Ist die SuisseID unsicher? Seco kontert Vorwürfe
In einem Artikel der Weltwoche vom 12. August hiess es, dass die SuisseID den heutigen Sicherheitsstandards nicht entsprechen würde und innert fünf Minuten gehackt werden könne. Die Schwachstelle ist der Anwender selbst, denn wenn dieser seinen Computer nicht richtig schützt, dann könnten Angreifer mit Hilfe eines Trojaners ganz einfach die Pin und SuisseID Nummer ausspionieren und so seine Identität stehlen. Dieser Artikel sorgte für Unruhe bei der Seco und natürlich auch für Unsicherheit auf Seiten der Anwender. Auf Nachfrage beim Staatssekretariat für Wirtschaft Seco sei dieses Szenario ausgeschlossen. „Selbst wenn sich ein Hacker mit einem Trojaner Kenntnis vom PIN und von der SuisseID Nummer beschaffen könnte, nützt ihm das nichts. Für einen Missbrauch der Identität für ein Login oder eine elektronische Unterschrift müsste er in jedem einzelnen Fall physisch auf die SuisseID Karte oder den SuisseID USB-Stick zugreifen können“, erklärt das Seco.
Der SuisseID-Projektverantwortliche und Seco-Leiter eGovernment für KMU Christian Weber erklärte gegenüber der Netzwoche, dass das beschriebene Szenario in der Weltwoche nicht stimme. „Es ist nicht möglich sich der SuisseID-Identität zu bedienen, da sind sich alle Sicherheitsexperten, mit denen wir den Sachverhalt mehrmals geprüft haben, einig.“ Seco hat dazu mit mehreren internen und externen Experten zusammengearbeitet, darunter auch mit Marc Zweiacker, Geschäftsführer des auf Systemanalyse und Leitung komplexer IT Projekte spezialisierten Unternehmens Zweiacker IT Management und Rudolf Brügger von der Enlight-it GmbH, welche unter anderem Informatik-Projekte betreut und IT-Betriebsfragen klärt.
Weber führte weiter aus, dass nur eine „minimale Möglichkeit“ bestehe sich eine SuisseID-Idendität anzueignen: Wenn der PC des Nutzers bereits mit Malware infiziert ist und die SuisseID Karte oder USB-Stick am Rechner steckt, erst dann besteht ein Risiko. Sobald die Hardware jedoch wieder vom Rechner entfernt wird ist ein Angriff nicht mehr möglich.
Auch Hannes Lubich, Professor für IT System Management an der Fachhochschule Nordwestschweiz sieht beim Anwender die Schwachstelle. „Generell stellt SuisseID nicht den Anspruch auf, die gesamte Sicherheitskette zu implementieren - SuisseID sorgt für die eindeutige und nachvollziehbare Identifikation der Kommunikationspartner und sichert auf dieser Basis die Kommunikation zwischen den beteiligten Rechnern über potentiell unsichere Netzwerke. Was SuisseID jedoch nicht kann, und meines Wissens auch nicht behauptet, ist die Sicherung der beteiligten Endsysteme selbst. Ist also ein beteiligtes Endsystem bereits kompromittiert, sei es durch einen Keystroke Logger, einen Virus, einen Wurm, einen Root Kit oder sonstige Malware, dann kann SuisseID daran auch nichts mehr ändern“, erklärt Lubich gegenüber der Netzwoche.
Umbenennung zu Haskoning Schweiz
Haskoning übernimmt Zürcher Rechenzentrumsplaner Next
Uhr
Statement von Andreas Schwizer, Leiter Geschäftsbereich ICT und Mitglied der Geschäftsleitung von SAK
"Die steigenden Anforderungen stärken die Rolle der lokalen RZ-Anbieter"
Uhr
Gegen digitale Ablenkung
Zwei Start-ups präsentieren Lösungen für weniger Bildschirmzeit
Uhr
Digitale Souveränität: Den Blick nach Japan wagen
Uhr
Kampf gegen Missbrauch von Schweizer Domains
Update: Nationalrat besteht auf Identifikationspflicht beim Domainkauf
Uhr
Pro-AV-Installationen für Fussballfans
LED-Fussball begeistert Fans in Dallas
Uhr
"Vor meinem Kaffee bin ich wirklich ein Höllenbiest"
Wenn der Chef seinen Morgenkaffee noch nicht hatte
Uhr
Marco Zimmer
Update: Winterthur findet neuen CIO in den eigenen Reihen
Uhr
"Quantum Risk Score"
Schweizer Start-up hilft Unternehmen beim Berechnen ihrer Quantenrisiken
Uhr
Cybersicherheit in der Bundesverwaltung
Neue Cyberaufsicht kämpft mit Anlaufschwierigkeiten
Uhr
