Heise Medien Gruppe  


Über uns   
Produkte   
Nachrichten   
Presse-Service   
Presse-Informationen
  aktuell
  c't
  iX
  Technology Review
  Telepolis
  heise online
  Telefonbücher
  Verlag Heinz Heise
  Heise Zeitschriften Verlag
  Heise Medien Gruppe
  heise-marktplatz
c't-Hörfunkservice
Bilder & Vitae
Multimedia
Presse-Abo
Ansprechpartner
  
Beruf & Karriere   
Kontakt   
Impressum   

 
  

IT-Profimagazin iX über den neuen Reisepass

ePass birgt Sicherheitsrisiken

 Titelbild der iX-Ausgabe 11/2006

Hannover, 11. Oktober 2006 - Der neue biometrische Reisepass soll einen Höchststand an Fälschungssicherheit bieten, so die Verantwortlichen. Doch sein Standardwirrwarr, die komplexe Architektur und ein unausgereift wirkendes Konzept sind alles andere als vertrauenerweckend, schreibt das IT-Profimagazin iX in der aktuellen Ausgabe 11/2006.

Der neue elektronische Reisepass enthält neben den klassischen Sicherheitsmaßnahmen einen RFID-Chip, in dem die Daten des Passinhabers einschließlich einer digitalisierten Version seines Lichtbilds gespeichert sind. Diese Informationen, die mit einem speziellen Lesegerät ausgelesen werden, dienen Grenzbeamten zur Überprüfung der Identität des Reisenden.

Verschiedene Verschlüsselungsfunktionen sollen das unberechtigte Auslesen der Passdaten verhindern. Allerdings bietet diese kryptografische Basissicherheit nur wenig Schutz: Denn der Name des Eigentümers, der Geburtstag und die Dokumentennummer reichen aus, um den Pass auszulesen. Diese Informationen, die in der zweiten Zeile der maschinenlesbaren Zone aufgedruckt sind, sind keineswegs geheim. Nicht nur der Inhaber, auch beispielsweise jedes Hotel oder jede Bank, die zur Sicherheit beim Geldabheben gelegentlich die Ausweisnummer in ihrem System hinterlegt, kennen diese Daten. Alle weiteren erforderlichen Informationen stehen in den Stammdaten. So könnten letztlich Unbefugte einen Schlüssel generieren.

Fehlende erprobte Standards in der Verschlüsslung sorgen für ein weiteres Problem: So werden die Daten zunächst ohne Sicherung ausgelesen und müssen zur Überprüfung erst einmal durch einen Mischmasch aus Standard- und proprietären Verfahren auseinandergenommen werden. Dadurch entsteht eine hohe Anfälligkeit für Trojaner, die das Dokument beispielsweise als "gültig" ausgeben könnte.

Dass man die Daten des neuen ePasses auch klonen kann, demonstrierte iX-Autor Lukas Grunewald eindrucksvoll im Sommer dieses Jahres auf der Sicherheitskonferenz Black Hat. Er zeigte, wie man die Daten mit einem selbst entwickelten Werkzeug auslesen, kopieren und auf einen anderen Chip übertragen kann.

"All diese Sicherheitslücken sind jedoch nur ein Aspekt beim ePass", sagt iX-Redakteurin Ute Roos und verweist auf Biometrie-Probleme wie fehlerhafte Erkennungen. (ur)

Bildmaterial: Das Titelbild der aktuellen iX-Ausgabe 11/2006 steht zum Download bereit.

Ihre Ansprechpartnerin für Rückfragen

Sylke Wilde
Heise Medien Gruppe
Presse- und Öffentlichkeitsarbeit
Telefon: +49 [0] 511 5352-290
Telefax: +49 [0] 511 5352-563
sylke.wilde@heise-medien.de

[Version zum Drucken] 		  

Heise Logo

© 2012 Heise Medien Gruppe GmbH & Co. KG