Studi.gv.at – geschenkt ist noch zu teuer:

Mit weitreichenden Versprechungen und gratis Kartenlesegeräten versucht das Ministerium für Wissenschaft und Forschung Bürgerkarten unter den Studierenden zu verbreiten. Diese großflächige Werbeinitiative läuft unter dem klingenden Namen “studi.gv.at”.

Die Idee, neue Technologie zu entwickeln, diese innovativ umzusetzen, damit Amtswege zu erleichtern und dann noch den Studierenden etwas zu schenken, ist an und für sich ja nicht schlecht. Auch die Informationen zur Kampagne auf der gleichnamigen Website studi.gv.at lesen sich sehr viel versprechend: Alles wird als wenig aufwändig, wesentlich einfacher und obendrein noch absolut sicher dargestellt. Blickt man allerdings nur ein wenig hinter die Fassaden, sieht nicht mehr alles so rosig aus.

VertreterInnen der Kampagne sind an vielen Standorten (z.B. auch in Universitätsräumlichkeiten) zu finden. Auf Firmenlaptops werden Sozialversicherungskarten von Studierenden mittels Kartenlesegeräten und der dazugehörigen Software zu Bürgerkarten aufgewertet. Bei diesem Vorgang treten einige teilweise grob fahrlässige Fehler auf:

- Die verschenkten Kartenlesegeräte sind sogenannte Klasse 1 Geräte. Das heißt, der PIN-Code, der bei Anwendung der Bürgerkarte zusätzlich zur Signatur auf der Karte benötigt wird, muss am Computer eingegeben werden (und nicht am Kartenlesegerät selbst, wie ab Klasse 2). Somit gibt man bei der Freischaltung der Bürgerkarte den geheimen PIN-Code am selben PC ein, auf dem auch die digitale Signatur erstellt wird. Diese Informationen reichen aus, um sich als die angemeldete Person auszugeben und sämtliche Bürgerkartenfunktionen benützen zu können. Also ist bei der Aktivierung blindes Vertrauen, dass der Computer nicht mit Schadsoftware behaftet ist und die sensiblen Daten nicht anderweitig verwendet werden.

- Bei dem Registrierungsvorgang ist es nötig ein Passwort zu setzen. Dieses wird in Plaintext angezeigt, sprich ZuschauerInnen können über den Rücken das Passwort mitlesen. Gekoppelt mit der Platzierung der studi.gv.at-Laptops in der Aula, teilweise sogar vor Fenstern, spricht das nicht gerade von sensiblem Umgang mit Daten.

- Für die endgültige Freischaltung der Bürgerkarte, ist ein Signaturvertrag zu unterzeichnen. Dieser scheint auf erstem Blick recht kurz und übersichtlich. Allerdings findet man in dem Text weiterführende Links zu den AGBs und einem Merkblatt. Diese bestätigt man, ohne sie jemals zu Gesicht bekommen zu haben. Durch diese Dokumente entstehen auch Pflichten (wie z.B. Meldung von Datenänderung), auf die man nicht aufmerksam gemacht wird.

- Der Abschluss der Erstellung der Bürgerkarte ist auch gleich ihr erster Einsatz. Und zwar wird der Signaturvertrag mit der Bürgerkarte im Lesegerät und Eingabe des PINs unterzeichnet. Das ist insofern interessant, weil digitale Unterschriften zwar ein Feature der Bürgerkarte sind, dies aber erst NACH Vertragsabschluss zugänglich sein sollte.

Die Liste ist unvollständig und lässt sich noch vielseitig erweitern. Es steht natürlich allen frei, sich trotzdem das Gratis-Kartenlesegerät abzuholen. Ich empfehle aber generell einen reflektierten Umgang mit sensiblen Daten und besonders kritisch zu sein, wenn jemand was zu verschenken hat.

Meni zeigt seine Passwörter nicht einmal sich selbst

Alte Version:

studi.gv.at ist eine Werbeinitiative des Ministeriums für Wissenschaft und Forschung. Mit weitreichenden Versprechungen und gratis Kartenlesegeräten wird versucht Bürgerkarten unter Studierenden zu verbreiten.

Die Idee, neue Technologie zu entwickeln, diese innovativ umzusetzen, damit Amtswege zu erleichtern und dann noch dem Studierenden etwas zu schenken, ist an und für sich ja nicht schlecht. Auch die Informationen zur Kampgagne auf der gleichnamigen Website studi.gv.at lesen sich sehr vielversprechend: Alles wird als wenig aufwändig, wesentlich einfacher und obendrein noch absolut sicher beschrieben. Blickt man allerdings nur ein wenig hinter die Fassaden, sieht nicht mehr alles so rosig aus.

VertreterInnen der Kampagne sind an vielen Standorten (z.B. auch in Universitätsräumlichkeiten) zu finden. Auf Firmenlaptops werden Sozialversicherungskarten von Studierenden mittels Kartenlesegeräten und der dazugehörigen Software zu Bürgerkarten aufgewertet. Bei diesem Vorgang treten einige teilweise grob fahrlässige Fehler auf:

- Die verschenkten Kartenlesegeräte sind sogenannte Klasse 1 Geräte. Das heißt, der PIN-Code, der bei Anwendung der Bürgerkarte zusätzlich zur Signatur auf der Karte benötigt wird, muss am Computer eingegeben werden (und nicht am Kartenlesegerät selbst, wie ab Klasse 2). Somit gibt man bei der Freischaltung der Bürgerkarte den geheimen PIN-Code am selben PC ein, auf dem auch die digitale Signatur erstellt wird. Diese Informationen reichen aus, um als die angemeldete Person auszugeben und sämtliche Bürgerkartenfunktionen benützen zu können. Also ist blindes Vertrauen in einen fremden Computer vorausgesetzt.

- Bei dem Registrierungsvorgang ist es nötig ein Passwort zu setzen. Dieses wird in Plaintext angezeigt, sprich ZuschauerInnen können über den Rücken das Passwort mitlesen. Gekoppelt mit der Platzierung der studi.gv.at-Laptops in der Aula, teilweise sogar vor Fenstern, spricht das nicht gerade von sensiblem Umgang mit Daten.

- Für die endgültige Freischaltung der Bürgerkarte, ist ein Signaturvertrag zu unterzeichnen. Dieser scheint auf erstem Blick recht kurz und übersichtlich. Allerdings findet man in dem Text weiterführende Links zu den AGBs und einem Merkblatt. Diese bestätigt man auch mit, ohne sie jemals zu Gesicht bekommen zu haben. Durch diese Dokumente entstehen auch Pflichten (wie z.B. Meldung von Datenänderung), auf die man nicht aufmerksam gemacht wird.

- Der Abschluss der Erstellung der Bürgerkarte ist auch gleich ihr erster Einsatz. Und zwar wird der Signaturvertrag mit der Bürgerkarte im Lesegerät und Eingabe des PINs unterzeichnet. Das ist insofern interessant, weil digitale Unterschriften zwar ein Feature der Bürgerkarte sind, dies aber erst NACH Vertragsabschluss zugänglich sein sollte.

Die Liste ist unvollständig und lässt sich noch vielseitig erweitern. Es steht natürlich allen frei, sich trotzdem das Gratis-Kartenlesegerät abzuholen. Ich empfehle aber generell einen reflektierten Umgang mit sensiblen Daten und besonders kritisch zu sein, wenn jemand was zu verschenken hat.

Meni zeigt seine Passwörter nicht einmal sich selbst

-- Main.JasminMueller - 26 Nov 2008
Topic attachments
I Attachment Action Size Date Who Comment
htu_info-200812-meni-studi-gv.jpgjpg htu_info-200812-meni-studi-gv.jpg manage 2927.5 K 03 Dec 2008 - 13:37 Main.AndiFink  
Topic revision: r5 - 29 Mar 2011 - 21:00:05 - Main.UnknownUser
 

Herausgeberin:
Hochschülerinnen- und Hochschülerschaft an der Technische Universität Wien
(Vorsitzender: Lukas BÜRSTMAYR)
Wiedner Hauptstraße 8-10
1040 Wien
T: +43-1-58801-49501
F: +43-1-58691-54
sekretariat@htu.at