π

Die österreichische Bürgerkarte per eCard für eBanking-Sicherheit

Show Sidebar

Update 2017-08-07: "Verlieren der eCard" und Browserwarnung

Ich habe im Mai über das Thema eBanking gebloggt. Kurz: die Banken nehmen mir meine Papier-TANs weg und zwingen mich zu Methoden, die mein Smartphone als Schlüsselelement verwenden.

Das kann ich aus guten Gründen keinesfalls vertreten.

Banken geben den schwarzen Peter an die EU-Instanzen ab: die böse EU verbietet uns, Papier-TANs zu verwenden, weil die so unsicher sind.

Wer weiß, ob ihre Lobbyisten nicht dahinter Druck gemacht haben, damit sie die Kosten für Material und Aufwand der Papier-TANs loswerden. Jedenfalls misse ich eine Verteidigung der Papier-TANs von Seiten der Banken. Schließlich sind sie deutlich sicherer als mTANs, wenn man darauf aufpasst. Anstatt die Kunden aufs Aufpassen zu trainieren, wird lieber auf unsichere Smartphones mit mTANs geschwenkt und der EU die Schuld zugesprochen.

Warum nochmal retten die Steuerzahler dauernd Banken auf ihre Kosten?

Die einzig verbliebene sinnvolle Methode für mich als Kunde der easybank ist die der Bürgerkarte. Hierzu schrieb ich unter anderem:

Meine ersten Versuche vor etlichen Jahren waren eine Katastrophe. Mein Betriebssystem (Linux) wurde nur extrem schlecht unterstützt. Insofern war es mir damals mit bestem Bestreben nicht möglich, das Teil zum Laufen zu bringen.
Inzwischen wird wohl die technische Situation unter Linux besser geworden sein. Jedoch habe ich keine Lust, für e-banking dauernd ein Lesegerät mitzuschleppen, wenn ich beispielsweise mit dem Notebook unterwegs bin.
Die Möglichkeit, die Bürgerkarte in ein Lesegerät zu stecken aber den Freischaltcode am Computer zu tätigen finde ich sehr bedenklich. Warum tut man sich den Aufwand mit starker Kryptografie an, damit man danach den sehr sensiblen Freischalt-PIN über das potentiell verseuchte (oder manipulierte) Betriebssystem zum Kartenleser überträgt? Aber das hat schon nicht mehr unmittelbar mit dem TAN-Thema zu tun. Ein Klasse-3-Lesegerät hat immerhin Display und Mini-Tastatur eingebaut.
Kurz: Ebenfalls keine optionale Lösung für mich.

Die die easybank das SecTAN-Verfahren auf meinem gerooteten Handy nicht zulässt, bliebt mir leider nichts anderes übrig, als einen Versuch mit der Bürgerkarte zu starten.

Hier ein Kurzbericht meiner schmerzvollen Reise.

Lesegerät

Auf willhaben besorgte ich mir ein gebrauchtes Klasse-3-Lesegerät, das sowohl die PIN-Tastatur als auch ein Display aufweist. Das kostete mich knapp vierzig Euro.

Ich vertraue darauf, dass das originale, unzerstörte Siegel mir versichert, dass die Hardware nicht manipuliert wurde. Das ist hier natürlich notwendig. Aus dem selben Grund ebenfalls notwendig ist, dass ich das Lesegerät als sensibles Ding betrachte und nicht in der Öffentlichkeit herumliegen lasse. Es wäre ein Leichtes für einen Angreifer, mir einen manipulierten ReinerSCT unterzujubeln, der die PIN-Eingaben mitloggt.

Treiberinstallation ReinerSCT für Debian GNU/Linux

Es war der totale Flashback in die 90er-Jahre, wo ich selbst Linux-Kernel kompilieren und mir diverse Abhängigkeiten manuell aus dem Internet auflösen musste.

Schlimmer kann wohl das zum Funktionierenbringen nicht sein.

Ich spare mir das Schildern dutzender Irrwege und die etlichen Stunden, die unnötig verschwendet wurden. Linux und Smartcardreader ist nichts, was man einem Nichtprofi zumuten kann. Note fünf, setzen.

Die beste Anleitung habe ich bei Rene Mayrhofer gefunden. Leider nicht als erstes. Deshalb liste ich hier alles, was ich gemacht habe. Wobei hier sicher unnötige Dinge dabei waren:

  1. Installieren etlicher Debian-Pakete (und deren Abhängigkeiten)

    sudo apt-get install libpcsclite-dev pcscd libccid openjdk-7-jre icedtea-netx
    sudo apt-get install libpcsclite-dev pcscd libccid pcsc-tools opensc
    
  2. Download libctapi-cyberjack2 und ifd-cyberjack2 von Reiner SCT

    sudo dpkg -i ifd-cyberjack2_3.0.5-1unstable_i386.deb
    sudo dpkg -i libctapi-cyberjack2_3.0.5-1unstable_i386.deb
    
  3. Meinen User zur Gruppe cyberjack hinzufügen: usermod -a -G cyberjack $USER

    • pcsc_scan funktionierte nun erstmals bei mir
  4. Download von libifd-cyberjack63.99.5final.sp10amd64d08.deb

    • Output von /usr/bin/cyberjack schaut schon mal gut aus
  5. MOCCA von hier installieren

    • Ging bei mir nicht mit jedem Browser, Java Web Start und alle entsprechenden Voraussetzungen ist hier notwendig
    • Check mit Zugriff auf http://localhost:3495/help/
Screenshot mit Browsermeldung über unsichere Verbindungen
Bedenkliche Sicherheitswarnungen, die man als Benutzer einfach schlucken muss. So trainiert man Benutzer darauf, Warnungen zu ignorieren.

Endlich habe ich das MOCCA-Icon in meiner Taskleiste gesehen und konnte dort beispielsweise schon mal die Infos zu meinem Kartenleser anzeigen lassen.

Das war ein langer, harter Kampf.

Absolut ungeeignet für den Durchschnittsbürger. Da erklärt man jemanden schneller die Feinheiten von OpenPGP. Eine pure Frechheit.

Aktivierung der Bürgerkarte

Eigentlich müsste man die Bürgerkarte beispielsweise selbst per FinanzOnline aktivieren können. Doch ich bekam mitten im Prozess der Aktivierung immer nur: HTTPS binding: Error while establishing the TLS connection.

Das klang nach technischen Problemen.

Nach vielen, vielen Versuchen stellte ich aus Verzweiflung sogar mein Problem in ein Webforum, wo mir erklärt wurde, dass das Aktivieren der Bürgerkarte per lokalem MOCCA einfach nicht funktioniert.

Na schön, das könnte man auch gleich dokumentieren, anstatt die Benutzer mit dämlichen Fehlermeldungen im Kreis zu schicken.

Also bemühte ich eine der Registrierungsstellen. Doch das war auch nicht so einfach wie gedacht. Offenbar war meine eCard zu alt. Das hat mich überrascht, da es bereits meine siebente(!) eCard war und bereits den Braille-Aufdruck besaß. Auch diese Information sollte beim Installationsprozess dem Benutzer frühzeitig mitgeteilt werden.

Also habe ich meine achte eCard beantragen müssen, bis ich danach bei der Registrierungsstelle endlich die Aktivierung machen durfte.

Wenn unsere Regierung sinnlose Millionen für neue eCards mit Foto hinausschmeisst, werde ich die Aktivierung der neuen Karte hoffentlich ohne Registrierungsstelle schaffen.

Bürgerkarte bei easybank registrieren

Die easybank muss mein Konto mit meiner eCard in Verbindung bringen können, damit ich mich damit legitimieren kann.

Das passiert per Link auf der Einstiegsseite in fünf Schritten:

  1. Auswahl der Funktion »AKTIVIEREN« auf dieser Seite
  2. Identifikation mit Verfügernummer und PIN
  3. Überprüfung ob die Bürgerkarten-Software gestartet ist
  4. Eingabe der 6-stelligen Signatur-PIN am Kartenleser
  5. Zeichnung mit TAN

Bedienung von easybank mittels Bürgerkarte

Mein ReinerSCR Lesegerät und meine eCard

Nach der Zuordnung der Bürgerkarte zu meinem easybank-Account geht alles wie gewünscht. Einloggen und das Bestätigen von Überweisungen per Bürgerkarte und dem sechssteligen PIN. Davor muss man jeweils noch unnötige Bestätigungen abnicken.

Aber immerhin habe ich mir somit die mTANs erspart.

Leider haben die Macher des Systems hier wieder einen groben Schnitzer gemacht: Man sieht nichts Substantielles am LCD des Card-Readers beim PIN-Eingeben. Keine Kontonummer, keine Überweisungssumme, kein Empfänger, nix. Obwohl mein Kartenleser den Secoder-Standard unterstützt, der dies ermöglicht. Deshalb sind hier Klasse 3 Lesegeräte nicht sicherer als die der Klasse 2 ohne LCD. Hier wird ein großes Level an Sicherheit einfach weggeworfen.

Von einem Klasse 1 Lesegerät (ohne Tastatur) muss ich definitiv abraten, da hier das potentiell unsichere Betriebssystem und alle Programme die sensiblen PIN-Eingaben unverschlüsselt mitbekommen und gegebenenfalls auch im großen Stil manipulieren können.

Keine Ahnung, ob MOCCA wirklich lokal oder übers Netzwerk arbeitet. Da muss man wieder mal blind vertrauen oder umständlich vom Netzwerk abgeschottete VMs bemühen. Ein simples firejail funktioniert hier nicht zum Einsperren. Ich werde es weiterhin versuchen, mit eigenen firejail-Profilen MOCCA wirklich im LAN einzusperren.

MOCCA musste ich nach jedem Reboot neu vom Web installieren - das kann doch nicht sein. Die Autostart-Option im MOCCA-Menu ist deaktiviert. Erst nach Graben im System fand ich den magischen Befehl zum Start des Java-Teils, sodass ich das nun selbst als desktop-Datei in meine Menüstruktur aufnehmen konnte.

Verlieren der eCard

Ich fragte bei der easybank an, wie ich an mein Konto komme, sofern ich meine eCard verlieren würde. Darf ich dann meine übrigen TANs als Fall-Back verwenden?

Die Antwort der easybank ist, dass ich mir in diesem Fall eine neue eCard besorgen muss und diese wieder als neue Bürgerkarte einrichten muss.

Ich bin in so einem Fall also für einige Zeit aus meinem Online-Konto ausgesperrt.

Fazit

Wohin man bei der Bürgerkarte auch schaut, mich kann es nicht überzeugen. Die Installation war der Horror, Fehlermeldungen sind nicht aussagekräftig (falls man überhaupt welche bekommt), Hilfe bekommt man offenbar nur in (mehreren) seltsamen Webforen, die Usability ist sowieso mies, die Sicherheit wurde nicht an erste Stelle gesetzt (Klasse 3-Leser sinnlos).

Das fehlende Sicherheitsbewusstsein äußert sich auch in der Tatsache, dass man einen Haufen Dinge aus dem Internet runterladen und installieren muss, wo man keine digitalen Signaturen zum Nachvollziehen der Unversehrtheit mitbekommt. Alles, was von zentraler Stelle kommt, ist per Definition in Ordnung. Da finde ich den dezentralen Zugang bei OpenPGP mit dem (zugegebenermaßen in der Praxis auch nicht funktionierendem) Web of Trust deutlich besser.

Es tut derzeit bei mir. Das kann man sagen. Aber Vertrauen habe ich keines in das System. Aber meine Bank hat es und es lässt mein Smartphone aus dem Spiel.

Weitere Dinge

Ich fand noch eine interessante Diplomarbeit, die sich mit der Sicherheit der Bürgerkarte auseinandersetzte. Für Techniker sehr aufschlussreich, da man hier viel rund um das Thema rauslesen kann. Schon alleine die Tatsache, dass das eine relativ überschaubare Diplomarbeit ist, stimmt mich skeptisch, dass die geschilderten Sicherheitsprobleme allumfänglich und stimmig sind. Leider fand ich keine Reaktion von den Entwicklern der Bürgerkarte zu dieser Diplomarbeit. Zum genauen Nachvollziehen der geschilderten Sicherheitsprobleme müsste ich mir mehr Zeit nehmen, was es mir nicht Wert ist.

Es werden noch weitere Blogartikel folgen, wo ich andere Aspekte der Bürgerkarte aufgreife wie beispielsweise das Signieren und Verifizieren von PDF-Dokumenten.

Auf das Einbinden der Bürgerkarte in mein Emailsystem werde ich wohl gerne verzichten. Erstens bin ich in meiner Kommunikationsblase mit OpenPGP sehr gut bedient. Zweitens tu' ich mir nicht noch mehr Gefrickel an für die wenigen Gegenstellen, die mit einer S/MIME-Unterschrift umgehen könnten, deren System ich ohnehin wenig Vertrauen entgegenbringen kann.

Comment via email (persistent) or via Disqus (ephemeral) comments below: