Reisepazz geckrackt
Teil 3: Sicherheitsrisiko RFID-Chips?
- Sicherheitsrisiko RFID-Chips?
- Teil 2: Sicherheitsrisiko RFID-Chips?
- Teil 3: Sicherheitsrisiko RFID-Chips?
- Teil 4: Sicherheitsrisiko RFID-Chips?
- Teil 5: Sicherheitsrisiko RFID-Chips?
- Teil 6: Sicherheitsrisiko RFID-Chips?
Hartmut Pohl ist Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg, Leiter der Forschungsstelle Vertrauenswürdige Kommunikation und Direktor des Kölner Instituts für Informationssicherheit sowie Sprecher des Präsidiumsarbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik e.V. (GI). Cathrin Günzel sprach mit ihm über die Sicherheit von RFID.
Warum warnen Daten- und Verbraucherschützervor den RFID-Chips?
Jeder, der ein Lesegerät besitzt, kann die Funketiketten unbemerkt auslesen - auch durch Taschen hindurch.
Auch die neuen Reisepässe sind mit RFIDChips ausgestattet. Dort ist die Sicherheit doch bestimmt höher?
Das Sicherheitsniveau der als fälschungssicher verkauften E-Pässe ist nicht sehr hoch. Die Kosten für Fälschungen dürften bei einer Auflage von 1000 Stück bei rund 1000 Euro pro Exemplar liegen. Die nötigen Transponder, Kunststoffe, Papiere und Maschinen sind auf dem Weltmarkt verfügbar und für kriminelle oder terroristische Organisationen bezahlbar. Der Millionenaufwand für den neuen Pass lohnt sich deshalb nicht, zumal pro Jahr in Deutschland bisher nur 200 bis 300 gefälschte Pässe auftauchten. Die Einführung des elektronischen Passes ist eher als Wirtschaftsförderung zu werten.
Können Fremde die Daten heimlich auslesen?
Ja. Nicht der neugierige Nachbar, aber die Organisierte Kriminalität schon. Vor kurzem dokumentierte das niederländische Fernsehen eine erfolgreiche Abhör-Attacke auf den niederländischen E-Pass. Sie haben die mit 56 Bit verschlüsselte Kommunikation zwischen Pass und Lesegerät aufgezeichnet und die Daten in wenigen Stunden dekodiert.
Auch die Verschlüsselung der deutschen Pässe ist mit entsprechender Hardware für 20- bis 25 000 Euro brechbar. Zum anderen ist der Pass ein Massenprodukt, hunderttausende Lesegeräte sind nötig. Es ist schwer zu kontrollieren, wenn eines verschwindet und von Kriminellen nachgebaut wird. Allerdings gibt es preisgünstigere Möglichkeiten wie Bestechung, um an die Daten zu kommen. Viel mehr Sorgen macht mir, dass mit dem neuen Pass biometrische Daten weltweit elektronisch vorliegen - auch in Ländern, die über schwächeren oder keinen Datenschutz verfügen. Datensammlungen wecken immer Interesse. Bisher ist auch beim neuen E-Pass keine Zugriffskontrolle vorgesehen. Bei einer Hotelbuchung sind alle Daten lesbar. Der Bürger sollte entscheiden können, wer auf welche im E-Pass gespeicherten Daten zugreifen darf.
In diesem Jahr wurde auch schon vor RFID-Viren gewarnt. Wie real ist diese Gefahr?
Sicherlich wird man eines Tages Viren einschleusen können. Auf den Transpondern lassen sich Programme installieren, das könnten auch Viren sein. Die könnten dann Logistiksysteme oder das Passwesen durcheinander bringen, Daten in Datenbanken ändern, aus dem Champagner einen 30-Cent-Joghurt machen. Doch bisher sind RFID-Systeme noch zu wenig verbreitet, das lohnt sich nicht. Ich habe noch keinen RFID-Virus gesehen und erwarte auch in den nächsten fünf Jahren keine wirkliche Gefahr.
