerabdrücke in Personalausweisen vor dem EuGH geklagt. Heute wurden nun die Schlussanträge zu dieser Klage veröffentlicht. Leider sieht die Entscheidungsempfehlung der Generalanwältin nicht so aus, wie wir es erwarten.  Zwar haben die Richterinnen und Richter die Freiheit auch noch ganz anders zu entscheiden. Es ist aber zu befürchten, dass das Gericht die Argumente der Kläger nicht ausreichend würdigen will.

Digitalcourage schreibt: Ein zentrales Thema in der mündlichen Verhandlung vor Gericht war eine Lücke in der EU-Verordnung, die der Speicherpflicht zugrunde liegt. Die Fingerabdrücke werden nämlich nicht sofort gelöscht, sobald der Personalausweis hergestellt ist. Sie können bis zu 90 Tagen lang weiter bei den Ämtern gespeichert werden. Und es kommt noch schlimmer: Gibt es ein anderes nationales Gesetz, das hier reingräscht, dann darf sogar auf diese zwischengelagerten Fingerabdrücke zugegriffen werden. Das könnte zum Beispiel im Rahmen von Durchsuchungsparagrafen bei den Polizeigesetzen oder der Strafprozessordnung brisant werden.

Auf diese weit offen stehende Hintertür zur Zweckentfremdung der sensiblen biometrischen Daten geht die Generalanwältin nur unzureichend ein. Ein weiteres heißes Thema bei der mündlichen Verhandlung war die Frage, ob die Fingerabdrucks-Daten gestohlen werden könnten, während sie noch bei den Bürgerämtern liegen. In der Verhandlung gab es dazu keine beruhigende Antwort.

Das Urteil wird demnächst verkündet und wir können momentan nur hoffen ... Digitalcourage schreibt: Wir geben die Hoffnung nicht auf, denn in der mündlichen Anhörung haben sich die Richter.innen sehr viel kritischer mit den Problemen der Fingerabdruckpflicht auseinandergesetzt, als sich das jetzt in den Schlussanträgen der Generalanwältin wiederfindet.

Mehr dazu bei https://digitalcourage.de/newsletter/2023/schlussantraege-generalanwaeltin-perso-ohne-finger

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uT Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8446-20230701-eperso-ohne-fingerabdruck.htm

August 2020

Der Personalausweis wird e

Bei meiner Bank bestelle ich eine Kreditkarte, im Laufe des Vorganges stellt sich heraus, dass mein hinterlegter Personalausweis abgelaufen ist. Kein Problem, man kann sich per Videochat legitimieren. Beim Aufruf des Links werden zwei Verfahren angeboten, einmal „normale“ Videolegitimation und einmal über den ePerso. Für erstes braucht man einen vernünftigen Hintergrund und sollte einigermaßen präsentabel sein, für letzteres braucht man nur die PIN des Ausweises. Ausserdem muss das Techniktagebuch gefüttert werden, also: ePerso ausprobieren.

Ich lade die dazu benötigte App herunter, suche die damals vergebene PIN heraus – dank Passwortverwaltungsprogramm auch einfach gemacht – und halte den Personalausweis bereit.

Beim Start des Authentifizierungsprogrammes wird eine TAN angezeigt, die auf der Webseite einzugeben ist und die wohl in den weiteren Prozess „eingebacken“ wird, um die Identifikation der Verbindung sicherzustellen. Dann wird die PIN des Ausweises abgefragt und es kommt die Aufforderung, den Ausweis direkt an das Telefon zu halten. „Der Leseprozess wird gestartet“, danach muss man Vorder- und Rückseite des Ausweises fotografieren. Es wird etwas gerechnet und nachgedacht, und dann kommt eine Ziffernfolge, die auf der wartenden Webseite einzugeben ist und schon bin ich ich!

Dauer: 2 Minuten.

Die Frage, die ich mir nur stelle: In den Jahren, in denen ich den neuen Ausweis schon habe und in denen ich diverse Male mit Ämtern und Behörden zu tun hatte und mich mühevoll legitimieren musste – warum ist das jetzt das erste Mal, dass es so schick und einfach geht? Ist das der Digitalisierungsstau, von dem immer alle reden?

(Wolfgang Kunckel)

Das Online Rathaus ist in Wiesbaden an den Start gegangen und lässt einen verschiedene Behördengänge zum Bürgerbüro bequem am PC erledigen. Dazu nötig: Der neue Personalausweis und da gibt es noch immer Sicherheitsbedenken... mehr zum Thema

Der neue Personalausweis - 1 Jahr alt, kaum bis keine Funktionen...

Tjoa, über ein Jahr ist er jetzt alt, der neue Personalausweis.

Ganz viele tolle Funktionen wurden uns damals bei seiner Einführung versprochen, die natürlich auch den neuen Preis rechtfertigen.

Diese Woche habe ich mir einen Kartenleser gekauft und natürlich wollte ich den auch gleich mal ausprobieren.

Das este Hindernis: Nach mehr als einem Jahr hat man es noch immer nicht geschafft, die AusweisApp für Mac zu veröffentlichen.

Also ran an den Windows-Rechner.

Nachdem ich die App geladen und installiert habe, wurden erstmal Nutzungsmöglichkeiten gesucht. Hier sieht es noch immer extrem mau aus. Für mich in Frage kamen eigentlich nur die Schufa und die Deutsche Rentenversicherung. Beide bieten Verifikation mit dem ePerso an.

Also habe ich es bei beiden Seiten versucht mit zu registrieren. Und was ist passiert? Nichts. Nachdem man den Ausweis in den Leser steckte, startete die App (natürlich nicht in meinem Standardbrowser Chrome, ich musste zu Firefox wechseln), ich bestätigte ein paar Dinge, tippte am Kartenleser sein Passwort ein und bekam relativ bald einen Fehler vom Server.

Gleiches Spiel bei der Deutschen Rentenversicherung.

Also habe ich den Bürgerservice telefonisch kontaktiert. Die Aussage dort: Das liegt am eID-Server, man kennt das Problem und arbeitet dran. Das war vor mittlerweile 3 Tagen. Gerade eben habe ich es wieder versucht, gleiche Meldung.

Man erfährst also weder direkt, dass es Serverprobleme gibt noch ist man in der Lage, diese Probleme innerhalb von 3 Tagen (so lange weiß ich davon, vielleicht ist das schon länger) zu beheben.

Ich finde es etwas traurig, was man sich hier leistet. Hoffnung habe ich zwar noch, dass es mittelfristig eine tolle Sache werden könnte mit dem ePerso, aber momentan zweifle ich dran, ob genug getan wird, um das Ding auch zu etablieren...

Wir werden sehen.

Jan Schejbal, Mitglied der Piratenpartei Deutschland, hat eine Sicherheitslücke entdeckt, über die der neue Personalausweis (nPA oder ePerso) eines Opfers missbräuchlich genutzt werden kann. Voraussetzung dafür ist, dass das Opfer einen Basisleser nutzt und das Browser-Plug-in "OWOK" der Firma Reiner SCT installiert hat. Es dient zur Nutzung der loginCard, die zusammen mit dem ePerso-Basisleser der Firma verbreitet wurde.

"Weitere Sicherheitslücke beim elektronischen Personalausweis" von ad

Im letzten Jahr haben Berliner Bürger knapp 500 Mal den #EPerso benutzt, Firmen sogar nur 4 Mal - klingt nach einem echten Erfolgsmodell, exemplarisch für die IT-Großprojekte des Bundes.

Zwei Hinweise: arte +7 über Bankster und das Marketing für den ePerso

Heute Abend lief auf Arte der Zweiteiler “Banken, Banker, Bankster“, der spannend und einleuchtend erzählt, wie es zu den Bankenkrisen kam. Der erste Teilvergleicht die heutige Situation mit der vor dem Schwarzen Freitag 1929 und beschreibt die…

Beitrag ansehen

Selbstbestimmungsgesetz mit Überwachungsanhängsel

Intime Neugier des Sicherheitsapparats

Über das neue Selbstbestimmungsgesetz war man sich eigentlich schon seit dem Frühjahr einig, da preschte plötzlich das Innenministerium dazwischen. Denn vom Inlandsgeheimdienst bis zum Zoll wollen alle Dienste des ausufernden Sicherheitsapparats in Deutschland wissen, wenn eine Person in Deutschland ihren Namen oder den Geschlechtseintrag ändert.

Dabei wird dieser Eintrag sowieso in allen möglichen Datenbanken durch die Änderung der Einträge im elektronischen Personalausweis (ePerso) verändert. Die Behörden wollen jedoch zusätzlich einen aktiven Vermerk, dass diese Änderung erfolgt ist. Das Argument lautet, wie netzpolitik.org berichtet: Kriminelle könnten die neuen Regelungen missbrauchen, um mit einer neuen Identität unterzutauchen.

Dieses Argument läuft ins Leere, denn an dem Personeneintrag ändern sich ja höchstens Name und/oder Gechlecht, alle über die Jahre - gegen jede Notwendigkeit und unseren Protest - eingeführten Kennziffern, wie die Steuer-ID, die Ausweisnummer, der Nachname, der Geburtstag, ... bleiben gleich.

Das reicht den Sicherheitsfanatikern nicht, obwohl selbst im Kabinettsentwurf schon steht, dass die Änderung an das Bundeszentralregister beim Bundesamt für Justiz gemeldet werden soll. Dort wäre die Änderungshistorie vermerkt, die im ePerso natürlich nicht steht. Beim alten Transsexuellengesetz (TSG) oder etwa im Waffenregister erfolgen Änderungen ohne aktive Meldung. Warum jetzt diese zusätzliche Verschärfung?

Netzpoltik.org befürchtet, wenn es zu der aktiven Meldung kommt, würde das bedeuten: Die persönlichen Daten von Menschen, die ihren Geschlechtseintrag ändern, gehen automatisch an bis zu zehn verschiedene Bundesbehörden. Für Menschen mit mehr als einer Staatsangehörigkeit ist darunter auch das Bundesamt für Migration.

Geschieht das nur um den Überwachungsstaat weiter auszubauen oder spielen hier auch Ängste vor Transgender und queeren Menschen mit?

Mehr dazu bei https://netzpolitik.org/2023/selbstbestimmungsgesetz-datenweitergabe-an-den-gesamten-sicherheitsapparat/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3w5 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8515-20230906-selbstbestimmungsgesetz-mit-ueberwachungsanhaengsel.htm

Neue Vorschriften beim e-Perso

Nur noch digitale Fotos sind (r)echt

Vom 1. Mai an gelten neue Vorschriften bei der Ausstellung eines Personalausweises. Eigentlich wollten wir schreiben "Verlängerung", aber Personalausweise werden nicht mehr verlängert. Es gibt immer ein neues Dokument - und teurer ist es auch geworden.

Zusätzlich ist zu beachten, dass bei der Neuausstellung ein aktuelles Passfoto notwendig ist. Das alte Foto ist in keinem Fall mehr erlaubt. "Natürlich" muss es alle Kriterien für ein biometrisches Foto erfüllen. Das sind nach der Aufstellung von Utopia.de 8 Bedingungen (s. Link unten). Bisher konnte man ein solches Foto auf Papier mitbringen, nun sind analoge Fotos nicht mehr erlaubt.

Im besten Fall kann man glücklich sein, wenn man sich in der Behörde ein digitales biometrisches Foto - für in der Regel 6 Euro - erstellen lassen kann. Dann wird es sofort digital an den/die zuständige/n MitarbeiterIn weitergeleitet. Geht man in ein Fotostudio, muss man damit rechnen, dass

die Fotos wegen der "digitalen Übermittlung" teurer geworden sind, obwohl es für das Unternehmen billiger ist,

das Foto bei seinem Weg der Übermittlung mit unverschlüsselter E-Mail durch unbekannte Hände geht.

Probleme bekommen dabei alle Menschen, die keine E-Mail Adresse besitzen - die Zwangsdigitalisierung lässt grüßen.

Mehr dazu bei https://utopia.de/ratgeber/wichtige-aenderung-beim-personalausweis-das-geht-ab-mai-nicht-mehr-v2_799678/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3GN Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9136-20250428-neue-vorschriften-beim-e-perso.html

eID des ePerso nicht mehr sicher?

Identität lässt sich auch hier stehlen

Die Antwort ist JEIN, denn ein anonymer Sicherheitsforscher mit dem Namen CtrlAlt hat zwar ein Beispiel aufgezeigt, wie ein Endgerät eines Anwenders durch eine über eine Pishing Mail erhaltene verseuchte App kompromittiert werden kann. Aber in so einem Fall gilt, wie bei allen Fällen, wo Menschen aus eigener "Dummheit" auf Angriffe hereinfallen - selbst schuld.

Mit dieser schnellen Antwort wollte sich Jürgen Schmidt, Leiter heise Security, nicht zufrieden geben und hat das Problem näher untersucht. Er geht vom Anspruch des eID-Verfahrens aus, den sich die Bundesregierung mal gestellt hatte und sagt: Doch der Anspruch des eID-Systems war und ist es, eine digitale Ausweisfunktion bereitzustellen, die auch dann noch sicher ist, wenn das Endgerät des Anwenders kompromittiert wurde – etwa wie hier mit einem Trojaner. Da hält die eID ihr Versprechen als unabhängiger Vertrauensanker nicht ein.

