Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 22

Thema: Ist OSCI sicher?

  1. #1
    Registriert seit
    24.05.2013
    Beiträge
    42

    Frage Ist OSCI sicher?

    Ist OSCI sicher?

    Nach § 9 ZensVorbG 2021 (http://www.gesetze-im-internet.de/zensvorbg_2021/) wurden Melderegisterdaten sämtlicher in Deutschland gemeldeten Personen Online über eine OSCI-Schnittstelle (s. https://www1.osci.de/sixcms/media.ph...tion_final.pdf) an das Bundesamt gemeldet.

    Für 2019 sind im Rahmen der Vorbereitung des Zensus 2021 noch sehr viel umfangreichere Datenlieferungen geplant, die ebenfalls Online über die OSCI-Schnittstelle erfolgen sollen (s. http://dipbt.bundestag.de/dip21/brd/2018/0206-18.pdf).

    Ich frage mich, ob diese Schnittstelle wirklich zu 100% sicher ist , oder ob nicht darüber die kompletten Bevölkerungsdaten für diverse Hacker oder gar Geheimdienste (aus USA, China, Russland ...) etc. auf dem Silber-Tablet serviert werden.

    Es würde mich interessieren, ob es Sicherheits- oder Penetration-Untersuchungen o.ä. zu OSCI gibt.
    Für entsprechende Hinweise oder Erfahrungsberichte wäre ich dankbar!

  2. #2
    Registriert seit
    06.07.2009
    Beiträge
    930

  3. #3
    Registriert seit
    24.05.2013
    Beiträge
    42

    Standard

    Die leicht zugänglichen Internetinformationen wie z.B. des BSI (https://www.bsi.bund.de/SharedDocs/W...ng_cb-k17-1100) , oder von Fachmagazinen (https://www.golem.de/news/osci-trans...7-128736.html; https://www.heise.de/tp/features/Von...r-3946125.html) lassen an der Sicherheit der bei der Vorbereitung und Durchführung des Zensus 2021 eingesetzten Verfahren Zweifeln. Werbeinformationen der Hersteller („Derzeit gibt es allerdings kein ausnutzbares Bedrohungsszenario für OSCI“ im Wikipedia-Artikel) möchte ich nicht vertrauen …

    Jedenfalls geben mir Ablauf und Umfang der Datenlieferungen aufgrund bereits aufgetretener Sicherheitslücken bei der OSCI-Schnittstelle zu denken: Die erste Datenlieferung wurde von den Einwohnermeldeämtern, von allen deutschen Kommunen mit unterschiedlichster und v.a. unterschiedlich gut/sicher ausgestatteter IT, vom 14.11. bis 5.12.2017 durchgeführt (ca. 135 MB pro 100.000 Einwohner, mehr als 100 GB insgesamt). Die geplante nächste Datenübermittlung zum Stichtag 13. Januar 2019 soll ca. 10x so viele Merkmale enthalten, wird also etwa 1TB umfassen (s. http://dipbt.bundestag.de/dip21/brd/2018/0206-18.pdf).

  4. #4
    Registriert seit
    24.05.2013
    Beiträge
    42

    Standard

    Heute wurde im Bundesrat mit der "Grünen Liste" die Änderung des Zensusvorbereitungsgesetzes durchgewunken. Da es keine Aussprache dazu gab, konnte auch nicht auf den Hinweis "Die Übermittlung der Daten soll im „XÖV-Standard OSCI-XMeld“ durch „OSCI-Transport“ erfolgen" (s. Erläuterungen zum TOP https://www.bundesrat.de/SharedDocs/...cationFile&v=1) eingegangen werden.
    Es ist aber auch wohl keine korrekte Einschätzung des OSCI-Transports durch den Bundesrat möglich, wenn selbst von den Experten keine abgesicherte und belegbare 100%-ige Sicherheit des OSCI-Transports von Massendaten zugesichert werden kann.


    Nachdem der in den Erläuterungen angegebene OSCI-Transport nicht gesetzlich vorgegeben ist, frage ich mich und hiermit das Forum, ob dann nicht eine sichere Alternative - im Extemfall z.B. so wie früher die persönliche Übergabe verschlüsselter Daten auf CD - für die Umsetzung der Änderung des Zensusvorbereitungsgesetzes zu empfehlen wäre?

    Vielen Dank schon mal für alle Hinweise!

