Wie Sensationsmache funktioniert, musste der IT-Sicherheitsfachmann Lukas Grunwald in den vergangenen Tagen erfahren. "Sicherheitsexperte führt Klonen von RFID-Reisepässen vor" titelte ein Online-Magazin und zitierte Grunwald mit den Worten, die derzeitige Architektur für elektronische Pässe sei "ein einziger Hirnschaden." Der Haken bei dieser Meldung: Das Magazin hatte mit dem Experten gar nicht gesprochen, moniert Grunwald, sondern habe nur eine englische Quelle übersetzt. Und auch die hatte einiges gründlich missverstanden. Er kann keinen Pass klonen, wie berichtet wurde, sondern die Informationen auf den dort integrierten Chips lesbar machen und kopieren. Er kann die Daten nicht verändern:
"Die Daten sind auf Grund einer elektronischen Signatur manipulationsgesichert, ohne Frage. Das heißt, ich kann nicht hingehen und kann einfach meinen Namen in dem entsprechenden elektronischen Pass ändern."
Er kann auch nicht kompletten Pass klonen, also kopieren und samt dazugehörigem RFID-Chip Dubletten erstellen. Soweit ist die gute Nachricht. Die schlechte Nachricht ist komplizierter als schnelle Schlagzeilen: Man kann auf einem gefälschten Pass einen RFID-Chip mit digital signierten gültigen Daten haben. Dann stimmen zwar Name und Bild auf dem Chip nicht mit denen überein, die auf dem Pass aufgedruckt sind. Bei einer Kontrolle ohne Personal würde das aber nicht weiter auffallen. Das Bundesamt für Sicherheit in der Informationstechnik bestreitet, dass von solchen Kopien überhaupt eine Gefahr ausgeht: Der kopierte Chip könne nicht in ein Ausweisdokument eingebracht werden und sei damit samt der zuvor ausgelesenen Daten wertlos. Diesen Einwand kann Grunwald nicht nachvollziehen. Schließlich könne man den Chip im Pass zerstören, und stattdessen die geänderte Kopie einkleben. Eine solche Fälschung von Dokumenten ist aber aus Sicht von Lukas Grunwald gar nicht die entscheidende Sicherheitslücke.
"Das nächste Problem, was ich sehe, ist dass bei dem Standard für die Reisepässe Kompromisse eingegangen worden sind - das ist nicht der Weg, wie man normalerweise IT-Sicherheit betreibt. Es gab sehr viele Länderinteressen, die in den Standard eingeflossen sind, und somit ist ein relativ unsicheres System, was dem Programmierer, der das später implementieren muss und daraus ein Passport Inspection System bauen muss, sehr viele Tretminen erzeugt, die dazu führen können, dass Malware auch in die Pass-Inspektionssysteme eingeschleust werden kann über den Kommunikationsweg RFID-Chip."
Das Problem ist aus Grunwalds Sicht also nicht das Klonen von Pässen, sondern das Austricksen der Prüfsysteme durch Computerviren, die auf veränderten RFID-Chips sitzen. Dass sich auf RFID-Chips Viren platzieren lassen, haben Forscher an der Freien Universität Amsterdam unlängst bewiesen. Studenten waren dort innerhalb weniger Tage in der Lage, Schädlinge zu programmieren, die mit dem geringen Speicherplatz auf den Chips auskommen. Ein Computerschädling könnte das System so manipulieren, dass es den Reisepass für gültig hält, ohne dass die Verschlüsselung der Daten auf dem Chip geknackt wurde.
"Wenn man sich die ganzen Schwachstellen der letzten fünf Jahre anschaut, war nur eine einzige Schwachstelle von den zigtausenden, die wir hatten, darauf basiert, dass es in der Verschlüsselung ein Problem gab. Die meisten anderen Schwachstellen haben einen Programmierfehler ausgenutzt."
Das BSI betont zwar, dass es sich keinesfalls um ein unsicheres System handelt. So ganz sicher scheint man dann aber doch nicht zu sein. Für die 2007 geplante Einführung der Speicherung von Fingerabdrücken in den deutschen Reisepässe wird nämlich eine erweiterte Zugriffskontrolle realisiert. Die arbeitet dann nicht mehr wie bisher mit beliebigen Lesegeräten zusammen. Jedes einzelne Lesegerät muss dann zertifiziert werden. Das soll ein unberechtigtes Auslesen der Daten durch Dritte verhindern. Grunwald ist auch mit einer solchen Erweiterung nicht wirklich glücklich:
"Die erweiterte Access Control stellt sicher, dass meine biometrischen Daten dann auch nur von den Ländern gelesen werden können , die auch eine Erlaubnis dazu bekommen, wo man gegenseitig sich das Recht einräumt, Daten gegenseitig zu lesen und auswerten zu können. Das Problem ist aber, es wird dadurch noch komplizierter, wir haben dann PKI-Strukturen, die auch schon in der freien Wirtschaft überall versagt haben und diese PKI-Strukturen werden zusätzlich auf das System aufgebracht."
