DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Chaos Computer Club zeigt mögliches IT-Problem beim Bund – dieser reagiert demütig

Externe Spezialistinnen und Mitarbeiter sollen einfacher auf IT-Systeme des Bundes zugreifen können. Das gewählte Verfahren gilt aber als unsicher.
13.08.2022, 12:0013.08.2022, 12:31

Die IT-Verantwortlichen beim Bund dürften sich am Mittwoch ein wenig geärgert haben: Sie kündigten am Morgen in einer Medienmitteilung ein neues Projekt an, mit dem gewisse IT-Prozesse des Bundes schweiz- und weltweit vereinfacht werden sollten. Die Idee klang eigentlich gut, als die Medienmitteilung kurz nach 09:30 Uhr verschickt wurde.

Doch das änderte sich nicht mal sieben Stunden später.

Was ist passiert? Um das zu verstehen, muss man zunächst erklären, wie man überhaupt auf ein Computersystem des Bundes zugreifen kann: Wer interne Ablagesysteme und Datenbanken vom Homeoffice aus öffnen will, braucht nicht nur einen Benutzernamen und ein Passwort, sondern auch eine sogenannte Smartcard.

Smartcard als Schlüssel zur Bundesinformatik

Sie gleicht in der Grösse und Form einer Kreditkarte und dient als elektronischer Ausweis für Bundesangestellte. Sie enthält einen kryptografischen Schlüssel, der nach Eingabe einer PIN die Berechtigung zum Datenzugriff bestätigt. Solche Smartcards stellen einen immensen Sicherheitsfaktor dar, weshalb Beamtinnen und Beamten ihn auf keinen Fall verlieren sollten.

So sieht die Smartcard des Bundes aus.
So sieht die Smartcard des Bundes aus.Bild: admin.ch

Diese physischen Sicherheitskarten stellten in Homeoffice-Zeiten ein logistisches Problem dar: Wer eine solche benötigte, musste in Bern bei einem anderen Standort der Bundesverwaltung oder bei einer Schweizer Botschaft mit dem persönlichen Ausweis vorstellig werden.

Im Normalfall wäre das ein Routinebesuch. Schwieriger wurde es, wenn irgendwo auf der Welt eine solche Smartcard dringend benötigt wurde. Etwa bei folgendem fiktivem Szenario: Ein wichtiges Computerprogramm beim Bund streikt und die einzige Entwicklerin, die das Problem innert Stunden lösen kann, liegt am Strand auf einer Insel. Sie hat ihren Laptop zwar dabei, die Smartcard ist jedoch in einem abgeschlossenen Tresor in Zürich. Die einzige Lösung bislang war: Sie musste zur nächsten Schweizer Auslandsvertretung reisen und sich dort eine Smartcard abholen.

Die Bundeskanzlei kündigte diese Woche an, dieses aufwendige Prozedere vereinfachen zu wollen: Der physische Besuch soll durch eine virtuelle Identifikation per Video ersetzt werden. Statt einer Smartcard wird ein digitales und ebenfalls kryptografisches Zertifikat aufs Handy geladen.

CCC demonstrierte Angriff mit Fake-Ausweis von Elvis Presley

Stunden nach dieser Ankündigung trat jedoch der deutsche Chaos Computer Club mit einem Bericht an die Presse, in dem ein Hacking-Angriff auf eine solche Videoidentifikation in realer Umgebung demonstriert wird.

Die hohe Rechenpower von modernen Computern ermöglicht die künstliche Generierung von Videoaufnahmen vermeintlich echter Ausweisdokumente.
Die hohe Rechenpower von modernen Computern ermöglicht die künstliche Generierung von Videoaufnahmen vermeintlich echter Ausweisdokumente.Bild: Chaos Computer Club, Herpers, Scherfgen, Jato, Millberg, Hinkenjann

Der auf Computersicherheit spezialisierte Verein stellte bei mehreren Videoidentifikationslösungen fest, dass gefälschte Identitätskarten und falsche Gesichter (sogenannte Deepfakes) als echt befunden wurden. Das Fazit klingt wie eine Warnung: «Das Schadpotential wird praktisch demonstriert, indem unter falscher Identität auf elektronische Patientenakten zugegriffen sowie qualifizierte elektronische Signaturen erzeugt werden.»

Drohen solche Betrugsversuche auch beim Bund? Die Medienstelle der Bundeskanzlei reagierte auf eine erste Anfrage von watson wortwörtlich sprachlos. Sie bat Stunden nach dem Bekanntwerden der Sicherheitsprobleme zunächst um etwas Zeit: Man müsse den Bericht des Chaos Computer Club genau studieren, bevor man Stellung nehmen könne.

Keine vertraulichen Daten über Videoidentifikation

Diese Antworten liegen nun vor. Darin beschwichtigt die Bundeskanzlei: Die Videoidentifikation sei bislang nur angekündigt worden, es handle sich zudem nur um einen Versuch. Ein «produktiver Einsatz» sei noch nicht im Gange. Aufgrund des Sicherheitsberichts (in Behördensprech: «aktuelle Ereignisse») wolle die Bundeskanzlei zusammen mit dem Serviceanbieter die Verlässlichkeit der eingesetzten Video-Identifikationslösung prüfen. Sprich: Man geht nochmals über die Bücher.