  5. #5
    Registriert seit
    24.05.2013
    Beiträge
    42

    Ausrufezeichen OSCI Sicherheitslücken

    Zitat Zitat von Observer Beitrag anzeigen
    Ist OSCI sicher?
    Meine weiteren Recherchen und Nachfragen beim BSI diesbezüglichen ergeben für mich aktuell folgendes Bild:

    Beim BSI gibt es zu OSCI eine Warnung "OSCI-Transport Bibliothek: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen" (s. https://www.bsi.bund.de/SharedDocs/W...ng_cb-k17-1100).

    Auch auf Nachfrage beim BSI kann das BSI zur Sicherheit der Protokolle keine Aussagen machen, welche über die allgemein verfügbaren Informationen wie diese CERT-Warnmeldung hinausgehen, und es kann auch keine Unternehmen oder Produkte empfehlen.

    Bei der Warnmeldung wird u.a. aud eine Seite von SEC Consult verwiesen (https://www.sec-consult.com/blog/201...hwachstellen/) mit ausführlicheren Informationen zur Un-Sicherheit von OSCI und folgender Kernaussage:

    Aus Sicht eines Angreifers bestehen prinzipiell zwei Möglichkeiten für Angriffe auf OSCI-Transport:
    * Angriffe gegen die Kommunikationsteilnehmer: Ein Angreifer versucht vom Standard abweichende Protokollnachrichten an Kommunikationsteilnehmer zu senden, um diese zu kompromittieren.
    * Angriffe auf die Kommunikation: Ein Angreifer hat Zugriff auf die verschlüsselten und signierten OSCI-Nachrichten. Der Angreifer versucht diese zu entschlüsseln bzw. zu manipulieren.
    SEC Consult konnte in der Version 1.6.1 der OSCI Bibliothek für Java Schwachstellen feststellen, welche beide Angriffsszenarien betreffen."

    Und wenn nur ein kleiner Fehler passiert, wie beispielsweise der Einsatz des Betriebsmodus GCM erst nach dem CBC-Modus, dann kann die Sicherheit beeinträchtigt sein (s. "AKTUELL (Juni 2018): Handreichung für den zeitlichen Ablauf der Umstellung von AES-CBC auf AES-GCM" https://www.xoev.de/downloads-2316#Aktuelles).

    Für ein Großprojekt wie "Vorbereitung und Durchführung des Zensus 2021", bei dem die Daten aller (!) in Deutschland gemeldeten Personen mehrfach (!) übermittelt werden darf meiner Meinung keine Technik eingesetzt werden, für die nicht von allen Seiten eine 100%-Sicherheit gewährleistet wird - insbesondere da die Umsetzung der OSCI-Schnittstelle in den höchste unterschiedlichen IT-Umgebungen der Kommunen und Länder mit unterschiedlichen Verfahrensherstellern etc. nicht einheitlich und damit auch nicht nach einem Sicherheitsstandard erfolgen kann.
    <- oder sieht die hier irgendjemand anders?

    Insofern bleiben meiner Ansicht nach tatsächlich nur noch die herkömmlichen sicheren Transportwege, wie unter #4 beispielhaft skizziert.

    Um die Einhaltung des Datenschutzes bei der Änderung des Zensusvorbereitungsgesetz 2021 zu erreichen, wurde übrigens beim Bundestag am 20.06.2018 die Online-Petition 81286 "Beachtung des Datenschutzes bei der Vorbereitung des Zensus 2021" eingereicht, die noch bis zum 1.8. mitgezeichnet werden kann.
    <- s. https://epetitionen.bundestag.de/pet..._81286.nc.html

    Ich hoffe, dass es keine Schlagzeile "Datenskandal beim Zensus 2021" geben wird!

  6. #6
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    Zitat Zitat von Observer Beitrag anzeigen
    ... oder sieht die hier irgendjemand anders?
    Nein. Erinnert mich an das ganz besonders sichere Anwaltspostfach beA. Allerdings gibt es keine 100%ige Sicherheit, schon gar nicht in der IT. Das Forum kann auch nicht die Aufmerksamkeit bieten, die das Thema erfordert. Und der gemeine Datenschutzbeauftragte befindet sich in der komfortablen Position sagen zu können: Bitte reparieren. Sprechen Sie die Chaoten an: https://www.ccc.de/, vielleicht auch direkt die BfDI: https://www.bfdi.bund.de/DE/Service/...takt_node.html. Und berichten Sie bitte weiter.

    Die drei CVEs: https://www.cvedetails.com/vulnerabi...t-Library.html

  7. #7
    Registriert seit
    24.05.2013
    Beiträge
    42

    Cool Beitrag aus der CCC-Debattenlste

    Zitat Zitat von anzolino Beitrag anzeigen
    Sprechen Sie die Chaoten an: https://www.ccc.de/ ... Und berichten Sie bitte weiter.
    Ich habe über die Debattenliste die Chaoten angeprochen und von Tom die bisher einzige brauchbare Nachricht erhalten, die ich hier (in gekürzter Form) wiedergeben darf:

    Leider haben die staatlichen Stellen und z.T. auch Medien kein Interesse an der Arbeit einer kritischen Evaluation und verweisen nur auf andere oder das Notwendige, so dass man die Schwachstellen und Veränderungsnotwendigkeiten selbst aufzeigen muss.

    Diese bestehen insbesondere darin:

    1) Merkmal "Geschlecht": Das Verfassungsgericht hat entschieden, dass drei Geschlechter gelten - oder - die Angabe ganz weggelassen werden soll. Dieses gilt ebenso für die Nennung dieses Merkmals für weitere Personen in den Punkten 3+4. Gleiches gilt für die Benennung des Geschlechtes bei Ehepartnern.
    Es ist die Frage, ob wir nun alle Transsexuellen homosexuelle Ehen durchzählen wollen oder ob dem Recht auf Anerkennung dieses dritten Geschlechtes der Wegfall der Benennung des Geschlechtes im Zensus und dem Vorbereitungsgesetz der Anerkennung in diesem Fall nicht wesentlich mehr nahe kommt.
    Die konkrete Vorgehensweise beim Zensus muss noch gesetzlich geregelt werden.

    2) Es ist notwendig, dass die Datenerhebung nach der DSGVO beurteilt wird, ein Gutachten dazu liegt bislang nicht vor - auch zu den Fragen nicht, wenn ein Bürger nach DSGVO den einzelnen Merkmalen widersprechen würde. Hier ist jedes Merkmal durchzudeklinieren.

    3) Die Verschlüsselung von OSCI-XMeld ist unsicher. Es wird hier ein hybrides Verfahren eingesetzt, das sowohl asymmetrische wie auch symmetrische Verfahren einsetzt. Es wird von PKI gesprochen, ohne den Algorithmus näher zu spezifizieren, nehmen wir den etablierten RSA Algorithmus also erstmal an. Weiterhin wird von Umstellung von AES-CBC auf AES-GCM spezifiziert. Sowohl RSA derzeit (egal mit welcher Schlüsselgröße) als auch AES in naher Zukunft wurden von der NIST 2016 offiziell als nicht mehr sicher bezeichnet. Sicher hingegen sind Algorithmen wie McEliece etc..Sollte man noch 2021 RSA oder AES einsetzen, wenn diese seit 2016 offiziell als gebrochen gelten?
    OSCI-XMeld sollte McEliece PKI implementieren, die Kosten dazu sind nicht berechnet. Die elektronische Datenübertragung nach DGSVO für den kommenden Zensus und seine Testläufe sind daher nicht compliant und dürfen nur händisch übertragen werden.

    4) Es ist erforderlich, dass eine deutsche Institution für den Datenschutz und eine europäische Institution für den Datenschutz die Sicherheit der elektronischen Datenübertragung prüft. Dieses kann eine bestehende von staatlichen Geldern unabhängige Institution sein oder auch eine Institution im Ausland, die die europäischen Kontexte prüft.

    5) Es ist ebenso erforderlich, dass eine deutsche Institution für den Datenschutz und eine europäische Institution für den Datenschutz die Datensparsamkeit der erhobenen Merkmale prüft. Dieses kann eine bestehende von staatlichen Geldern unabhängige Institution sein oder auch eine Institution im Ausland, die die europäischen Kontexte prüft.

    6) Nach DSGVO muss sichergestellt sein, dass die physische Raumumgebung mit dem Befragenden dem Befragten die Möglichkeit bietet, die Daten auf eigenem papierenem Wege, also ohne Verfügbarkeit des Befragenden an die bestehende Erhebungsstelle zu übermitteln.

