Erhebliche Sicherheitslücken bei E-Pass
Posted by in Datenschutz
Ich erinnere mich noch gut daran, wie der neue E-Pass bei seiner Einführung im November 2005 als bombensicher und probates Mittel gegen die illegale Einreise gepriesen wurde. Auf der Webseite des Bundesinnenministeriums steht hierzu:
Ein unbemerktes Auslesen der biometrischen Daten wird durch einen effektiven Zugriffschutz ausgeschlossen.
Doch so sicher scheint das Dokument nicht zu sein. Denn glaubt man dem deutschen IT-Sicherheitsexperten Lukas Grünwald, so handelt es sich bei der Technik eher um einen "Hirnschaden". Doch was war geschehen? Nun, Grünwald hatte seinen neuen Reisepass kurzerhand geknackt und ausgelesen.
Zwar könne man die so erhaltenen Daten aufgrund einer digitalen Signatur nicht verändern, so der Experte. Doch reichen sie aus, um gegenüber elektronischen Lesegeräten eine falsche Identität vorzutäuschen., so N24.
Dabei scheint der "Hack" des Reisepasses noch nicht einmal besonders schwer zu sein. Silicon.de berichtet:
Es habe ihn nur zwei Wochen gekostet, die angeblich fälschungssicheren Ausweise zu hacken und herauszufinden, wie sich die elektronischen Daten eines RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen. Dies sei auch mit Smartcards möglich, die dann wiederum für Zutrittsberechtigung genutzt werden können.
Dabei habe ihm ein offizielles Dokument der internationalen Luftfahrtbehörde ICAO geholfen, in dem die Systemstandards für so genannte E-Pässe beschrieben sind. Als Lese- und Schreibgerät nutzte er einen für Grenzkontrollen offiziell zugelassenen RFID-Reader, als Software diente ihm das Golden Reader Tool, das pikanterweise ebenfalls von der ICAO zugelassen ist.
Alles, was die gefälschten Daten von den ursprünglichen unterscheide, sei die Tatsache, dass die Daten für Name und Geburtsdatum noch einmal gesondert gesichert sind. Abgesehen davon erhält ein Fälscher laut Grünwald ein Dokument, das elektronische Pass-Lesegeräte nicht vom Original unterscheiden können.
Natürlich entsteht so statt mehr Sicherheit eher ein neues Sicherheitsrisiko. Dies unterstreicht auch der Spiegel:
Terroristen könnten ihren eigenen Pass aber mit einem RFID-Chip bestücken, der Daten einer anderen Person enthält. Sollten sich Beamte bei Grenzkontrollen allein auf die im Funkchip gespeicherten Daten verlassen, und diese nicht mit dem Passfoto und den sonstigen Daten im Pass vergleichen, wäre eine Einreise unter fremder Identität möglich. Auch bei vollautomatischen Einreisekontrollen allein anhand der Chipdaten, wie sie in Australien für ausgewählte Reisende geplant sind, könnten geklonte Chips die Fahnder in falscher Sicherheit wiegen. Der Pass einer gesuchten Person würde sich im Kartenleser als der eines unbescholtenen Bürgers präsentieren.
Wenn man schon RFID-Pässe nutze, sagte Grunwald, dann müsse dies auf sichere Weise geschehen. Das sei im Interesse aller. "Ich denke, es sollte nicht möglich sein, Pässe zu kopieren."
Bedenkt man, dass auch der Chaos Computer Club und andere Experten schon bei der Herausgabe des neuen Passes erheblich Kritik geübt hatten, kann man sich schon ein wenig ärgern. Seitens des Innenministeriums war bislang keine Stellungnahme zu hören …
You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.
Da kann ich nur auf den Artikel verweisen:
http://www.cryptovision.de/cvweb/index.php?id=29&L=0&tt_news=75
Danke für den ergänzenden Link. Immerhin hat das vermeintliche “Knacken” des Passes ja zu einer rege Diskussion über Sinn und Unsinn der neuen Technologie geführt.
Das passt doch prima :
Im Hamburger Werk von NXP wurde im dortigen Test-Zentrum (dort werden Mifare RFID -Chips und auch z.B. E-Pass Chips der neuesten Generation getestet)von verantwortlichen Personen jahrelang gegen das Datenschutzgesetz verstoßen (Beurteilungen auf dem PC,Private Details aus dem Leben der Mitarbeiter auf dem PC,Extra angelegte Ordner über mißliebige Mitarbeiter auf dem PC et.).Der Datenschutzbeauftragte schafft es nachweislich seit Jahren nicht die Verantwortlichen auf das BDSG zu verpflichten….
Wenn man bei NXP selbst schon so fahrlässig mit dem Datenschutzgesetz umgeht und Datenkriminalität duldet ist es unerklärlich wie so ein Unternehmen für die Herstellung eines E-Passes überhaupt in Frage kommt.
Die Lidlisierung der Gesellschaft macht also auch vor diesem
Hi-Tech Unternehmen nicht Halt