[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Einheitliche Notrufnummer sollSicherheitslücke im Informationszeitalterschließen
- To: michael.denck@denck.de
- Subject: Re: Einheitliche Notrufnummer sollSicherheitslücke im Informationszeitalterschließen
- From: Florian Weimer <Weimer@CERT.Uni-Stuttgart.DE>
- Date: Fri, 05 Apr 2002 14:46:37 +0200
- Cc: debate@lists.fitug.de
- Delivered-To: mailing list debate@lists.fitug.de
- In-Reply-To: <878z82o6g9.fsf@CERT.Uni-Stuttgart.DE> (Florian Weimer'smessage of "Fri, 05 Apr 2002 11:11:50 +0200")
- List-Help: <mailto:debate-help@lists.fitug.de>
- List-Id: <debate.lists.fitug.de>
- List-Post: <mailto:debate@lists.fitug.de>
- List-Subscribe: <mailto:debate-subscribe@lists.fitug.de>
- List-Unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
- Mailing-List: contact debate-help@lists.fitug.de; run by ezmlm
- References: <slrnaaqn40.mf.lutz@taranis.iks-jena.de><878z82o6g9.fsf@CERT.Uni-Stuttgart.DE>
- Sender: rusfw@CERT.Uni-Stuttgart.DE
- User-Agent: Gnus/5.090005 (Oort Gnus v0.05) Emacs/21.1 (i686-pc-linux-gnu)
Florian Weimer <Weimer@CERT.Uni-Stuttgart.DE> writes:
>> Ziel des neu gegründeten Vereins SPERR e.V. ist die Einführung einer ein-
>> heitlichen Notrufnummer für das Sperren elektronischer Berechtigungen wie
>> z.B. Kredit- und ec-Karten, Handys, digitale Signaturen, etc. Für den Bürger
>> bringt diese neue Notrufnummer einen einfachen Zugang zu den unterschied-
>> lichen Sperrnummern der einzelnen Karten und Medien und bietet ihm somit
>> besseren Schutz vor Missbrauch.
>
> Solch ein Dienst ist prinzipiell eine gute Idee.
Der Meinung bin ich nach wie vor.
> Wie wird die Person, die die Sperrung beantragt, authentifiziert? Nach
> welchen Kriterien nimmt welche Partei die Autorisierung der Sperrung
> vor?
Ein kurzes Telefongespräch mit Michael Denck ergab folgendes:
Die neue Notfallnummer soll lediglich eine fortgeschrittene
Telefonvermittlung sein (was keinesfalls abwertend gemeint ist!). Im
Idealfall wird direkt zum richtigen Dienstleister weiterverbunden, der
dann sich um die Fragen der Authentifizierung und Autorisierung
kümmert (wie bisher).
In der Praxis gibt es jedoch das Problem, daß gewisse Dienstleister
den Kunden gegenüber mit einer Marke auftreten (Kreditkarte Xy), aber
verschiedene Dienstleister für die Sperre zuständig sind (z.B. bei
Kreditkarte Xy von Sparkasse vs. Kreditkarte Xy von regionaler
Privatbank). Der Anfragende besitzt (insbesondere nach dem Verlust der
Karte) u.U. nicht die nötige Information, anhand der der Vermittler
die zuständige Stelle eindeutig ermitteln kann. Für die
Vermittlungstätigkeit ist daher ein gewisser bidirektionaler
Informationsfluß zu den Dienstleistern unverzichtbar ("Habt Ihr
jemandem namens Helga Mustermann aus Münster eine Karte vergeben?",
Antwort darauf dann lediglich "ja" oder "nein"; das sollte wenig
datenschutzrechtliche Fragen aufwerfen).
> Wie können sich z.B. Universitäten und andere größere,
> nichtkommerzielle Einrichtungen in diesen Dienst einklinken?
Anfangs ist geplant, erst einmal Sperrungen für Dienstleistungen mit
direkten, erheblichen monetären Risiken (also für Kredikarten,
Mobiltelefon-Karten etc.) zu vermitteln. Es wird also noch ein bißchen
dauern, bis das für die Universität nebenan relevant wird. (Allerdings
könnte man die Weiterleitungsinformation auch sofort aufnehmen, da
hier keine große Notwendigkeit und Möglichkeit für Automatisierung
besteht.)
Und noch eine neue Idee:
Vielleicht kann man die Datenbank, anhand der die Vermittlung
(zumindest im Groben) stattfindet, sauber gestaltet ins Web legen.
Einige Dienstleister bieten kritische Information nämlich nicht in
behindertengerechter Form an (z.B. Telefonnumer nur als Bitmap), oder
gar nicht (da man auf Endkundenanfragen auf dieser Ebene nicht
vorbereitet ist).
--
Florian Weimer Weimer@CERT.Uni-Stuttgart.DE
University of Stuttgart http://CERT.Uni-Stuttgart.DE/people/fw/
RUS-CERT +49-711-685-5973/fax +49-711-685-5898
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de