Ist die SuisseID unsicher? Seco kontert Vorwürfe
In einem Artikel der Weltwoche vom 12. August hiess es, dass die SuisseID den heutigen Sicherheitsstandards nicht entsprechen würde und innert fünf Minuten gehackt werden könne. Die Schwachstelle ist der Anwender selbst, denn wenn dieser seinen Computer nicht richtig schützt, dann könnten Angreifer mit Hilfe eines Trojaners ganz einfach die Pin und SuisseID Nummer ausspionieren und so seine Identität stehlen. Dieser Artikel sorgte für Unruhe bei der Seco und natürlich auch für Unsicherheit auf Seiten der Anwender. Auf Nachfrage beim Staatssekretariat für Wirtschaft Seco sei dieses Szenario ausgeschlossen. „Selbst wenn sich ein Hacker mit einem Trojaner Kenntnis vom PIN und von der SuisseID Nummer beschaffen könnte, nützt ihm das nichts. Für einen Missbrauch der Identität für ein Login oder eine elektronische Unterschrift müsste er in jedem einzelnen Fall physisch auf die SuisseID Karte oder den SuisseID USB-Stick zugreifen können“, erklärt das Seco.
Der SuisseID-Projektverantwortliche und Seco-Leiter eGovernment für KMU Christian Weber erklärte gegenüber der Netzwoche, dass das beschriebene Szenario in der Weltwoche nicht stimme. „Es ist nicht möglich sich der SuisseID-Identität zu bedienen, da sind sich alle Sicherheitsexperten, mit denen wir den Sachverhalt mehrmals geprüft haben, einig.“ Seco hat dazu mit mehreren internen und externen Experten zusammengearbeitet, darunter auch mit Marc Zweiacker, Geschäftsführer des auf Systemanalyse und Leitung komplexer IT Projekte spezialisierten Unternehmens Zweiacker IT Management und Rudolf Brügger von der Enlight-it GmbH, welche unter anderem Informatik-Projekte betreut und IT-Betriebsfragen klärt.
Weber führte weiter aus, dass nur eine „minimale Möglichkeit“ bestehe sich eine SuisseID-Idendität anzueignen: Wenn der PC des Nutzers bereits mit Malware infiziert ist und die SuisseID Karte oder USB-Stick am Rechner steckt, erst dann besteht ein Risiko. Sobald die Hardware jedoch wieder vom Rechner entfernt wird ist ein Angriff nicht mehr möglich.
Auch Hannes Lubich, Professor für IT System Management an der Fachhochschule Nordwestschweiz sieht beim Anwender die Schwachstelle. „Generell stellt SuisseID nicht den Anspruch auf, die gesamte Sicherheitskette zu implementieren - SuisseID sorgt für die eindeutige und nachvollziehbare Identifikation der Kommunikationspartner und sichert auf dieser Basis die Kommunikation zwischen den beteiligten Rechnern über potentiell unsichere Netzwerke. Was SuisseID jedoch nicht kann, und meines Wissens auch nicht behauptet, ist die Sicherung der beteiligten Endsysteme selbst. Ist also ein beteiligtes Endsystem bereits kompromittiert, sei es durch einen Keystroke Logger, einen Virus, einen Wurm, einen Root Kit oder sonstige Malware, dann kann SuisseID daran auch nichts mehr ändern“, erklärt Lubich gegenüber der Netzwoche.
Swiss E-Government Forum
Von offenen Quellen und heiklen Daten
Uhr
Softwarebasiertes Messverfahren
Update: Bechtles Index für digitale Souveränität kommt auf den Markt
Uhr
Nach Auszähl-Debakel
Update: Basel-Stadt pausiert E-Voting – drei Kantone machen weiter
Uhr
Company Profile
Ihr Schweizer Microsoft Partner für digitale Verwaltung & Souveränität
Uhr
Happy Friday The 13th
Jason feiert Lieblingstag
Uhr
Nationalrat wieder am Zug
Update: Stände- und Nationalrat einigen sich (fast) in Sachen E-Collecting
Uhr
Dossier in Kooperation mit Abraxas
Probelauf für die E-ID
Uhr
Umfrage von ISC2
3 von 4 Sicherheitsexpertinnen halten Cybersecurity für eine frauenfreundliche Karriere
Uhr
Anlässlich des internationalen Recycling Day
Swico fordert digitalen Entrümpelungstag für die Schweiz
Uhr
Vittorio Buonfiglio
Media Markt erhält neuen alten Schweiz-Chef
Uhr