    An diesen Punkten könnten sich das BSI, BfDI, BMI, KoSit und Landesämter für eine einheitliche Meinung abarbeiten und Stellung nehmen können.

    Meine Frage: Würde eine Person in einer dieser Fragestellungen klagen, würde dann die Volkszählung aufgehoben werden müssen, bis ein rechtskräftiges Urteil erfolgt ist?
    Wie ist die Rechtslage?

    Von: debate@lists.ccc.de
    Betreff: Re: Datenschutz beim Zensus 2021?!
    Gekürzte Nachricht von Tom vom 30.07.2018

  8. #8
    Registriert seit
    19.06.2009
    Beiträge
    5.124

    Standard

    Meine Frage: Würde eine Person in einer dieser Fragestellungen klagen, würde dann die Volkszählung aufgehoben werden müssen, bis ein rechtskräftiges Urteil erfolgt ist?
    Wie ist die Rechtslage?
    Wer fragt das wen?
    Ulrich Dammann
    Moderator - Administrator

  9. #9
    Registriert seit
    24.05.2013
    Beiträge
    42

    Standard Rechtslage?

    Zitat Zitat von Ulrich Dammann Beitrag anzeigen
    Wer fragt das wen?
    Tom von der CCC-Debattenlste, dessen Beitrag ich hier eingestellt und deshalb "gequotet" habe, hat das gefragt - und er würde sich (wie ich mich auch) sicherlich darüber freuen, wenn überhaupt jemand darauf antwortet ...

    Im Prinzip könnte die Frage wohl so verstanden werden, ob es wie 1983 zu einem Urteil kommen kann, als die Volkszählung verschoben wurde.

    Ich vermute, dass dies eher die ausufernde Merkmalsliste bewirken könnte (s. "Datenschutz bei der Vorbereitung des Zensus 2021!?" https://www.bfdi.bund.de/bfdi_forum/...ead.php?t=8414). Aber noch ist ja Zeit für Nachbesserungen - hoffentlich nutzen die Verantwortlichen beim BMI dies!

  10. #10
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    Daß ein zweites Volkszählungsurteil gesprochen wird, halte ich für unwahrscheinlich. Klagen müßte man gegen Zensusvorbereitungsgesetz 2021 und die EU-Verordnung 763/2008. Wenn ich mich richtig erinnere, wurden aber beim Zensus 2011 bis auf die Beschwerde der Städte alle Beschwerden vom Bundesverfassungsgericht zurückgewiesen.

    Während eines Verfahrens würde die Volkszählung nicht ausgesetzt. Nach einem rechtskräftigen Urteil könnte es passieren, daß dem Ansinnen des Gerichts Folge geleistet wird. Inzwischen ist man sich nicht mehr so richtig einig darüber, ob ein Urteil auch einen Handlungsbedarf auslöst. Das Bundesverfassungsgericht kann eine einstweilige Anordnung erlassen und einzelne Paragraphen oder das Gesetz außer Vollzug setzen (z.B. Beschluss vom 14. Mai 2018 - 2 BvF 1/15).

    Einschlägig ist hier Art.89 DSGVO, inkl. Öffnungsklausel. BfDI ist lt. 26.Tätigkeitsbericht "leider nur zum Teil erfolgreich" an dem Thema dran.

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Wie sicher ist ein privater WLAN?
    Von Mok-Kong Shen im Forum Spezielle Techniken, Bilder, Videos, optische und akustische Daten
    Antworten: 4
    Letzter Beitrag: 05.09.2012, 10:01
  2. Wie sicher ist Google Translate wirklich?
    Von Karolina im Forum Internet
    Antworten: 5
    Letzter Beitrag: 19.08.2012, 17:15
  3. Wie sicher ist Safe Harbor?
    Von Roche-Dirac im Forum Europa, Internationales
    Antworten: 0
    Letzter Beitrag: 28.07.2010, 15:20
  4. Kundendaten sicher aufbewahren
    Von PatrickM im Forum Datensicherheit, TOM, IT für den Datenschutz
    Antworten: 1
    Letzter Beitrag: 14.04.2010, 11:53
  5. Wondows 7 zu sicher ?
    Von Ulrich Dammann im Forum Datensicherheit, TOM, IT für den Datenschutz
    Antworten: 2
    Letzter Beitrag: 01.11.2009, 10:06

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •