Genau. Man wird sogar vermuten dürfen, dass gestohlene Autos die
Verkehrssicherheit erhöhen: Kein Dieb wird so fahren, dass die
Polizei ihn aus dem Verkehr zieht und dabei zufällig dahinter kommt,
dass oder wozu er das Fahrzeug gestohlen hat. Im Gegenteil: Er wird
die Verkehrsregeln – insbesondere die Geschwindigkeitsbeschränkungen –
beachten und damit auch andere daran hindern, sie zu übertreten, damit
er keinen Anlass zu einer Polizeikontrolle gibt. In einer anlasslosen
Polizeikontrolle wird er den mitgestohlenen Fahrzeugschein vorweisen.
Ebenso geht es nicht um die Frage, ob die neuen Personalausweise, für
sich betrachtet, sicher oder unsicher sind (ich gehe davon aus, dass
der Personalausweis den geheimen Schlüssel nicht herausrückt und
insofern sicher ist), sondern, ob die Gefahr besteht, dass der von der
Bundesdruckerei erzeugte geheime Schlüssel bei der Produktion des
Personalausweises «gestohlen», genauer: eine Kopie des Schlüssels noch
woanders als im Personalausweis gespeichert und deshalb von jemand
anderem als dem Inhaber des Personalausweises benutzt und die
elektronische Identität des Inhabers des Personalausweises missbraucht
werden kann.
> Bei dem Thema nPA und Zertifikat würde es aber nur dann etwas
> bringen, wenn das Zertifikat IMMER vom Benutzer erzeugt werden MUSS.
Das Zertifikat wird nie vom Benutzer erzeugt, und das ist auch nicht
das, worum es mir geht. Das Zertifikat wird selbstverständlich von
der entsprechenden hoheitlichen Behörde (möglicherweise an die
Bundesdruckereri delegiert) erzeugt; schließlich steht sie dafür
gerade, dass es damit seine Richtigkeit hat. Kann es sein, dass dir
der Unterschied zwischen dem geheimen Schlüssel und dem Zertifikat
am zu ihm gehörenden öffentlichen Schlüssel nicht klar ist? Aber
meinetwegen sei angenommen, dass es dir im folgenden um den geheimen
Schlüssel und nicht um das Zertifikat im Personalausweis geht.
Und es ist keineswegs so, dass die Sicherheit nur dann erhöht wird,
wenn jeder Personalausweisinhaber seinen geheimen Schlüssel selber
erzeugt: Die Sicherheit, mit der sich jemand (beispielsweise eine
Bank, bei der ich ein Konto eröffnen will) auf die Echtheit der
elektronischen Identität meines Personalausweises verlassen kann, wird
nicht davon beeinträchtigt, wenn die Sicherheit der elektronischen
Identität des Personalausweises eines anderen zerstört ist, weil sein
geheimer Schlüssel in falsche Hände geraten ist.
> Wenn das die meisten Benutzer aber nicht tun, weil sie es nicht
> können oder nicht wollen, dann ist das GESAMTSYSTEM "nPA" nicht
> sicherer wie voher.
Das «Gesamtsystem nPA» ist irrelevant. Sicherheit gibt es immer nur
zwischen den am Ausweisen beteiligten Partnern.
>[...]
>> Trotzdem hält der Gesetzgeber an der Verpflichtung, den
>> Fahrzeugschein nicht im Fahrzeug liegen zu lassen, wenn man das
>> Fahrzeug abstellt, fest. Warum nur, wo doch die Allgemeinheit
>> keinen spürbaren Vorteil davon hat?
>
> Damit die Haftungsfrage klar ist, wenn etwas passiert. Mit
> "Sicherheit" hat das exakt GAR NICHTS zu tun.
>
Genau. Es läuft auf die Haftungsfrage hinaus: Wenn der Fahrer im
Besitz des Fahrzeugscheins ist, ist davon auszugehen, dass er das mit
Einwilligung des Halters ist, denn andernfalls hätte der Halter ihm
ihn nicht übergeben. Der Halter kann sich nicht damit herausreden,
dass der Fahrer das Fahrzeug mitsamt dem in ihm liegenden
Fahrzeugschein entwendet hat. Damit ist die Haftungsfrage geklärt:
Der Halter bzw. seine Haftpflichtversicherung haftet. Anders sieht es
aus, wenn der Entwender des Fahrzeugs nicht im Besitz des
Fahrzeugscheins ist.
Ebenso verhält es sich beim elektronischen Identitätsnachweis: Wessen
Identität elektronisch nachgewiesen wird, der haftet dafür, wofür mit
dem elektronischen Identitätsnachweis eine Berechtigung nachgewiesen
wird.
Gesetzt den Fall, ich hätte (über Mittelsmänner in der
Bundesdruckerei) Zugriff auf einen Personalausweis, der denselben
geheimen Schlüssel wie dein Personalausweis enthält, und würde mit dem
elektronischen Identitätsnachweis dieses Personalausweises bei deiner
Bank eine Vollmacht für eine dritte Person einrichten. Würdest du das
Risiko tragen wollen, dass diese dritte Person dein Konto abräumt?
Die Bank darf darauf vertrauen, dass ein mit dem Personalausweis
geleisteter elektronischer Identitätsnachweis nur vom Inhaber des
Personalausweises geleistet werden kann, denn genau das ist Sinn und
Zweck des elektronischen Identitätsnachweises des Personalausweises.
Insofern ist für sie die Sicherheit des «Gesamtsystems nPA» nicht
beeinträchtigt, denn das Risiko des Missbrauchs deiner elektronischen
Identität des Personalausweises liegt bei dir, nicht bei ihr.
Also ich möchte das Risiko, dass jemand meine elektronische Identität
missbraucht und ich dafür geradestehen muss, nicht eingehen. Und
dabei ist es mir ziemlich egal, ob dabei irgend jemand das
«Gesamtsystem nPA» in seiner Sicherheit beeinträchtigt sieht oder
nicht.
Nochmal zum Fall der Bank zurück: Hätte ich einen (gefälschten)
Personalausweis, der zwar ein Foto von mir aber deine Stammdaten
enthält, könnte ich damit versuchen, bei deiner Bank durch
persönliches Erscheinen eine Bankvollmacht einzurichten. Sei
weiterhin angenommen, ich brächte es dabei fertig, deine bei der
Bank hinterlegte Unterschrift zu fälschen. Wenn dann dein Konto
abgeräumt wäre, würdest du dich dich an deine Bank wenden. Die
würde ihren Mitarbeiter, der die Vollmacht von mir entgegengenommen
hat, natürlich befragen. Eine Gegenüberstellung mit dir brächte es
an den Tag: Der Arno Welzel, der bei dem Bankmitarbeiter die
Vollmacht eingerichtet hat, sieht ganz anders aus als der, der gegen
das Abräumen des Bankkontos vorgeht (obwohl beide im Besitz eines zu
ihnen jeweils biometrisch passenden Personalausweises mit den
Stammdaten Arno Welzels sind).
Anders sieht die Lage beim elektronischen Identitätsnachweis mit
gestohlenem geheimem Schlüssel ohne persönliches Erscheinen und ohne
händische Unterschrift aus: Da gibt es neben dem elektronischen
Identitätsnachweis kein weiteres identifizierendes Merkmal mehr, das
der Bankmitarbeiter auf Befragen nennen könnte, und beide
elektronischen Identitätsnachweise benutzen denselben geheimen
Schlüssel. Sofern man also dem elektronischen Identitätsnachweis
überhaupt den geringsten Wert beimessen will, bleibt als Folgerung
nur: Du hast die Bankvollmacht selbst gegeben, das Konto abräumen
lassen und versuchst jetzt, das Geld ein zweites Mal von der Bank zu
fordern.
Das Problem beim elektronischen Identitätsnachweis ist, dass er
total ist: Es gibt keine weiteren Seiteneffekte, die bei Zweifeln
an der Rechtmäßigkeit damit getätigter Aktionen überprüft werden
könnten. Kein Bankmitarbeiter sieht mich am Rechner sitzen, während
ich online mit elektronisch nachgewiesener Identität die
Bankvollmacht unterschreibe, und könnte nachher bezeugen: «Der Arno
Welzel am Rechner sah aber ganz anders aus als derjenige, der hier
vor mir steht und fragt, wo sein Geld auf dem Konto abgeblieben
ist».
Aber du bist mit diesem Missgeschick sicher einverstanden, denn das
«Gesamtsystem nPA» würde ja nicht sicherer werden, wenn du deinen
geheimen Schlüssel selber auf den Personalausweis aufgespielt und so
meinen Betrug mit Hilfe der Mittelsmänner bei der Bundesdruckerei
verhindert hättest, nicht wahr? Und du hältst es auch für in
Ordnung, dass du als Inhaber des Personalausweises gezwungen bist,
dieses Risiko zu akzeptieren, denn du hast nicht einmal die
Möglichkeit, einen Personalausweis, dem die Fähigkeit, einen
elektronischen Identitätsnachweis zu erbringen, fehlt, zu erwerben.
Denn mit Thomas Hochsteins Worten würde man dir bei der
ausstellenden Behörde auf diesen Wunsch hin antworten: «Dann
benutzen Sie sie doch einfach nicht». Dass das nichts daran ändert,
dass ich sie habe benutzen können, spielt dabei ja keine Rolle.
>> «noscript» im Firefox? Bringt der Allgemeinheit nicht mehr
>> Sicherheit. Nur, weil einzelne Personen die Ausführung aktiver
>> Inhalte blockieren, wird das «Internet» insgesamt nicht
>> sicherer.
>
>Korrekt!
>
>> Die Firefoxe vieler anderer Nutzer sind weiterhin unsicher, wenn
>> sie aktive Inhalte nicht blockieren. Damit bringt aber diese
>> Wahlmöglichkeit der Allgemeinheit keinen spürbaren Vorteil,
>> sondern nur den wenigen, die bereit sind, dafür auf
>> Bequemlichkeit zu verzichten.
>
>Korrekt!
>
>> Trotzdem wird «noscript» als die Sicherheit verbessernd
>> eingeschätzt. Warum nur, wo doch die Allgemeinheit keinen
>> spürbaren Vorteil davon hat?
>
> Ich schätze "noscript" genau umgekehrt ein: es macht Firefox
> potentiell weniger sicher, weil es zusätzlichen Code hinzufügt,
> der vorher nicht da war.
In der Geschichte des Firefox' ist mir bisher nichts davon zu Ohren
gekommen, dass «noscript» ein Einfallstor für Malware war – aber
vielleicht dir?
Dass Javascript schon mehr als einmal Sicherheitslöcher aufgerissen
hat, ist jedoch bekannt.