Technische Risiken des ePasses mit biometrischen Daten
Die Bundesregierung hat bekanntlich einen Entwurf eines neuen Passgesetzes vorgelegt, der vorsieht, Gesichtsbilder und Fingerabdrücke in digitaler Form in Pässe und andere Personaldokumente aufzunehmen. In der Öffentlichkeit werden vor allem die weitreichenden Folgen für den Datenschutz diskutiert. Der ePass birgt aber unter Umständen noch andere Probleme und Risiken.
Der Biometrie-Experte Professor Dr. Christoph Busch vom Fraunhofer-Institut für Graphische Datenverarbeitung (IGD) untersuchte im Auftrag der Regierung die technische Machbarkeit der biometrischen Erfassung, wie sie im Gesetzentwurf vorgesehen ist.
Ein Problem könnte die Alterung der biometrischen Referenzdaten im Pass sein - Busch kommt zum Ergebnis, dass es deshaln erforderlich sein könnte, die Gültigkeit des Passes von 10 Jahren auf einen kürzeren Zeitraum anzupassen. Damit wird der ePass für den Bürger ein noch teureres "Vergnügen", als bisher befürchtet.
Dass der Bau "personalisierter Bomben", die durch Auslesen der RID-Chips im ePass ausgelöst werden könnte, ein ernsthafte Bedrohung sei, bestreitet Busch. Das Szenario einer "personalisierten Bombe" geht davon aus, dass ein Attentäter die sogenannte Machine Readable Zone (MRZ) des Passes seiner "Zielperson" kennt. In dieser auf der Datenseite des Passes gedruckten MRZ befinden sich unter anderem die Dokumentennummer, das Geburtsdatum des Passinhabers und die Gültigkeitsdauer des Passes. Bei der Passkontrolle wird die MRZ gescannt und aus dieser Information ein Zugriffschlüssel berechnet, der die Daten im RFID-Chip freigibt. Bei bekannter MRZ könnte eine Bombe genau dann gezündet werden, wenn der dazugehörende Pass in einem Abstand von unter 25 Zentimetern detektiert wird.
Busch zufolge ist so ein Angriff potenziell möglich. Das Risiko kann allerdings schon mit einer abstrahlsicheren Verpackung des Passes - beispielsweise einer mit Alu-Folie gefütterten Brieftasche - einfach und kostengünstig kontrolliert werden.
Weil so eine personalisierte Bombe tatsächlich funktionieren würde, dürfte es schwer sein, jeden, der seinen Pass oder Ausweis "abschirmt", erst einmal für "verdächtig" zu halten. Schwacher Trost in der Überwachungsdebatte!
Die Pressemeldung der IGD: Stellungnahme: Gefahren durch biometrische Daten auf dem ePass?
Ergänzung:
Informatik-Professor Pfitzmann und Lukas Grunwald vom Unternehmen DN-Systems Enterprise Internet Solutions GmbH in Hildesheim wiesen nach, dass die in dem Chip gespeicherten Daten entgegen der Forderung in § 4 des Gesetzentwurfes durch die verwendeten Methoden nicht "gegen unbefugtes Auslesen, Verändern und Löschen zu sichern" sind. Ein Grund: Der BAC-Schlüssel zum Auslesen zweier Datengruppen des Chips ist auf dem Dokument aufgedruckt. Wer davon legal eine Kopie anfertigt (Grenzkontrollbehörden, aber auch Hotels, Reisebüros oder Mietwagenfirmen) oder sie sich illegal verschafft, kann den Chip unberechtigt auslesen, den Ausweisinhaber auch überwachen. Den Schlüssel zum Chip-Zugang auf dem Ausweis aufzudrucken, "widerspricht sämtlichen Standards der Informationssicherheit", betonte Grunwald. Das Risiko werde auch durch den für den Zugriff zu den gespeicherten digitalisierten Fingerabdrücken geplanten EAC-Schlüssel nicht gelöst, da seine Gültigkeit im Ausland nicht geprüft werden kann.
Selbst für deutsche Sicherheitsbehörden bringt der ePass laut Pfitzmann neue Sicherheitsprobleme, da gewünschte "Mehrfachidentitäten" von Geheimdienstagenten, verdeckten Ermittlern oder Personen in Zeugenschutzprogrammen leichter enttarnbar werden könnten. Er erwartet, dass alle Staaten zumindest für fremde Staatsbürger personengebundene Biometriedatenbänke anlegen werden, aber dass dies auch die Organisierte Kriminalität tun wird.
