Forbrugerrådet efter misbrug: 'NemID er ikke så sikkert, som vi gik og troede'

Flere sager har vist, at NemID kan blive misbrugt, uden at forbrugeren har sløset med sikkerheden.

- Det kan misbruges. Og det kan altså også ske, selvom forbrugeren ikke har været sløset. siger Forbrugerrådet Tænk.

Man kan ikke være sikker på, at sikkerheden hos NemID er skudsikker.

Det er meldingen fra Forbrugerrådet Tænk, der varetager forbrugernes interesser.

- Vi må konstatere, at NemID alligevel ikke er så sikkert, som vi alle sammen gik og troede, siger chefjurist hos Forbrugerrådet Tænk, Anette Høyrup efter DR har fortalt om 38-årige Sigrid fra Odder, der for nylig har fået misbrugt sit NemID.

Ifølge politiets efterforsker på sagen og en it-ekspert, som har gennemgået brugen af Sigrids NemID for DR, er svindlerne lykkedes med at få fingre i både Sigrids bruger-id, hendes NemID-kode og hendes nøglekort, uden at hun har skrevet oplysningerne ned nogen steder eller vist dem til nogen.

Både politiefterforskeren og it-eksperten mener, at svindlerne har brugt såkaldte keyloggere til at få fat i hendes bruger-id og NemID-koden. En metode, som tidligere har været omtalt og som har vist, at NemID kan blive misbrugt, uden at forbrugeren har sløset med adgangskode eller kodeord.

Med bruger-id'et og NemID-koden i hånden har gerningsmændene fået oplyst, hvor mange nøgler der var tilbage på Sigrids nøglekort.

Når man taster sit bruger-id og kode ind under login med NemID, får man nemlig oplyst, hvor mange nøgler der er tilbage på det eksisterende nøglekort, og dermed kan man få info om, cirka hvornår et nyt nøglekort bliver sendt.

Politiets teori i Sigrids sag er, at gerningsmændene har udført en helt ny type NemID-svindel, hvor de kriminelle systematisk har holdt øje med, hvor mange nøgler der var tilbage på Sigrids nøglekort.

Når kortet var sendt af sted, har gerningsmændene ifølge politiet hevet det nye nøglekort op fra postkassen, inden Sigrid fik tjekket sin post. Med nøglekortet, bruger-id'et og adgangskoden har gerningsmændene forsøgt at svindle for 265.000 kroner i Sigrids navn.

- Det (NemID, red.) kan misbruges. Og det kan altså også ske, selvom forbrugeren ikke har været sløset. Det er det nye, og det er det, vi skal have rettet op på, siger chefjurist Anette Høyrup fra Forbrugerrådet Tænk.

  • Sådan ser trin 1 ud, når man logger på NemID.
  • I trin 2 udfylder man bruger-id og adgangskode. Bruger-id er ofte cpr-nummer.
  • Hvis man har indtastet det korrekte bruger-id og adgangskode, kommer man automatisk videre til trin 3, hvor man skal bruge nøglekortet. Før man bruger nøglekortet, får man oplyst, hvor mange nøgler der er tilbage - og svindlere kan derigennem følge med i, hvornår et nyt NemID bliver tilsendt.
1 / 3

Sagen vækker også opsigt på Christiansborg.

- Det misbrug, I fortæller om her, giver i allerhøjeste grad stof til eftertanke. Det fortæller jo, at NemID ikke er en 100 procent sikker løsning, siger Preben Bang Henriksen (V), der er formand for Folketingets retsudvalg.

SF kræver handling. Enten fra Nets, som driver NemID på vegne af staten og bankerne, eller fra Digitaliseringsstyrelsen, som er den ansvarlige myndighed.

- Hver gang, vi oplever en brist, bliver vi nødt til at reagere på det. Og så må det give noget selvransagelse hos de relevante myndigheder. Vi skal kunne stole på de løsninger, som vi er tvunget til at bruge, siger Karina Lorentzen, der er retsordfører for SF.

Sikkerhedshul i NemID

Efterforskningen af Sigrids sag er endnu ikke afsluttet, men politiet har flere mistænkte i søgelyset.

It-ekspert Christian Heinel, der er teknisk chef for Nordeuropa i Cisco, en af verdens største virksomheder indenfor it-netværk og it-sikkerhed, kalder det et sikkerhedsmæssigt hul hos Nets, at man kan få oplyst antallet af resterende NemID-nøgler på et nøglekort, som man ikke er i besiddelse af.

- Det er en stor udfordring, for det er faktisk det, der gør, at gerningsmændene gider det her, har tid til det, og får en gevinst ud af det, siger han.

Enhedslisten kræver handling fra Nets, som driver NemID på vegne af staten og bankerne.

- Selvfølgelig har Nets også et ansvar i det her. Der har jo tydeligvis ikke været styr på sikkerheden, siger partiets retsordfører, Rosa Lund.

Også Venstre mener, at Nets eller Digitaliseringsstyrelsen bør genoverveje systemet.

- Der kunne man måske overveje, at det nøglekort skulle overbringes på en anden måde, eksempelvis ved henvendelse i pengeinstituttet. Det her er i hvert fald fuldstændig umuligt for den pågældende forbruger at tage højde for, siger Preben Bang Henriksen.

Styrelse: Nets skal sikkerhedsvurdere

DR har gennem mere end to uger forsøgt at få Nets i tale om den aktuelle sag, hvor id-tyvene tilsyneladende har fundet en igennem sikkerheden i NemID.

Men Nets ønsker ikke at svare og henviser i stedet til Digitaliseringsstyrelsen, som er den myndighed, der formelt køber NemID-løsningen af Nets.

Hos Digitaliseringsstyrelsen siger vicedirektør Adam Lebech, at der er mange risici forbundet med digitale løsninger.

- Men heldigvis er det meget få, der bliver udsat for den her kriminalitet. Når man bliver det, så er det forfærdeligt for den enkelte. Der er ingen tvivl om det, siger han.

DR har spurgt Adam Lebech, om Digitaliseringsstyrelsen vil ændre på, at man kan få oplyst, hvor mange nøgler der er tilbage i et nøglekort, hvis man er udstyret med bruger-id og kode til NemID.

- Vi arbejder konstant på at kigge på alle de risici, der er ved NemID og adressere dem, siger Adam Lebech.

På baggrund af denne sag har Digitaliseringsstyrelsen bedt Nets om en sikkerhedsvurdering af den form for misbrug af NemID, som Sigrid har været udsat for.

Da svindlerne fik fat på Sigrids nye nøglekort, nåede de at bruge hendes NemID 35 gange på otte timer. Samlet set har gerningsmændene ifølge politiet forsøgt at svindle for 265.000 kroner i Sigrids navn.

Heraf er gerningsmændene sluppet af sted med omkring 124.000 kroner, mens den resterende svindel for omkring 141.000 kroner blev bremset, før gerningsmændene fik fat i pengene.

Facebook
Twitter