freundlich
DE | FR
Schweiz
Digital

Chaos Computer Club zeigt mögliches IT-Problem beim Bund

Chaos Computer Club zeigt mögliches IT-Problem beim Bund – dieser reagiert demütig

Externe Spezialistinnen und Mitarbeiter sollen einfacher auf IT-Systeme des Bundes zugreifen können. Das gewählte Verfahren gilt aber als unsicher.
13.08.2022, 12:0013.08.2022, 12:31
Mehr «Schweiz»

Die IT-Verantwortlichen beim Bund dürften sich am Mittwoch ein wenig geärgert haben: Sie kündigten am Morgen in einer Medienmitteilung ein neues Projekt an, mit dem gewisse IT-Prozesse des Bundes schweiz- und weltweit vereinfacht werden sollten. Die Idee klang eigentlich gut, als die Medienmitteilung kurz nach 09:30 Uhr verschickt wurde.

Doch das änderte sich nicht mal sieben Stunden später.

Was ist passiert? Um das zu verstehen, muss man zunächst erklären, wie man überhaupt auf ein Computersystem des Bundes zugreifen kann: Wer interne Ablagesysteme und Datenbanken vom Homeoffice aus öffnen will, braucht nicht nur einen Benutzernamen und ein Passwort, sondern auch eine sogenannte Smartcard.

Smartcard als Schlüssel zur Bundesinformatik

Sie gleicht in der Grösse und Form einer Kreditkarte und dient als elektronischer Ausweis für Bundesangestellte. Sie enthält einen kryptografischen Schlüssel, der nach Eingabe einer PIN die Berechtigung zum Datenzugriff bestätigt. Solche Smartcards stellen einen immensen Sicherheitsfaktor dar, weshalb Beamtinnen und Beamten ihn auf keinen Fall verlieren sollten.

Smartcard des Bundes
So sieht die Smartcard des Bundes aus.Bild: admin.ch

Diese physischen Sicherheitskarten stellten in Homeoffice-Zeiten ein logistisches Problem dar: Wer eine solche benötigte, musste in Bern bei einem anderen Standort der Bundesverwaltung oder bei einer Schweizer Botschaft mit dem persönlichen Ausweis vorstellig werden.

Im Normalfall wäre das ein Routinebesuch. Schwieriger wurde es, wenn irgendwo auf der Welt eine solche Smartcard dringend benötigt wurde. Etwa bei folgendem fiktivem Szenario: Ein wichtiges Computerprogramm beim Bund streikt und die einzige Entwicklerin, die das Problem innert Stunden lösen kann, liegt am Strand auf einer Insel. Sie hat ihren Laptop zwar dabei, die Smartcard ist jedoch in einem abgeschlossenen Tresor in Zürich. Die einzige Lösung bislang war: Sie musste zur nächsten Schweizer Auslandsvertretung reisen und sich dort eine Smartcard abholen.

Die Bundeskanzlei kündigte diese Woche an, dieses aufwendige Prozedere vereinfachen zu wollen: Der physische Besuch soll durch eine virtuelle Identifikation per Video ersetzt werden. Statt einer Smartcard wird ein digitales und ebenfalls kryptografisches Zertifikat aufs Handy geladen.

CCC demonstrierte Angriff mit Fake-Ausweis von Elvis Presley

Stunden nach dieser Ankündigung trat jedoch der deutsche Chaos Computer Club mit einem Bericht an die Presse, in dem ein Hacking-Angriff auf eine solche Videoidentifikation in realer Umgebung demonstriert wird.

Aufbringen computergenerierter Hologramme auf das Videobild einfacher vollgefälschter IDDokumente in einer Studie des IVC im Auftrag des BSI (Herpers, Scherfgen, Jato, Millberg, & Hinkenjann,
2022 ...
Die hohe Rechenpower von modernen Computern ermöglicht die künstliche Generierung von Videoaufnahmen vermeintlich echter Ausweisdokumente.Bild: Chaos Computer Club, Herpers, Scherfgen, Jato, Millberg, Hinkenjann

Der auf Computersicherheit spezialisierte Verein stellte bei mehreren Videoidentifikationslösungen fest, dass gefälschte Identitätskarten und falsche Gesichter (sogenannte Deepfakes) als echt befunden wurden. Das Fazit klingt wie eine Warnung: «Das Schadpotential wird praktisch demonstriert, indem unter falscher Identität auf elektronische Patientenakten zugegriffen sowie qualifizierte elektronische Signaturen erzeugt werden.»

Drohen solche Betrugsversuche auch beim Bund? Die Medienstelle der Bundeskanzlei reagierte auf eine erste Anfrage von watson wortwörtlich sprachlos. Sie bat Stunden nach dem Bekanntwerden der Sicherheitsprobleme zunächst um etwas Zeit: Man müsse den Bericht des Chaos Computer Club genau studieren, bevor man Stellung nehmen könne.

Keine vertraulichen Daten über Videoidentifikation

Diese Antworten liegen nun vor. Darin beschwichtigt die Bundeskanzlei: Die Videoidentifikation sei bislang nur angekündigt worden, es handle sich zudem nur um einen Versuch. Ein «produktiver Einsatz» sei noch nicht im Gange. Aufgrund des Sicherheitsberichts (in Behördensprech: «aktuelle Ereignisse») wolle die Bundeskanzlei zusammen mit dem Serviceanbieter die Verlässlichkeit der eingesetzten Video-Identifikationslösung prüfen. Sprich: Man geht nochmals über die Bücher.

In der Stellungnahme betont Mediensprecher Florian Imbach jedoch, dass es beim angekündigten Versuch nur um externe Mitarbeiterinnen und Dienstleister des Bundes gehe. Bürgerinnen und Bürger beträfe das nicht. Zudem dürften Personen, die über Videoidentifikation überprüft wurden, auf «Informationen der Stufe VERTRAULICH» nicht zugreifen.

Betont wird auch, dass es sich beim Versuch nur um einen Versuch handle. Man wolle die Technologie testen, um «digitalisierte und ortsunabhängige Onboardings» zu ermöglichen. Das sei nur möglich, wenn man über die entsprechende Erfahrung und Kompetenz verfüge. Diese würden nun in einem Testbetrieb mit «klar definiertem und beschränktem Rahmen» gesammelt.

Und was, wenn es doch zu einem Betrugsfall kommt? Wenn doch ein vermeintlicher IT-Ingenieur zu einer solchen Smartcard kommt?

Die Bundeskanzlei beschwichtigt auch hier im Gespräch mit watson: Es sei nicht so, dass man einfach so zu einer Smartcard bzw. zum digitalen Pendant auf dem Smartphone käme. Der Kreis der involvierten Behörden und Personen sei während des Testbetriebs klar bestimmt. Diese wüssten genau, wer wann und wofür eine Videoidentifikation zum Bezug der Zugriffscodes machen müsste.

Testbetrieb kostet nicht viel

Auf die Frage, welche Behörde genau für die Erkennung möglicher Betrugsfälle verantwortlich ist, gibt es aber keine konkrete Antwort: Zuständig fürs dahinter steckende Zugangssystem (eIAM) sei der Bereich «Digitale Transformation» bei der Bundeskanzlei, zusammen mit dem Bundesamt für Informatik und Telekommunikation des Eidgenössischen Finanzdepartements unter Bundesrat Ueli Maurer. Diese Behörde führe zusammen mit einer weiteren Behörde der Bundeskanzlei (IKT-Lenkung) den Testbetrieb, eine Evaluation erfolge laufend.

Eine verlässliche, gute Nachricht gibt es immerhin punkto Kosten: Der Bund musste für den Testbetrieb keinen Grosseinkauf tätigen. Die Videoidentifikation tätige die beauftragte Firma AdNovum zusammen mit dem Dienstleister Intrum AG – er ist in der breiten Bevölkerung als Inkassounternehmen bekannt. Dieser verrechnet pro erfolgte Videoidentifikation einmalig 45 Franken. «Dafür war keine individuelle Beschaffung notwendig», sagt die Bundeskanzlei. Zudem würden die Kosten für die Vor-Ort-Identifikation und die Smartcard entfallen.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Sieben eindrückliche Hacker-Attacken
1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen
Das könnte dich auch noch interessieren:
36 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ch.vogel
13.08.2022 12:39registriert Mai 2014
"Ein wichtiges Computerprogramm beim Bund streikt und die einzige Entwicklerin, die das Problem innert Stunden lösen kann, liegt am Strand auf einer Insel."

Das Problem ist eher, dass nur ein einziger Entwickler mit diesem wichtigen Programm genug vertraut ist, um das Problem zu lösen...

Leider kenne ich die Situation nur zu gut. Ich war auch lange der einzige, der Probleme in älteren (aber immer noch wichtigen) Programmen innert nützlicher Frist lösen konnte. Langfristig ist das ein nicht akzeptables Risiko. Aber die Einarbeitung zusätzlicher Entwickler "lohnt" sich eben auch nicht...
1027
Melden
Zum Kommentar
avatar
Urs Kipfert
13.08.2022 12:43registriert Februar 2019
Ich habe es gewusst: ELVIS lebt eben doch noch.
737
Melden
Zum Kommentar
avatar
fant
13.08.2022 13:20registriert Oktober 2015
Gute Antwort von der Behörde. Gerade um herauszufinden,ob etwas tauglich ist,macht man vorher einen Test. Alles richtig gemacht (bis jetzt). Dass die Resultate vom CCC zeitlich 'unpassend' kamen, kann man ja nicht wirklich vorwerfen...
282
Melden
Zum Kommentar
36
Billett-Entwerter werden wohl per Ende 2025 abgeschafft

Transportunternehmen müssen per Ende 2025 keine Billett-Entwerter mehr zur Verfügung stellen. Grund dafür ist laut dem Branchenverband Alliance Swisspass der zunehmende Kauf von Billetts über digitale Kanäle.

Zur Story