#1 9. August 2007 Sicherheitslücken Deutscher knackt elektronischen Reisepass Elektronische Reisepässe sollten eigentlich besonders sicher sein. Doch jetzt stellt sich heraus: Für Kriminelle können die enthaltenen Mikrochips sogar zu einer Arbeitserleichterung werden. Von FOCUS-Online-Autor Torsten Kleinz Sicherheitslücken: Elektronische Reisepässe sind umstritten Wer ab November einen neuen Reisepass beantragt, muss nicht nur sein Passbild abgeben, sondern sich auch zusätzlich seine Fingerabdrücke abnehmen lassen. Grund: Im Zuge eines internationalen Abkommens werden diese biometrischen Daten auf den neuen Pässen abgespeichert. Eigentlich sollten nur staatliche Behörden den elektronischen Pass auslesen können – die Sicherheitsmaßnahmen können jedoch offenbar umgangen werden. Kostenlos im Abo Bevor die neuen Pässe auf breiter Front eingeführt werden, hat der Heidelberger Sicherheitsexperte Lukas Grunwald nun den Gegenbeweis angetreten. Ihm ist es nach eigenen Angaben gelungen, die elektronisch abgespeicherten Fingerabdrücke auszulesen. Nicht die erste Sicherheitslücke Lukas Grunwald ist in Sachen E-Pässen kein Unbekannter. Im vergangenen Jahr hat er demonstriert, dass es mit der viel gerühmten Fälschungssicherheit der Pässe nicht allzu weit her ist: Er konnte die Informationen vom Chip eines Passes auf einen anderen Chip übertragen. Eigentlich sollte das unmöglich sein. Die Informationen sind auf den Chips verschlüsselt gespeichert und dürfen nur von staatlichen Behörden ausgelesen werden. Brisant: Da die elektronischen Pässe berührungsfrei ausgelesen werden können, bemerkt der Ausweisbesitzer nicht unbedingt, wenn auf die Inhalte seines Reisepasses zugegriffen werden. Nicht nur deutsche Pässe sind von der Sicherheitslücke betroffen. Grunwald sagte zu FOCUS Online: „Man müsste das ganze Projekt von vorne neu beginnen.“ Schuld an dem Problem seien die Vorgaben der Internationalen Zivilluftfahrtbehörde, die den Standard für die elektronischen Reisepässe entworfen hat. Manipulation bei Flughafenkontrollen Eine weitere Sicherheitslücke macht dem Heidelberger Sicherheitsexperten aber mehr Sorgen: Mithilfe eines manipulierten Chips hat er es geschafft, zwei Ausweisscanner zum Absturz zu bringen. Dies zeigt, dass die Geräte, die an immer mehr Flughäfen zum Einsatz kommen, prinzipiell manipulierbar sind. Statt den Scanner zum Absturz zu bringen, könnten Angreifer die Geräte auf diesem Weg auch umprogrammieren. Die Bundesdruckerei, die solche Ausweisleser weltweit vertreibt, wollte gegenüber FOCUS Online dazu nicht Stellung nehmen. Das Unternehmen verweist darauf, dass seine Geräte vom Innenministerium und vom Bundesamt für Sicherheit in der Informationstechnik überprüft und zertifiziert worden seien. Zusätzliche Sicherungsmaßnahmen geplant Eine Sprecherin des Bundesinnenministeriums dementiert auf Anfrage von FOCUS Online, dass die Daten in den deutschen Reisepässen gefährdet seien: „Durch die umfangreichen Prüfvorschriften, die in Deutschland durch das BSI erstellt werden und auch international Verwendung finden, kann die deutsche Implementation aus Sicht der IT-Sicherheit als führend bezeichnet werden. Die Sicherheit der auszulesenden Daten ist dabei jederzeit gegeben.“ Um die abgespeicherten Fingerabdrücke zu sichern, will die Bundesregierung jedoch bei der zweiten Generation des elektronischen Passes zusätzliche elektronische Sicherheitsmaßnahmen einführen. Auch die Lesegeräte seien nicht gefährdet: „Eine Kompromittierung der ePass-Leser, die an der deutschen Grenze eingesetzt werden, ist nicht möglich. Ein standardkonformes Lesegerät wird vor dem Anzeigen des Bildes die elektronische Signatur der Passdaten überprüfen“, erklärt die Ministeriumssprecherin. Inwieweit diese Bewertung aufrechtzuerhalten sein wird, bleibt abzuwarten. Grundwald hält es jedenfalls für sehr wahrscheinlich, dass sich mit der von ihm entdeckten Sicherheitslücke zahlreiche weitere Lesegeräte manipulieren lassen. Welche Geräte er konkret getestet hat, will der Sicherheitsspezialist aber bisher nicht verraten. Kampf gegen den Terrorismus Der elektronische Pass war von Anfang an umstritten. Das Bundesinnenministerium ist jedoch von der Notwendigkeit des Projekts überzeugt: „Im technologischen Wettlauf gegen organisierte Kriminalität und internationalen Terrorismus haben wir uns damit einen wichtigen Vorsprung verschafft“, erklärte Innenminister Wolfgang Schäuble (CDU) zur Einführung des Passes. Kritiker sind anderer Meinung. Sie weisen darauf hin, dass die deutschen Pässe auch ohne biometrische Daten sehr fälschungssicher waren. Und tatsächlich konnte die Bundesregierung als Antwort auf eine Parlamentarische Anfrage keinen Fall nennen, in dem ein Terrorist einen gefälschten deutschen Ausweis benutzt haben soll. Der Sprecher des Chaos Computer Clubs, Andy Müller Maguhn, spricht von einer „teuren Sicherheitssimulation ohne Nutzen“ und ruft gar zum Boykott gegen die neuen Pässe auf. Quelle: http://www.focus.de/digital/computer/sicherheitsluecken_aid_68760.html Na das kann ja nur lustig werden
#2 9. August 2007 AW: Deutscher knackt elektronischen Reisepass Eig nur ein logischer Schritt bzw alles elektronisch oder digitalierst ist. Glaubt doch kein Mensch daran, das wir ein paar Jahren noch mit so einen Handzettel Perso rumlaufen. Und das es knackbar ist, ist doch klar. Ist doch jeder und alles.
#3 9. August 2007 AW: Deutscher knackt elektronischen Reisepass wenn etwas digitaliiert wird wird es auch bald cracks oder zumindest einen cracker/hacker dafür geben ^^ ganz logisch - aber nicht unbedingt ungefährlich wie ich finde mfg teNTy^
#4 9. August 2007 AW: Deutscher knackt elektronischen Reisepass joa stimmt alles ist iwie knackbar das einzige was ne rolle spielt ist zeit beim hd kopier schutz wars ja schon vor der verbreitung gecknackt worden xD
#5 9. August 2007 AW: Deutscher knackt elektronischen Reisepass In der Regel kann man doch sagen, das alles was von Menschen entwickelt und wo andere Zugriff drauf haben, irgendwann geknackt wird. Siehst ja am IPhone oder Windows. Naja, zum Glück bleib ich eh immer in der EU und brauch keinen Reisepass Mein 901. Post
#6 9. August 2007 AW: Deutscher knackt elektronischen Reisepass is das irgendwie ein armutszeugnis ? " Vom Bundesamt für Sicherheit in der Informationstechnik überprüft und zertifiziert worden " Und dann kommt da einer an und haut alles über Haufen. Warum entwickeln die keinen Prototypen und lassen gleich "richtige" Experten dran ? Man , man , man , wenn man schon so nen kostspieliges Spielzeug haben will sollte es wenigstens seinen Zweck erfüllen.
#7 9. August 2007 AW: Deutscher knackt elektronischen Reisepass es wird immer mittel und wege dafür geben etwas zu knacken und wenn es kein prog is (bei manchen dingen), dann wird es jmd. knacken. egal auf welche wege, es wird IMMER möglichkeiten geben^^ ich wünsche noch einen schönen tag... BTW: dein nick is echt geil user2 :-D nice
#8 9. August 2007 AW: Deutscher knackt elektronischen Reisepass Das war doch sowieso klar, je mehr Technik in solche Prozesse reinkommt desto einfacher haben es Hacker. Sicher ist der Reisepass nicht schlecht weil alle Daten schnell erfasst werden können und auf dem Chip die wichtigsten Daten darauf passen, das die Hacker sowas knacken war eh ne Frage der Zeit, da kann es noch so gut gesichert sein. Das Problem aus dieser Aktion ist aber die Privatsphäre, ich meine es ist schon eine schlimme Vorstellung wenn man sich überlegt das der Staat soviele Daten über einen besitzt, aber noch schlimmer ist es wenn es in Hände dritter gelangt und somit, vielleicht ein größerer Schaden entstehen kann. Ich mag mir nicht vorstellen was diese dann damit machen, am Ende betreten sie damit ein Land und man ist der dumme weil sei vielleicht unter meinem Namen einen Terrorakt begehen. Das mag zwar wie Sci Fi klingen, ist aber nicht allzu weit hergeholt, schon heute wo mehr und mehr Daten gespeichert werden über einen, kann es passieren das man schnell unschuldig ins Visier gerät. Ich will nicht von einem Überwachungsstaat reden aber ich sage mal, fast an allen öffentlichen Plätzen sind Kameras installiert, durch Karten wie Payback wird das Kaufverhalten analyisert und biometrische Daten werden in Pässen gespeichert, dank dieser Technisierung ist es viel leichter geworden Hackern freien Raum zu geben, ich finde man kann ruhig einiges digitalisieren, aber Sachen wie der Perso müssen Analog bleiben, bleibt zu hoffen das das die Politker einsehen und handeln.