Im weiteren nennt er zwei Verbesserungsmöglichkeiten, eine davon lässt sich schnell anwenden. Es wäre bereits eine Hilfe, wenn die Nutzer eine Liste des BSI einsehen könnten, welche Apps und welche Updates vertrauenswürdig seien und eventuell auch Hinweise zu aktuellen Fake Apps als Warnung. Das BSI prüft diesen Vorschlag zur Zeit.

Der zweite Vorschlag geht ans Eingemachte. Dazu muss man wissen, dass eine ID-Feststellung in der eID App mit einer URL der Form eid://... beginnt. Solche URL-Schemes gelten bereits seit einigen Jahren nicht mehr als sicher, vor allem, wenn sich jede App, also auch ein Trojaner, dort registrieren kann. Sowohl für iOS als auch für Android gibt es sogenannte Universal URLs, bei denen definierte Deep-Links zum Anbieter den Aufruf einer App triggern, wie Heise Security vorschlägt. Die Antwort des BSI auf diesen Vorschlag ist wesentlich zurückhaltender, denn der Ansatz der Universal Links würde "das Ziel der Interoperabilität und Offenheit/Transparenz des eID Systems deutlich einschränken".

Die eID für den ePerso war ja vor vielen vielen Jahren aus der Taufe gehoben worden, um auch Firmen die Möglichkeit zu geben eine sichere Identifikation ihrer Nutzer sicherzustellen. Über Jahre gab es praktisch keine sinnvollen Anwendungen und auch heute kommen die immer noch wenig genutzten aus dem Öffentlichen Dienst. Selbst der vor 2 Jahren eingeführte und von uns verurteilte Zwang zur Freischaltung der eID in jedem neu ausgegebenen Personalausweis hat die Nutzerzahlen kaum beflügelt.

Wir zitieren hier gern eine Meldung aus dem Jahr 2010: Notbremse beim E-Personalausweis ziehen „Die übereilte Einführung des neuen Personalausweises fällt der Bundesregierung schneller auf die Füße als befürchtet" (Die Linke fordert Verzicht auf ePerso ) und verweisen auf über 50 Artikel (s.u.) in denen wir uns mit dem Thema "ePerso" beschäftigen mussten. Wir geben allerdings gerne zu, dass eine verlässliche und sichere Identifikation immerhin eine sinnvollere Anwendung als die ebenfalls staatlich eingeführte (und inzwischen beerdigte) DE-Mail mit stückweise verschlüsselten Nachrichten wäre.

Mehr dazu bei https://www.heise.de/hintergrund/eID-und-AusweisApp-kritische-Sicherheitsluecke-aber-auch-gefaehrlich-9632374.html und alle unsere Artikel zum ePerso https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePerso&sel=meta

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z6 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html

Der Staat ist digital völlig überfordert

... und bleibt doch unbelehrbar

Ihr Credo lautet: "Ich mache mir grosse Sorgen, wenn Staaten damit beginnen, das Internet national zu regeln."

Diese Befürchtung kann sie mit vielen Beispielen belegen, seien es die Corona Warn Apps oder die vielen fehlgeschlagenen Versuche andere digitale Lösungen einzuführen. Als Beispiele nennt sie

eGK und ePA - also Gesundheitskarte und Patientenakte, in die Milliarden geflossen sind,

die digitale Lösung fürs Bafög musste für viele Millionen Euro 4-mal programmiert werden bis sie wenigstens funktionierte,

die Schweizer E-ID (elektronische Identität), vergleichbar dem Zwang zu biometrischen Daten beim deutschen Personalausweis,

und für die Schweizer unheimlich wichtig, das gefährlich E-Voting.

Das Interview mit ihr zu lesen, ist vor allem wegen der letzten beiden Punkte wichtig. Sie zeigt auf, dass damit zum einen der Charakter des Internets von einer "Bibliothek des Wissens und des Austauschs" zu einem kommerziellen Warenhaus wird. Es gibt dann keinen anonymen Austausch freier Gedanken mehr, sondern nur noch reine personenbezogene Geschäftsbeziehungen mit E-ID, Namen und Adresse.

Für die Schweiz und genauso für die anderen Staaten befürchtet sie, dass mit dem manipulierbaren E-Voting, also einer elektronischen Stimmabgabe den rechten Bewegungen in Europa gerade jetzt "an einem Kipp­punkt der Demokratie" in die Hände gespielt wird. Niemand wird zukünftig beweisen können, wie Wahlen unter den inzwischen schon recht zahlreichen rechten Regierungen (Italien, Polen, Ungarn, Schweden, ...) gefälscht werden.

Nebenbei hat sie auch eine gute Erklärung, warum staatliche Verwaltungsstrukturen nicht für die Planung und Realisierung von (großen) IT-Projekten taugen. Die Unterordnung im Beamtenapparat und die Hierarchie verhindern, dass (vernünftig) erarbeitete Planung auf unterer Ebene bis zu den Entscheidungsträgern überlebt. Jede höhere Ebene würde die Vorlage der unteren Ebene fachlich ausdünnen und politisch anreichern - übrig bleibt ein nicht-funktionierendes Etwas mit zusätzlichen Sicherheitslücken.

Dem kann ich aus eigener Erfahrung bei der Realisierung der IT-Vorhaben zum ALG-II und der Autobahn-Maut nur zustimmen ... Mehr dazu bei https://www.republik.ch/2022/11/01/lilith-wittmann-ich-wuerde-die-finger-von-e-voting-lassen

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3qG Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8203-20221107-der-staat-ist-digital-voellig-ueberfordert.htm

IT-Projekte versenken kann Deutschland

Nichts außer Kosten und Risiken für die Privatsphäre

📷Über die unendliche Geschichte von "elektronischer Gesundheitskarte" (eGK) und der glücklicherweise weiterhin kränkelnder "elektronischen Patientenakte" (ePA) haben wir schon oft genug berichtet. Oft genug? - wohl doch nicht genug, denn diese Milliardengäber werden weiterhin mit Steuergeldern und Beiträgen der gesetzlich Versicherten voll geschütet ...

Doch im Spiegel liefen uns noch 2 weitere IT-Projekte des Bundes über den Weg - nichts großes und doch einfach in den Sand gesetzt.

Nora

Nora sollte die offizielle App der 16 Bundesländer für Notrufe werden. Na ja, es sind nicht ganz 16 Bundesländer geworden, denn Berlin hat seine Verwaltungsvorbereitungen für den jetzt geplanten Start der App nicht geschafft. Wozu braucht man für Notrufe ein App, wenn man doch ein Telefon hat? Nun ja, man hatte ausnahmsweise mal an Menschen mit allen möglichen Sprach- oder Hörbeeinträchtigungen gedacht und an Notsituationen, in denen man nicht laut sprechen kann, so dass auch ein stiller Notruf möglich wäre.

Und da fangen die Problem der App an, denn diese kann nur deutsch und englisch, weist unbekannte oder falsch geschriebene Notrufe mit der Bemerkung man möge "bitte deutsch schreiben" ab. Darüber hinaus muss man sich den Ort seines Notrufs genau vorher überlegen, denn die Antwort des Systems kann auch lauten "Hier gibt es keinen Nora-Notruf". Das gilt nun erst einmal bundesweit, denn die App wurde wieder aus den App Stores entfernt, angeblich weil "die Server überlastet" wären.

E-Rezept

2005 hatte Angelas Merkel die "elektronischer Gesundheitskarte" (eGK) zu einem "Leuchtturmprojekt" erklärt - 16 Jahre später kann sie eigentlich nichts weiter als der mögliche Zugang/Schlüssel zur "elektronischen Patientenakte" (ePA) zu sein, die ebenfalls kaum etwas kann und eventuell 2022 (nur) auf einem Smartphone funktionieren könnte. Die Frage des Spiegel, welchen Nutzen die Versicherten von der ePA bisher haben, beantwortete der Chef der Kassenärztlichen Vereinigung zum Start mit den Worten: "Konkret noch gar keinen".

Ein Teil der ePA sollte das e-Rezept sein, dass ab dem 1. Oktober 2021 eingeführt werden sollte. Die verantwortliche Firma Gematik, zu 51% im Besitz des Gesundheitsministeriums hatte den Start einen Tag vorher abgesagt. Man wollte wohl den Wahltag erst einmal hinter sich haben.

ID Wallet

Genau so erging es auch der ID Wallet der App für den digitalen Ausweis und Führerschein. Kurz vor der Wahl erschien die App in den App Stores und jetzt ist sie wieder verschwunden - und das ist auch gut so!

Lilith Wittmann hatte auf Twitter veröffentlicht, was an der ID Wallet alles nicht richtig läuft und das im Interview mit Netzpolitik.org mit drei grundlegenden Problemen begründet:

die Domain-Name-Server waren so schlecht konfiguriert, dass ein Angreifer beliebige Subdomains hätte einrichten können,

das 2. Problem kennen wir aus dem 1. Beispiel oben: die Server brechen bei Last einfach zusammen,

und noch ein Sicherheitsproblem: wer die Daten einer ID Wallet abfragen möchte, muss sich nicht authentifizieren - sollte das eine gewollte Hintertür sein? So diletantisch kann ja nicht mal der Bund sein ...

Der Spiegel macht für die letzte App den "Milliardenmurkser" (s. Maut) Andreas Scheuer maßgeblich mitverantwortlich, denn der digitale Führerschein wr sein Steckenpferd. Wir sehen alle diese Projekte seit Jahren kritisch und sehen die Schuld generell im "blinden Tapsen im Neuland" und der Weigerung der Verantwortlichen vor einem Projektstart mit Bedenkenträgern ins Gespräch zu kommen, um Gefahren für die Privatsphäre der Nutzer und Vor- und Nachteile für die Gesellschaft abzuwägen.

Mehr dazu bei https://www.spiegel.de/netzwelt/netzpolitik/nora-e-rezept-und-id-wallet-deutschland-ist-das-digitale-schilda-a-b1c6458f-4857-4449-beab-fff8b683484e und die Kritik an der ID Wallet https://netzpolitik.org/2021/interview-zu-id-wallet-konzeptionell-kaputt-und-ein-riesiger-rueckschritt/ und alle unsere Artikel zur ePA https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche="eGK+ePA"&sel=meta Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7797-20211012-it-projekte-versenken-kann-deutschland.htm

24.06.2021 Biometrisches Foto und Fingerabdruck von Allen

Die Odyssee geht weiter ...

Eine Transformation für 37€ : Der digitale Fortschritt schreitet unaufhaltsam voran - aus schwarz-weiß wird echte bunte Farbe ...

Um wieviel Bytes Speicherplatz der Chip im Ausweis gewachsen ist, obwohl die Trägerkarte auf ein Viertel geschrumpft ist, wissen wir leider nicht ...

Vor 3 Jahren hat eine Aktive aus unserem Verein die Odyssee unternommen einen neuen Ausweis zu beantragen. Ihr Bericht "Die Odyssee des biometrischen Abbilds" war erschreckend und in den Auswüchsen der Zwangsdigitalisierung teilweise auch komisch.

Inhaltsverzeichnis

Einleitung

Das biometrische Foto und nun der Fingerabdruck

Unsere Kritik

Zwei Erlebnisberichte

Wunder gibt es immer wieder

Eine nur eineinhalbjährige Odyssee

Sicherheitslücken

Zurück zur traurigen Realität - wir haben in den letzten 12 Jahren die verschiedensten Sicherheitslücken in den mit RFID Chip ausgestatteten Ausweisen und Passdokumenten dokumentiert.

23.07.2020 Elektronischer Personalausweis auf dem Handy? https://www.aktion-freiheitstattangst.org/de/articles/7337-20200723-elektronischer-personalausweis-auf-dem-handy.htm

06.09.2017 Verfassungsbeschwerde gegen Ausweiszwang beim SIM Karten Kauf https://www.aktion-freiheitstattangst.org/de/articles/6170-20170906-verfassungsbeschwerde-gegen-ausweiszwang-beim-sim-karten-kauf.htm

18.05.2017 Nationale Datenbank für biometrische Fotos https://www.aktion-freiheitstattangst.org/de/articles/6037-20170518-nationale-datenbank-fuer-biometrische-fotos.htm

24.01.2017 Personalausweisgesetz bürger- und datenschutzfreundlich realisieren! https://www.aktion-freiheitstattangst.org/de/articles/6468-20170124-personalausweisgesetz-buerger-und-datenschutzfreundlich-realisieren.htm

16.01.2017 Fingerabdrücke aus 3m Entfernung fotografiert https://www.aktion-freiheitstattangst.org/de/articles/5882-20170116-fingerabdruecke-aus-3m-entfernung-fotografiert.htm

14.12.2016 Vertrauen in ePerso wird per Gesetz erzwungen https://www.aktion-freiheitstattangst.org/de/articles/5841-20161214-vertrauen-in-eperso-wird-per-gesetz-erzwungen.htm

28.08.2013 ePerso - Staatliches Datenleck in Deutschland https://www.aktion-freiheitstattangst.org/de/articles/3822-20130828-eperso-staatliches-datenleck-in-deutschland.htm

14.03.2013 EUGh prüft biometrische Daten in Pässen https://www.aktion-freiheitstattangst.org/de/articles/3466-20130314-eugh-prueft-biometrische-daten-in-paessen.htm

30.12.2011 RFID geknackt https://www.aktion-freiheitstattangst.org/de/articles/2598-20111230-rfid-geknackt.htm

01.10.2010 Identitätsdiebstahl beim ePerso https://www.aktion-freiheitstattangst.org/de/articles/1575-20101001-identitaetsdiebstahl-beim-eperso.htm

23.09.2010 PIN ändern beim fremden ePerso - kein Problem https://www.aktion-freiheitstattangst.org/de/articles/1561-20100923-pin-aendern-beim-fremden-eperso-kein-problem.htm

26.08.2010 Pressemitteilung zum Hack des elektronischen Personalausweis https://www.aktion-freiheitstattangst.org/de/articles/1501-20100826-pressemitteilung-zum-hack-des-elektronischen-personalausweis.htm

24.08.2010 Daten von neuem Personalausweis ausgelesen https://www.aktion-freiheitstattangst.org/de/articles/1498-20100824-daten-von-euem-personalausweis-ausgelesen.htm

21.03.2010 ePass mit Funk-Chip ab November https://www.aktion-freiheitstattangst.org/de/articles/1192-20100321-epass-mit-funk-chip-ab-november.htm

17.11.2006 Pass mit RFID Chip gehackt https://www.aktion-freiheitstattangst.org/de/articles/2762-20061117-pass-mit-rfid-chip-gehackt.htm

Auch die Ausgabe eines Ausweises als App auf dem Handy steht bevor (23.07.2020 Elektronischer Personalausweis auf dem Handy? ). Über seine Sicherheitslücken werden wir sicher kurz nach seiner Einführung berichten können.

Mehr dazu in unseren Seiten über Zwangdigitaliserung https://www.aktion-freiheitstattangst.org/de/articles/zwangsdigitalisierung.htm

Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7683-20210624-biometrisches-foto-und-fingerabdruck-von-allen.htm Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7683-20210624-biometrisches-foto-und-fingerabdruck-von-allen.htm

Die tödlichen Vorteile des biometrischen Abbilds

Wie löscht man Datenbanken nach einem "Regierungswechsel"?

📷

Wie wichtig das biometrische Foto in den neuen Ausweisen ist, wurde nicht nur uns gepredigt, sondern auch in Afghanistan wurden die Menschen zur Abgabe ihrer biometrischen Daten gezwungen. Dies wird für viele von ihnen nun zu einer möglicherweise tödlichen Gefahr.

Die Gruppe Human Rights First schrieb am Montag auf Twitter, "Wir wissen, dass die Taliban jetzt wahrscheinlich Zugang zu verschiedenen biometrischen Datenbanken und Geräten in Afghanistan haben." Das sind in Afghanistan Datenbanken mit  Fingerabdrücken, biometrischen Fotos und Iris-Scans.

Der digitale Personalausweis, die Tazkira, erlaubt es auch bestimmte ethnische Gruppen zu enttarnen. Aber auch die Telekommunikationsunternehmen verfügen massenhaft über Daten, die zur Verfolgung und gezielten Ansprache von Menschen genutzt werden können, die sich in den vergangenen Jahren politisch geäußert haben.

Die Menschen in Afghanistan, insbesondere Jugendliche sind z.Zt. dabei ihre Handys zu säubern, indem sie Nachrichten und Musik löschen. Vielen ist nicht klar, das ihre Vorlieben und Interessen auch aus den Metadaten bei den Providern abgeleitet werden können.

Dazu noch ein Update: Eines der Hauptargumente gegen Wikileaks und Julian Assange war ja, er habe Kollaborateure der Amerikaner gefährdet. Wenn die Taliban die Namen bei Wikileaks sieht, sind die so gut wie tot. Das stimmt natürlich nicht, der Assange hat die Namen extra rauszensiert und mit Medienpartnern zusammengearbeitet, die auch nochmal drübergegangen sind, um das Szenario zu vermeiden. Nun können wir in Afghanistan gerade sehen, wie der Westen da mit seinen Kollaborateuren vor Ort umgeht. ... Aus Fefe's Blog: https://blog.fefe.de/?ts=9fe2c00f

Mehr dazu bei https://www.reuters.com/article/afghanistan-tech-conflict/afghans-scramble-to-delete-digital-history-evade-biometrics-idINL8N2PO1FH Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7741-20210819-die-toedlichen-vorteile-des-biometrischen-abbilds.htm

EuGH muss über Fingerabdruck im ePerso entscheiden

Klage gegen Fingerabdruck im Ausweis erfolgreich

Das Verwaltungsgericht Hamburg hat erstmal mit einer einstweiligen Anordnung (Az.: 20 E 377/23) entschieden, dass ein Antragsteller Anspruch auf ein Ausweisdokument ohne einen gespeicherten Fingerabdruck hat. Nun muss die Frage höchstrichterlich geklärt werden, ob eine EU Richtlinie so eine Speicherpflicht für alle Mitgliedsstaaten vorschreiben darf. Deshalb erhält der Kläger zunächst nur einen Ausweis befristet für ein Jahr.

Wir halten das Urteil, was leider nur eine "Anordnung" ist, für sehr wichtig, glauben aber nicht, dass ein höchstrichterliches Urteil in einem Jahr zu erhalten ist. Bedenken wir, dass z.B. die Entscheidung zur Verfassungswidrigkeit der BKA Novelle von 2008 insgesamt 8 Jahre gedauert hat.

Damit gibt es nach dem Verwaltungsgericht Wiesbaden von Anfang 2022 bereits ein 2. Urteil, dass ebenfalls erhebliche Zweifel an der Rechtmäßigkeit der Bestimmung hatte. Auch diese Richter hatten die Klage weitergereicht, so dass demnächst der Europäische Gerichtshof (EuGH) darüber entscheiden soll. Eine erste Anhörung gab es dort letzten Dienstag.

Das Wiesbadener Gericht äußerte Anfang 2022 ebenfalls erhebliche Zweifel an der Rechtmäßigkeit der Bestimmung, insbesondere im Zusammenhang mit den Artikeln 7 und 8 der EU-Grundrechtecharta zum Schutz der Privatsphäre. Dabei steht die mögliche Weitergabe der Fingerabdruckdaten an die Polizeien und deren Erlaubnis, die Daten 90 Tage zu nutzen in Frage. Ein Richter meinte am Dienstag zu dieser Frage, ob der Gesetzgeber durch die Speicherung und Weitergabe der Fingerabdrücke statt die Sicherheit des Dokuments zu erhöhen, nicht zusätzlich eine neue Sicherheitslücke geschaffen hätte.

Mehr dazu bei https://www.heise.de/news/Verwaltungsgericht-Buerger-hat-Anspruch-auf-Personalausweis-ohne-Fingerabdruecke-7547213.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3t1 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8337-20230316-eugh-muss-ueber-fingerabdruck-im-eperso-entscheiden.htm

Das Video-Ident Verfahren ist kaputt

Eine Scheinsicherheit wird vorgegaukelt

Seit fast 2 Jahren nehmen die Angebote für das Video-ident-Verfahren zu. Dabei wird zur Erteilung einer Kreditkarte oder bei Eröffnung eines Bankkontos verlangt, dass der Antragsteller seinen Ausweis oder Pass einscannt oder vor die Kamera hält und sich dann selbst vor die Kamera setzt.

Eine "intelligente" Software soll dann feststellen, dass Bild und Person identisch sind. Dieses Verfahren wurde auch seit einem Jahr für die Eröffnung einer elektronischen Patientenakte angewendet.

Nun hat der Chaos Computer Club (CCC) nachweisen können, dass man dieses Verfahren "mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe" austricksen kann. Nach einer Mitteilung des Chaos Computer Club war es möglich verschiedenen Video-Ident-Verfahren zu täuschen.

Die Gematik als Betreiber der Infrastruktur im Gesundheitswesen hat daraufhin dieses Identifikationsverfahren eingestellt. Das war vernünftig und logisch. Doch was ist mit den anderen Anwender, vor allem den Banken?

Anfragen von netzpolitik.org an die Aufsichtsbehörden, ob auch ein Verbot von Video-Ident in Erwägung gezogen wird, brachten lediglich die Antwort: 

"Hinweise auf Sicherheitsprobleme oder Schwachstellen in Bezug auf das Identifizierungsverfahren nehmen wir sehr ernst und überprüfen diese."

Mit dieser Antowrt sind sich Bundesnetzagentur (BNetzA) und die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) einig aber ein für die Sicherheit der Nutzer notwendiges Verbot dieses unsicheren Verfahrens ist bisher nicht erfolgt. Dabei könnte das vom BSI empholene und bisher(!) sichere Verfahren mittels der Online-Ausweisfunktion des Personalausweises mit einem Verbot von Video-Ident sogar gepusht werden.

PS. „Rohrkrepierer“ nennt der CCC die Online-Ausweisfunktion des Personalausweises weil kaum jemand sie nutzt ... Selbst der Aktivierungszwang der eID-Funktion vor mehr als einem Jahr hat nicht den Durchbruch gebracht.

Mehr dazu bei https://netzpolitik.org/2022/video-ident-eingestuerzte-brueckentechnologie/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3p9 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8113-20220815-das-video-ident-verfahren-ist-kaputt.htm