"Die Daten sind auf Grund einer elektronischen Signatur manipulationsgesichert, ohne Frage. Das heißt, ich kann nicht hingehen und kann einfach meinen Namen in dem entsprechenden elektronischen Pass ändern."
Er kann auch nicht kompletten Pass klonen, also kopieren und samt dazugehörigem RFID-Chip Dubletten erstellen. Soweit ist die gute Nachricht. Die schlechte Nachricht ist komplizierter als schnelle Schlagzeilen: Man kann auf einem gefälschten Pass einen RFID-Chip mit digital signierten gültigen Daten haben. Dann stimmen zwar Name und Bild auf dem Chip nicht mit denen überein, die auf dem Pass aufgedruckt sind. Bei einer Kontrolle ohne Personal würde das aber nicht weiter auffallen. Das Bundesamt für Sicherheit in der Informationstechnik bestreitet, dass von solchen Kopien überhaupt eine Gefahr ausgeht: Der kopierte Chip könne nicht in ein Ausweisdokument eingebracht werden und sei damit samt der zuvor ausgelesenen Daten wertlos. Diesen Einwand kann Grunwald nicht nachvollziehen. Schließlich könne man den Chip im Pass zerstören, und stattdessen die geänderte Kopie einkleben. Eine solche Fälschung von Dokumenten ist aber aus Sicht von Lukas Grunwald gar nicht die entscheidende Sicherheitslücke.
"Das nächste Problem, was ich sehe, ist dass bei dem Standard für die Reisepässe Kompromisse eingegangen worden sind - das ist nicht der Weg, wie man normalerweise IT-Sicherheit betreibt. Es gab sehr viele Länderinteressen, die in den Standard eingeflossen sind, und somit ist ein relativ unsicheres System, was dem Programmierer, der das später implementieren muss und daraus ein Passport Inspection System bauen muss, sehr viele Tretminen erzeugt, die dazu führen können, dass Malware auch in die Pass-Inspektionssysteme eingeschleust werden kann über den Kommunikationsweg RFID-Chip."
Das Problem ist aus Grunwalds Sicht also nicht das Klonen von Pässen, sondern das Austricksen der Prüfsysteme durch Computerviren, die auf veränderten RFID-Chips sitzen. Dass sich auf RFID-Chips Viren platzieren lassen, haben Forscher an der Freien Universität Amsterdam unlängst bewiesen. Studenten waren dort innerhalb weniger Tage in der Lage, Schädlinge zu programmieren, die mit dem geringen Speicherplatz auf den Chips auskommen. Ein Computerschädling könnte das System so manipulieren, dass es den Reisepass für gültig hält, ohne dass die Verschlüsselung der Daten auf dem Chip geknackt wurde.
"Wenn man sich die ganzen Schwachstellen der letzten fünf Jahre anschaut, war nur eine einzige Schwachstelle von den zigtausenden, die wir hatten, darauf basiert, dass es in der Verschlüsselung ein Problem gab. Die meisten anderen Schwachstellen haben einen Programmierfehler ausgenutzt."
Das BSI betont zwar, dass es sich keinesfalls um ein unsicheres System handelt. So ganz sicher scheint man dann aber doch nicht zu sein. Für die 2007 geplante Einführung der Speicherung von Fingerabdrücken in den deutschen Reisepässe wird nämlich eine erweiterte Zugriffskontrolle realisiert. Die arbeitet dann nicht mehr wie bisher mit beliebigen Lesegeräten zusammen. Jedes einzelne Lesegerät muss dann zertifiziert werden. Das soll ein unberechtigtes Auslesen der Daten durch Dritte verhindern. Grunwald ist auch mit einer solchen Erweiterung nicht wirklich glücklich:
"Die erweiterte Access Control stellt sicher, dass meine biometrischen Daten dann auch nur von den Ländern gelesen werden können , die auch eine Erlaubnis dazu bekommen, wo man gegenseitig sich das Recht einräumt, Daten gegenseitig zu lesen und auswerten zu können. Das Problem ist aber, es wird dadurch noch komplizierter, wir haben dann PKI-Strukturen, die auch schon in der freien Wirtschaft überall versagt haben und diese PKI-Strukturen werden zusätzlich auf das System aufgebracht."