Skip to content

Schlechtes Vorbild

11. Juni 2007

Wie heise News berichtet, gibt es erhebliche Sicherheitsbedenken bei der ersten Generation der in Belgien ausgegebenen biometrischen Reisepässe. Diese wurden zwischen 2004 und 2006 verteilt und „weisen keinerlei Schutzfunktionen auf, um ein unautorisiertes Auslesen zu verhindern.“ Die Daten, die so problemlos ohne das Wissen oder die Zustimmung des Besitzers ausgelesen werden können, umfassen neben einem digitalisierten Passfoto auch die Unterschrift des Pass-Inhabers.

Eigentlich soll das Auslesen dieser Daten durch Kryptographie verhindert werden, jedoch weist deren Implementierung bei den betreffenden RFID-Ausweisen erhebliche Mängel auf, so dass kein wirksamer Schutz besteht. Einige dieser Fehler sind übrigens nicht auf Belgien beschränkt, sondern betreffen auch die Reisepässe anderer Länder wie beispielsweise die der Niederlande.

Solche Vorfälle sollten zu denken geben in einem Land, in dem biometrische Reisepässe vor Kurzem verbindlich gemacht wurden und gelegentlich auch über Biometrie im Personalausweis spekuliert wird. Wenn Vorfälle wie der in der Niederlanden wieder einmal nachdrücklich klar machen, wie groß die Risiken bei einer derartigen Technologie sind, sollte man sich eigentlich fragen, ob der gewählte Kurs der richtige ist. Gerade einmal drei Jahre hat es gedauert, das entsprechende System zu kompromittieren (wenn dies nicht sogar schon vorher geschehen ist und erst jetzt bekannt wird)- das erweckt nicht gerade Vertrauen, oder?

Man mag einwenden, dass es mittlerweile bessere Technologien gibt, um derartige Systeme zu schützen. Das ist ja auch vollkommen richtig. Aber jeder, der auch nur ansatzweise etwas von IT-Sicherheit versteht, weiß, dass es so etwas wie absolute Sicherheit nicht gibt. Besonders gefährdet sind dabei logischerweise Systeme, die sehr weit verbreitet sind und außerdem auch von Personen ohne technische Kenntnisse nutzbar sein müssen- sie sind naheliegende Ziele und meist in der Auswahl der Schutzmechanismen eingeschränkt. Kommt das irgendwem bekannt vor? Ja, genau, das liest sich wie die Beschreibung der biometrischen Reisepässe. Von denen werden womöglich Millionen im Umlauf und dauernd in Benutzung sein und kein Mensch wird mehr kontrollieren können, was damit passiert. Jedes Script-Kiddy wird sich ein solches Dokument besorgen und damit nach Herzenslust experimentieren können.

Erscheint es da wirklich wahrscheinlich, dass die eingesetzten Sicherheitsmechanismen nicht irgendwann umgangen werden? Nach zwei Monaten, zwei Jahren, notfalls auch nach zehn Jahren? Man muss schon extrem risikobereit sein, um bei solchen Quoten zu wetten.

Nichts anderes aber tut unsere Regierung momentan. Bin ich allein damit oder erscheint das nicht nur mir paradox? Wir haben es hier mit Personen zu tun, die tagtäglich betonen, dass ihnen unsere Sicherheit über alles geht und die aus genau diesem Grunde teils extrem weitgehende Opfer von uns verlangen. Wie ist es da zu erklären, dass eben jene Leute unsere Privatsphäre, unsere Sicherheit damit gefährden, sich auf einem anfällige Technologie festzulegen? Das geht doch beim besten Willen nur dann zusammen, wenn man vorher seinen Doktorgrad in Doppeldenk erworben hat.

Möglicherweise verlässst man sich bei der Regierung ja darauf, dass das vor kurzem verhängte „Hackertoolverbot“ eine Manipulation der RFID-Pässe verhindert. Auch bei den Schach spielenden Wahlautomaten ließ man ja kürzlich verlautbaren, dass ein einfaches Verbot ausreichte, um jegliche Manipulationen am Gerät zu verhindern.

Wenn es so weitergeht, sind wir im Bereich der Sicherheitskonzepte bald wieder bei Pentagrammen und toten Hähnen vor der Tür angekommen.

Advertisements
No comments yet

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: