Elektronisches Vertrauen

Das neue Logo mit dem blauen Schloss und den Sternen soll dem EU-Bürger ein sicheres Gefühl geben.

Die Europäische Union schickt sich an, das Internet vertrauenswürdig zu machen. Am 1. Juli 2016 wird die eIDAS-Verordnung in allen 31 Ländern des europäischen Wirtschaftsraums wirksam. Die „EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ setzt verbindliche europaweit geltende Regelungen für sichere Kommunikation um. Später soll mit der Verordnung auch die elektronische Identifizierung geregelt werden. Zwei deutsche Problemprojekte wollen von der neuen Verordnung profitieren: die De-Mail und die elektronische Identifikation mit dem gechipten Personalausweis.

Mit Inkrafttreten von eIDAS beginnen alle Staaten des europäischen Wirtschaftsraumes, über eine nationale Aufsichtsstelle Informationen über die zugelassenen Vertrauensdiensteanbieter auszutauschen. Dahinter steckt eine einfache Idee: Wer im Staat X zugelassen ist, wird vom Staat Y anerkannt. Wer also in Deutschland als Zertifizierungsdiensteanbieter bei der Bundesnetzagentur zugelassen ist, wird europaweit akzeptiert. Im Gegenzug sollen deutsche Stellen Dienstanbieter aus dem EU-Ausland akzeptieren. Dazu muss die jeweilige Agentur eine Liste der anerkannten Zertifizierungsdiensteanbieter ausländischer Staaten anbieten; bei Redaktionsschluss begrüßte uns bei der BNetzA noch eine leere Seite.

Zu den Vertrauensdiensten im Sinne der eIDAS-Verordnung zählen alle Firmen oder Trustcenter, die elektronische Signaturen, elektronische Siegel, Zeitstempel sowie Zustell- und Einschreibdienste und Webseiten-Zertifikate anbieten. Wer als identifizierter Bürger eine De-Mail ins Ausland verschicken will, wird aufatmen, denn jedes Land ist nun verpflichtet, einen nationalen Dienst als passendes Gegenstück zu benennen und bis zum Jahre 2018 ein Gateway aufzubauen, dass diese Mail auch transportiert. Angesichts der geringen Nutzerzahl von De-Mail betrifft das im Moment aber wohl nur sehr wenige.

Außerdem bringt eIDAS ein neues, europaweit anerkanntes Website-Zertifikat. Wer in Deutschland die technischen Richtlinien TR-03107 und TR-03145 des Bundesamtes für Sicherheit in der Informationstechnik erfüllt, darf sich das blaue Schloss an seine Webpräsenz hängen. Im nächsten Schritt soll die europaweite gegenseitige Anerkennung der elektronischen Identifikationsdienste umgesetzt werden. So soll ein deutscher Bürger, der die eID-Funktion seines Personalausweises freigeschaltet hat und auf dem dort erreichbaren Niveau „hoch“ kommuniziert, Behörden in ganz Europa erreichen können. Momentan ist das allerdings noch Zukunftsmusik. (Detlef Borchers/fab@ct.de)

Unsichere Update-Helfer

Sicherheitsforscher haben erneut eklatante Mängel in den Update-Programmen von PC-Herstellern entdeckt. Diese Art von Software ist bei allen großen Herstellern vorinstalliert und soll Firmware und Treiber auf dem neuesten Stand halten. Eigentlich essenziell für die Sicherheit eines Systems – leider sind diese Update-Programme in der Praxis oft nur ungenügend abgesichert, sodass sie es Angreifern erlauben, sich in die Verbindung einzuklinken und dem System Schadcode als Updates unterzuschieben.

In der vorliegenden Studie der Forscher von Duo Labs Security wurden Update-Helfer von Acer, Asus, Dell, HP und Lenovo untersucht. Alle untersuchten Programme hatten mindestens eine Lücke, die Angreifern die Ausführung von beliebigem Schadcode mit Systemrechten gestattet, wobei Dell diese Lücke inzwischen geschlossen hat.

Auch bemängeln die Forscher generell die Qualität des Programmcodes: Unnötig komplizierte Software und redundante Funktionen fordern ihrer Meinung nach diese Probleme nur heraus. Bei vielen Herstellern ist ein Chaos an Wartungsdiensten vorhanden und Sicherheitsvorkehrungen werden nicht konsequent von allen Bestandteilen umgesetzt. Bei Lenovo etwa gibt es ein fast perfekt abgesichertes Tool, aber ein zweiter vorinstallierter Updater war so gut wie nicht geschützt und führte einfach jeden Code aus, den er von einem Man-in-the-Middle angeboten bekam. Als Konsequenz aus ihrer Studie empfehlen die Forscher, neu gekaufte Rechner in Eigenregie neu zu installieren und diese Art OEM-Dienste wegzulassen. Dann muss der Nutzer aber selbst regelmäßig die Support-Webseite des Herstellers ansurfen und überprüfen, ob dort wichtige Updates für sein Gerät bereitstehen. (fab@ct.de)