Und ansonsten: Niemand hat die Absicht…eine Mauer einen Überwachungsstaat zu errichten. (Gefunden bei Jan Schejbal. Nein, es ist keine Satire: Wolfgang Bosbach (Stellvertretender Vorsitzender der CDU/CSU-Bundestagsfraktion) sagte das wirklich in einer Gesprächsrunde auf Phonix, und zwar gleich zweimal: "Niemand hat die Absicht einen Überwachungsstaat zu errichten".)
Der Biometrie-Experte Professor Dr. Christoph Busch vom Fraunhofer-Institut für Graphische Datenverarbeitung (IGD) untersuchte im Auftrag der Regierung die technische Machbarkeit der biometrischen Erfassung, wie sie im Gesetzentwurf vorgesehen ist.
Ein Problem könnte die Alterung der biometrischen Referenzdaten im Pass sein - Busch kommt zum Ergebnis, dass es deshaln erforderlich sein könnte, die Gültigkeit des Passes von 10 Jahren auf einen kürzeren Zeitraum anzupassen. Damit wird der ePass für den Bürger ein noch teureres "Vergnügen", als bisher befürchtet.
Dass der Bau "personalisierter Bomben", die durch Auslesen der RID-Chips im ePass ausgelöst werden könnte, ein ernsthafte Bedrohung sei, bestreitet Busch. Das Szenario einer "personalisierten Bombe" geht davon aus, dass ein Attentäter die sogenannte Machine Readable Zone (MRZ) des Passes seiner "Zielperson" kennt. In dieser auf der Datenseite des Passes gedruckten MRZ befinden sich unter anderem die Dokumentennummer, das Geburtsdatum des Passinhabers und die Gültigkeitsdauer des Passes. Bei der Passkontrolle wird die MRZ gescannt und aus dieser Information ein Zugriffschlüssel berechnet, der die Daten im RFID-Chip freigibt. Bei bekannter MRZ könnte eine Bombe genau dann gezündet werden, wenn der dazugehörende Pass in einem Abstand von unter 25 Zentimetern detektiert wird.
Busch zufolge ist so ein Angriff potenziell möglich. Das Risiko kann allerdings schon mit einer abstrahlsicheren Verpackung des Passes - beispielsweise einer mit Alu-Folie gefütterten Brieftasche - einfach und kostengünstig kontrolliert werden.
Weil so eine personalisierte Bombe tatsächlich funktionieren würde, dürfte es schwer sein, jeden, der seinen Pass oder Ausweis "abschirmt", erst einmal für "verdächtig" zu halten. Schwacher Trost in der Überwachungsdebatte!
Die Pressemeldung der IGD: Stellungnahme: Gefahren durch biometrische Daten auf dem ePass?
Ergänzung:
Informatik-Professor Pfitzmann und Lukas Grunwald vom Unternehmen DN-Systems Enterprise Internet Solutions GmbH in Hildesheim wiesen nach, dass die in dem Chip gespeicherten Daten entgegen der Forderung in § 4 des Gesetzentwurfes durch die verwendeten Methoden nicht "gegen unbefugtes Auslesen, Verändern und Löschen zu sichern" sind. Ein Grund: Der BAC-Schlüssel zum Auslesen zweier Datengruppen des Chips ist auf dem Dokument aufgedruckt. Wer davon legal eine Kopie anfertigt (Grenzkontrollbehörden, aber auch Hotels, Reisebüros oder Mietwagenfirmen) oder sie sich illegal verschafft, kann den Chip unberechtigt auslesen, den Ausweisinhaber auch überwachen. Den Schlüssel zum Chip-Zugang auf dem Ausweis aufzudrucken, "widerspricht sämtlichen Standards der Informationssicherheit", betonte Grunwald. Das Risiko werde auch durch den für den Zugriff zu den gespeicherten digitalisierten Fingerabdrücken geplanten EAC-Schlüssel nicht gelöst, da seine Gültigkeit im Ausland nicht geprüft werden kann.
Selbst für deutsche Sicherheitsbehörden bringt der ePass laut Pfitzmann neue Sicherheitsprobleme, da gewünschte "Mehrfachidentitäten" von Geheimdienstagenten, verdeckten Ermittlern oder Personen in Zeugenschutzprogrammen leichter enttarnbar werden könnten. Er erwartet, dass alle Staaten zumindest für fremde Staatsbürger personengebundene Biometriedatenbänke anlegen werden, aber dass dies auch die Organisierte Kriminalität tun wird.
Und ansonsten: Niemand hat die Absicht…
MMarheinecke - Dienstag, 24. April 2007
Trackback URL:
https://martinm.twoday.net/stories/3653071/modTrackback