{"id":98,"date":"2007-06-06T13:56:38","date_gmt":"2007-06-06T11:56:38","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/98-bundestag-verwendet-kobil"},"modified":"2018-05-31T18:58:24","modified_gmt":"2018-05-31T17:58:24","slug":"bundestag-verwendet-kobil","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/98-bundestag-verwendet-kobil","title":{"rendered":"Bundestag verwendet Kobil"},"content":{"rendered":"<p><a href=\"http:\/\/www.heise.de\/security\/news\/meldung\/90716\">Heise<\/a> berichtet, dass der Bundestag die bisher verwendeten TAN-Listen zum Remote-Zugriff auf interne Daten abschafft und daf\u00fcr Einmalpassw\u00f6rter verwendet:<\/p>\n<ul>Nach einer erfolgreichen Testphase kommt das SecOVID-System des Wormser IT-Security-Anbieters <a href=\"http:\/\/www.kobil.de\/\">Kobil Systems<\/a> zum Einsatz.<\/ul>\n<p>Das Kobil SecOVID ist meines Erachtens ganz nett, hat aber einen nicht zu untersch\u00e4tzenden Nachteil. Die Einmalpassw\u00f6rter werden nur eventsynchronisiert und nicht zeitsynchronisiert.<\/p>\n<p>Zeitsynchronisiert bedeutet in diesem Zusammenhang, dass ein Passwort nur einmal g\u00fcltig ist, und das zus\u00e4tzlich auch nur zu einem bestimmten Zeitpunkt. Also meinetwegen nur von 13:45:00 bis 13:45:59. Wenn sich nun jemand das Passwort aneignet, beispielsweise bei einem Blick auf das Display oder bei einer kleinen Vorf\u00fchrung (&#8222;ui, wie funktioniert denn das?&#8220;)  kann der Angreifer dieses Einmalpasswort auch nur zu diesem Zeitpunkt verwenden, m\u00fcsste also sehr schnell sein mit dem Ausnutzen der L\u00fccke. Die Produkte von <a href=\"http:\/\/www.rsa.com\/\">RSA<\/a> oder <a href=\"http:\/\/www.vasco.com\/\">Vasco<\/a> bieten so eine Zeitsynchronisation.<\/p>\n<p>Eventsynchronisiert bedeutet, dass bei bestimmten Ereignissen jeweils ein neues Einmalpasswort erzeugt wird. Bei Kobil passiert das per Knopfdruck auf das SecOVID-Token. Dieses Einmalpasswort kann dann zwar nur einmal verwendet werden, bleibt jedoch so lange g\u00fcltig, bis dieses oder ein sp\u00e4ter erzeugtes Passwort verwendet wurde. Der Angreifer kann sich das Token also vorf\u00fchren lassen, merkt sich das Passwort und hat dann zumindest theoretisch bis zur n\u00e4chsten Einwahl des berechtigten Benutzers Zeit, sich mit diesem Einmalpasswort anzumelden. Noch schlimmer, man k\u00f6nnte10 mal auf den Knopf dr\u00fccken und sich die 10 Passw\u00f6rter aufschreiben. Schon braucht man das Token nicht mehr sondern hat eine handliche Liste auf Papier, die man auch bequem kopieren kann.<\/p>\n<p>Die einzige Beschr\u00e4nkung dabei ist, dass Kobil standardm\u00e4\u00dfig nur 10 ungenutzte Einmalpassw\u00f6rter erlaubt. Wenn man also 11 mal auf das Kn\u00f6pfchen dr\u00fcckt, ist das dann erzeugte Passwort erst g\u00fcltig, wenn vorher eines verwendet wurde. Ich f\u00fcrchte nur, das hat die Bundestagsverwaltung aufgebohrt, da der Spieltrieb der Abgeordneten ja bekannt ist.<\/p>\n<p>Ich vermute, der Hauptgrund sich f\u00fcr Kobil zu entscheiden war, es ist erstens ein deutscher Anbieter und zweitens die billigste L\u00f6sung. Ach ja, und wenn das T-Systems eingerichtet hat, dann ist alles klar, weil die Telekom der wichtigste Vertriebspartner f\u00fcr Kobil ist.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heise berichtet, dass der Bundestag die bisher verwendeten TAN-Listen zum Remote-Zugriff auf interne Daten abschafft und daf\u00fcr Einmalpassw\u00f6rter verwendet: Nach einer erfolgreichen Testphase kommt das SecOVID-System des Wormser IT-Security-Anbieters Kobil Systems zum Einsatz. Das Kobil SecOVID ist meines Erachtens ganz nett, hat aber einen nicht zu untersch\u00e4tzenden Nachteil. Die Einmalpassw\u00f6rter werden nur eventsynchronisiert und nicht [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/98"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=98"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/98\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=98"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=98"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=98"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}