Ist die SuisseID unsicher? Seco kontert Vorwürfe

In einem Artikel der Weltwoche vom 12. August hiess es, dass die SuisseID den heutigen Sicherheitsstandards nicht entsprechen würde und innert fünf Minuten gehackt werden könne. Die Schwachstelle ist der Anwender selbst, denn wenn dieser seinen Computer nicht richtig schützt, dann könnten Angreifer mit Hilfe eines Trojaners ganz einfach die Pin und SuisseID Nummer ausspionieren und so seine Identität stehlen. Dieser Artikel sorgte für Unruhe bei der Seco und natürlich auch für Unsicherheit auf Seiten der Anwender. Auf Nachfrage beim Staatssekretariat für Wirtschaft Seco sei dieses Szenario ausgeschlossen. „Selbst wenn sich ein Hacker mit einem Trojaner Kenntnis vom PIN und von der SuisseID Nummer beschaffen könnte, nützt ihm das nichts. Für einen Missbrauch der Identität für ein Login oder eine elektronische Unterschrift müsste er in jedem einzelnen Fall physisch auf die SuisseID Karte oder den SuisseID USB-Stick zugreifen können“, erklärt das Seco. Der SuisseID-Projektverantwortliche und Seco-Leiter eGovernment für KMU Christian Weber erklärte gegenüber der Netzwoche, dass das beschriebene Szenario in der Weltwoche nicht stimme. „Es ist nicht möglich sich der SuisseID-Identität zu bedienen, da sind sich alle Sicherheitsexperten, mit denen wir den Sachverhalt mehrmals geprüft haben, einig.“ Seco hat dazu mit mehreren internen und externen Experten zusammengearbeitet, darunter auch mit Marc Zweiacker, Geschäftsführer des auf Systemanalyse und Leitung komplexer IT Projekte spezialisierten Unternehmens Zweiacker IT Management und Rudolf Brügger von der Enlight-it GmbH, welche unter anderem Informatik-Projekte betreut und IT-Betriebsfragen klärt. Weber führte weiter aus, dass nur eine „minimale Möglichkeit“ bestehe sich eine SuisseID-Idendität anzueignen: Wenn der PC des Nutzers bereits mit Malware infiziert ist und die SuisseID Karte oder USB-Stick am Rechner steckt, erst dann besteht ein Risiko. Sobald die Hardware jedoch wieder vom Rechner entfernt wird ist ein Angriff nicht mehr möglich. Auch Hannes Lubich, Professor für IT System Management an der Fachhochschule Nordwestschweiz sieht beim Anwender die Schwachstelle. „Generell stellt SuisseID nicht den Anspruch auf, die gesamte Sicherheitskette zu implementieren - SuisseID sorgt für die eindeutige und nachvollziehbare Identifikation der Kommunikationspartner und sichert auf dieser Basis die Kommunikation zwischen den beteiligten Rechnern über potentiell unsichere Netzwerke. Was SuisseID jedoch nicht kann, und meines Wissens auch nicht behauptet, ist die Sicherung der beteiligten Endsysteme selbst. Ist also ein beteiligtes Endsystem bereits kompromittiert, sei es durch einen Keystroke Logger, einen Virus, einen Wurm, einen Root Kit oder sonstige Malware, dann kann SuisseID daran auch nichts mehr ändern“, erklärt Lubich gegenüber der Netzwoche.