In der Stellungnahme betont Mediensprecher Florian Imbach jedoch, dass es beim angekündigten Versuch nur um externe Mitarbeiterinnen und Dienstleister des Bundes gehe. Bürgerinnen und Bürger beträfe das nicht. Zudem dürften Personen, die über Videoidentifikation überprüft wurden, auf «Informationen der Stufe VERTRAULICH» nicht zugreifen.

Betont wird auch, dass es sich beim Versuch nur um einen Versuch handle. Man wolle die Technologie testen, um «digitalisierte und ortsunabhängige Onboardings» zu ermöglichen. Das sei nur möglich, wenn man über die entsprechende Erfahrung und Kompetenz verfüge. Diese würden nun in einem Testbetrieb mit «klar definiertem und beschränktem Rahmen» gesammelt.

Und was, wenn es doch zu einem Betrugsfall kommt? Wenn doch ein vermeintlicher IT-Ingenieur zu einer solchen Smartcard kommt?

Die Bundeskanzlei beschwichtigt auch hier im Gespräch mit watson: Es sei nicht so, dass man einfach so zu einer Smartcard bzw. zum digitalen Pendant auf dem Smartphone käme. Der Kreis der involvierten Behörden und Personen sei während des Testbetriebs klar bestimmt. Diese wüssten genau, wer wann und wofür eine Videoidentifikation zum Bezug der Zugriffscodes machen müsste.

Testbetrieb kostet nicht viel

Auf die Frage, welche Behörde genau für die Erkennung möglicher Betrugsfälle verantwortlich ist, gibt es aber keine konkrete Antwort: Zuständig fürs dahinter steckende Zugangssystem (eIAM) sei der Bereich «Digitale Transformation» bei der Bundeskanzlei, zusammen mit dem Bundesamt für Informatik und Telekommunikation des Eidgenössischen Finanzdepartements unter Bundesrat Ueli Maurer. Diese Behörde führe zusammen mit einer weiteren Behörde der Bundeskanzlei (IKT-Lenkung) den Testbetrieb, eine Evaluation erfolge laufend.

Eine verlässliche, gute Nachricht gibt es immerhin punkto Kosten: Der Bund musste für den Testbetrieb keinen Grosseinkauf tätigen. Die Videoidentifikation tätige die beauftragte Firma AdNovum zusammen mit dem Dienstleister Intrum AG – er ist in der breiten Bevölkerung als Inkassounternehmen bekannt. Dieser verrechnet pro erfolgte Videoidentifikation einmalig 45 Franken. «Dafür war keine individuelle Beschaffung notwendig», sagt die Bundeskanzlei. Zudem würden die Kosten für die Vor-Ort-Identifikation und die Smartcard entfallen.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Sieben eindrückliche Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

42 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ch.vogel
13.08.2022 12:39registriert Mai 2014
"Ein wichtiges Computerprogramm beim Bund streikt und die einzige Entwicklerin, die das Problem innert Stunden lösen kann, liegt am Strand auf einer Insel."

Das Problem ist eher, dass nur ein einziger Entwickler mit diesem wichtigen Programm genug vertraut ist, um das Problem zu lösen...

Leider kenne ich die Situation nur zu gut. Ich war auch lange der einzige, der Probleme in älteren (aber immer noch wichtigen) Programmen innert nützlicher Frist lösen konnte. Langfristig ist das ein nicht akzeptables Risiko. Aber die Einarbeitung zusätzlicher Entwickler "lohnt" sich eben auch nicht...
1027
Melden
Zum Kommentar
avatar
Urs Kipfert
13.08.2022 12:43registriert Februar 2019
Ich habe es gewusst: ELVIS lebt eben doch noch.
737
Melden
Zum Kommentar
avatar
Hans Würstli
13.08.2022 12:25registriert April 2020
dass wegen dem geschilderten ausnahmefall nun das ganze system geschwächt wird, verstehe ich nicht. man könnte das weniger sichere prozedere nur für die ‚notfälle‘ nutzen. zudem kann es nicht sein, dass nur eine person eine wichtige software innert nützlicher frist reparieren kann - es könnte ja sein, dass dieser einzigen person in den ferien eine kokosnuss auf den kopf fällt - was dann?
498
Melden
Zum Kommentar
42
Suizidrate sank 2020 zum ersten Mal seit Jahrzehnten – nur nicht bei jungen Frauen

Erstmals seit 1964 haben sich in der Schweiz 2020 weniger als 1000 Menschen das Leben genommen – trotz der Belastungen durch die Covid-19-Pandemie. Das BFS zählte insgesamt 972 Suizide. Einen leichten Anstieg gab es bei Frauen unter 25 Jahren.

Zur Story