RFID-Reisepass - Schwachpunkt Ausstellungsprozedere - bis zu 5.000 "verlorene" Pässe könnten pro Jahr illegal gehandelt werden - Chip entgegen den Beteuerungen auslesbar - auch Klonen möglich - Vorbereitung für flächendeckende Überwachungsmaßnahmen

RFID-Pässe sind innnerhalb der EU bereits in Großbritannien, Deutschland, Griechenland, den Niederlanden, Schweden, Dänemark, Belgien, Frankreich, Portugal, Solvenien und in Österreich in Verwendung, in anderen Ländern werden sie demnächst eingeführt. Begründet wird die teure Umrüstung durch eine erhöhte Fälschungssicherheit der Pässe. Dazu mehren sich jedoch die Zweifel.

Bis jetzt sind auf den Chips der ausgegebenen Pässe die persönlichen Daten, die auch im Reisepass abgedruckt sind, ein Bild im JPG-Format und technische Daten zur Identifikation des RFID-Chips gespeichert, das Hinzufügen des Fingerabdrucks ist jedoch weiter in Planung.

In Großbritannien werden biometrische Pässe ab Oktober verpflichtend eingeführt. Den Bürgern werden die Pässe gleichermaßen aufgezwungen, mit der Begründung mit Hilfe der Chips könne man Menschen eindeutig und unverwechselbar identifizieren und so die Spreu (die potentiellen Terroristen) vom Weizen (den restlichen Bürgern) trennen.

Eine naive Vorstellung, zeigten doch bisherige Terroranschläge, dass der operative Teil von Personen ausgeführt wurde, die entweder bislang unbescholten waren und daher weder in einer Täterdatenbank enthalten waren und es nicht notwendig hatten einen Pass zu fälschen. Im Regelfall war für die Begehung der Taten gar kein Pass notwendig, da die Tat von Inländern im Inland verübt wurde, wie etwa bei den britischen Anschlägen.

Schwachpunkt Ausstellung

Konnte man bisher bei der Ausstellung eines Reisepasses quasi zuschauen, ist das in Zukunft nicht mehr der Fall. Bisher hatte der Gemeindebeamte Identitätsprüfung, Prüfung allfälliger Urkunden, Datenerfassung und Passdruck im Beisein des Antragstellers erledigt. Damit konnten einerseits Ausstellungsirrtümer, andererseits auch Missbrauchsmöglichkeiten reduziert werden.

In Zukunft wird dieses Prozedere in viele Detailschritte aufgeteilt, bei denen die nachfolgende Stelle nicht mehr prüfen kann, ob alle Angaben korrekt sind. Der Gemeindebeamte macht weiterhin die Datenerfassung auf Grund der vorgelegten Unterlagen. Ein Beamter im Innenministerium "prüft" die Daten auf Plausibilität, kann aber nicht mehr die Identität des Antragstellers feststellen. Der Angestellte in der Staatsdruckerei "prüft" zwar die korrekte Herkunft der Daten vom BMI, kann aber weder die Identität, noch die Daten auf Plausibilität prüfen. Der Pass wird per Post (Rsa) zugestellt, der Postbedienstete "prüft" zwar die Identität des Empfängers auf Grund der Angaben am Brief, kann aber nicht feststellen, ob der übermittelte Pass mit der Identität des Empfängers übereinstimmt.

Schwachstelle 1: Der Gemeindebeamte kann fehlerhafte Daten (irrtümlich oder vorsätzlich) in das BMI-System eingeben.

Schwachstelle 2: Die BMI-Beamte (und zwar alle die Zugang zum Passwesen haben) kann Teile oder den ganzen Datensatz verändern (etwa Bilder austauschen) oder überhaupt neue Datensätze in das System einspielen. Der Abgleich mit den Meldedaten, der hier vorgenommen wird, ist keine wirkliche Sicherheit, sind doch noch immer bis zu zwei Millionen falsche Meldedaten eingetragen und ist es relativ leicht Phantommeldedaten einzuspeisen. Hier liegt die größte Schwachstelle des Systems. Hier könnten korruptionsanfällige Beamte rasch Ziel organisierter Kriminalität werden. Im Gegensatz zu der früher möglichen Korruption eines Gemeindebeamten, wären die neuen Korruptionsfälle wesentlich schwerer aufzudecken und zu lokalisieren.

Schwachstelle 3: Abfertigung

Beim Verschicken der Pässe können Rsa-Kuverts und Pässe (absichtlich oder unabsichtlich) vertauscht werden.

Schwachstelle 4: Zustellung

Pässe können, wiederum absichtlich oder unabsichtlich bei der Zustellung verloren gehen. "Eigenhändige Schriftstücke" gehen bis zu 20% verloren oder werden einer falschen Person ausgehändigt. Nicht jeder falsch ausgehändigte Pass verschwindet in dunkeln Kanälen, meist sind es Familienmitglieder, die die Post übernehmen, aber selbst ein niedrig geschätzter Wert von 1% würde bei rund 500.000 jährlich ausgestellten Pässen die sagenhafte Zahl von 5.000 verlorenen Pässen. Wäre die Zahl nur ein Zehntel dieses Schätzwertes, dann wären mit jährlich 500 unerwünscht um Umlauf befindlichen Pässen die Fälschungsrate der alten Pässe der letzten 10 Jahre erreicht. In einem einzigen Jahr! Selbst wenn der Pass nicht verfälscht werden kann, dürften sich in einem funktionierenden Schwarzmarkt rasch genügend Personen finden, die mit etwas Kosmetik und Haarteilen den Bildern genügend ähnlich schauen.

Auch wenn ein Verlust erkannt und gemeldet wird, bleibt der Pass im Umlauf und ist außerhalb Österreichs nicht als ungültiger Pass erkennbar.

Zweifel an der erhöhten Fälschungssicherheit

Allgemein wird versichert die Chips wären für Unbefugte garantiert unzugänglich da sie nur über Distanzen von einigen wenigen cm auslesbar, und darüber hinaus verschlüsselt wären. Diese Behauptung ist schlichtweg falsch.

Bereits im Juli 2005 wurden in Holland die ersten RFID-Pässe geknackt.

Chip sind aus größerer Entfernung auslesbar

Holländschen Sicherheitsexperten ist es im Jänner diese Jahres gelungen, Informationen aus den neuen Pässen über eine Distanz von knapp 9 Metern auszulesen und zu entschlüsseln. Die allgemein verbreitete Behauptung, die Chips wären nur über Distanzen von einigen Zentimetern auslesbar, da die Chips selbst zu schwach seien kann nicht länger aufrechterhalten werden. Die kurze Distanz über die Chips angeblich nur auslesbar seien bezieht sich vielmehr auf die schwachen Signale die die Lesegeräte der Behörden üblicherweise aussenden. Kriminelle mit anderen Lesegeräten, die stärkere Signale aussenden können, haben andere Möglichkeiten.

Clonen von RFID-Pässen - einfacher als man denkt

Im August 2006 präsentiert der deutsche Sicherheitsexperte Lukas Grunwald bei der Black Hat Konferenz in Las Vegas einen geklonten RFID Pass, der mit einer einfachen Ausrüstung um ca. 200 EUR hergestellt wurde. Der geklonte Pass war ICAO (Internationsl Civil Aviation Organisation) konform, er entsprach also dem allgemein anerkannten Standard, für EU-Pässe, ab Oktober auch für die neuen amerikanischen Pässe. Der geklonte Pass war vom Original nicht zu unterscheiden.

RFID Datenbanken sind besonders gefährdet

Einer der ersten Berichte über eine lahmgelegte RFID Datenbank, die höchstwahrscheinlich Hackern zum Opfer gefallen war, inspirierte das holländische Forscherteam Rieback, Crispo und Tanenbaum zu seiner bahnbrechenden Arbeit über RFID-Viren.

Beobachtet wurde eine sonderbare Störung einer RFID Datenbank, für die vorerst kleine Erklärung gefunden werden konnte. Die Systemverantwortichen einer RFID Anwendung zum Identifizieren von Haustieren bemerkten eines Tages ein sonderbares Fehlverhalten der gesamten Anwendung. Zuerst schein das RFID Lesegerät falsche Tieradressdaten anzuzeigen, später verdichtete sich der Verdacht, dass zahlreiche Daten der RFID Tags aus dem System gelöscht wurden, bis der Computer schließlich völlig blockiert war und nur noch eine einzige unheilverkündende Botschaft auf dem Schirm erschien "All your pet belong to us". Hatte es sich dabei um eine Hackerattacke gehandelt? War es den Angreifern wirklich gelungen über ein infiziertes Tag einen Virus Back-End in die Datenbank zu schleusen?

Die Sicherheitsexperten der Universität Amsterdam die sich intensiv mit mit dem Problem von Hacking, Viren und Würmern im Zusammenhang mit RFID Systemen beschäftigten fanden Anfang 2006 eine mögliche Erklärung für diesen Vorfall.

Bei der vierten IEEE PerCom (Pervasive Computing and Communications) Jahreskonferenz präsentierten sie ihre Ergebnisse.

Der erste sich selbst reproduzierende RFID Virus wurde Anfang dieses Jahres der interessierten Öffentlichkeit vorgestellt. Eine Demonstration über die Arbeitsweise des Virus, der aus 127 Zeichen bestand, mit detaillierten Beschreibungen wie es möglich ist RFIF Tags nicht nur mit einem Virus zu infizieren, sondern diesen auch in die dahinterstehnde Datenbank einzuschleusen, sollten die verbreiteten Theorien von der Unverwundbarkeit der RFID Datenbanken widerlegen.

Der Source Code der RFID Middleware-Systeme (Schnittstellen für Lesegeräte, Server und dahinter stehende Datenbanken) weist wie die Experten gezeigt haben, genügend Lücken auf, die Angreifer ausnutzen könnten.

Eine weitere Schwachstelle, von RFID ist der Aufbau neuer Systeme auf bestehende Internetinfrastruktur und Protokolle. Man spart zwar vordergründig Kosten, übernimmt jedoch gleichzeitig bekannte Sicherheitsrisken.

Die Datenbanken im Hintergrund, die Schlüsselfunktionen der meisten RFID Systeme übernehmen, sind nicht vor kriminellen Attacken gefeit. Die Attacken sind umso wahrscheinlicher weil sie im Bereich RFID bis jetzt kaum vermutet werden argumentieren die Experten.

Sinnloses Hochrüsten auf Kosten der Bürger

Während westiche Regierungen weiter auf RFID-Pässe und deren Erweiterungen (Biometrische Daten wie Fingerabdrücke usw.) setzen, arbeiten Sicherheitsexperten aber auch Kriminelle an deren Kompromittierung. Dem Bürger werden technische Lösungen aufgezwungen die nachweisbar zum Zeitpunkt der Einführung nicht mehr sicher sind. Dafür häufen sich die Angebote aus der Wirtschaft für zusätzliche kostspielige Geräte, die die Schwachstellen der neuen Pässe ausgleichen sollen. So haben zum Beipiel die Forscher der Universität Amsterdam ein Anti-RFID Gerät entwickelt das vor Datendieben warnen soll. Dieses Gerät, der RFID Guardian ist ein PDA Gerät, das piepst sobald ein aktiver RFID Skanner in der Nähe gefunden wird. Die Verantwortung für Datendiebstahl könnte so leicht auf den einzelnen Bürger abgeschoben werden. Nachdem die Verwundbarkeit der RFID-Pässe allgemein bekannt ist, könnte man argumentieren, dass einer der, weitere Zusatzkosten scheut und sich nicht vor Missbrauch schützt, fahrlässig handelt und daher selber schuld ist falls etwas passiert.

Wem nützen diese Pässe?

Abgesehen von populistischen und emotionalen Effekten (Stichwort "Erhöhung des Sicherheitsgefühls") sind die Pässe für flächendeckende Screeningmaßnahmen nützlich. So wird es nur eine Frage der Zeit sein, bis die nächsten Schritte der Überwachungsspirale greifen. Zuerst wird das Mitführen eines mit RFID-Chip ausgestatteten Personaldokuments Pflicht werden, dann werden durch Schwerpunktaktionen, vergleichbar den Planquadrataktionen der Wiener Linien gegen Schwarzfahrer Straßenzüge, öffentliche Plätze oder Lokale kontrolliert und die angetroffenen Personen werden erfasst. Rasch werden auch Ämter dazu übergehen Besucher automatisiert zu erfassen, was die Begehrlichkeiten der Wirtschaft wecken wird, die gleiches für sich verlangen wird.

Argumentieren kann man jede dieser Maßnahme mit "erhöhter Sicherheit", "vorgehen gegen Drogendealer" oder "Schutz vor gewalttätigen Übergriffen".

Heute müssen die Pässe manuell gelesen werden, d.h. ein Beamter muss den Pass in die Hand nehmen, einen Code eingeben und über eine Lesezone führen. Rasch wird man feststellen, dass das manuelle Lesen der Pässe zu teuer, zu personalintensiv und zu langsam ist. Letztlich wird auch der Unmut der Menschen über die Anhaltungen, Verzögerungen und das oftmalige Vorzeigen des Passes dazu führen, dass ein Lesen des Passes, ohne ihn gesondert vorlegen zu müssen, eingeführt wird. Mit den üblichen Argumenten der "erhöhten Bequemlichkeit für alle, die nichts zu verbergen haben". Um den Preis, dass auch unbemerktes Auslesen, wie heute die verdeckte Videoüberwachung, möglich sind. Schon heute werden berührungslose Zutrittskontrollsyssteme in Firmen mit dem Bequemlichkeitsargument verkauft.

Damit ist dann zwar ein System geschaffen worden, dass "alle die etwas zu verbergen haben" zwar weiterhin leicht umgehen können und der Terrorismus wird damit nicht bekämpft werden, aber über viele Menschen wird man Bewegungsprofile anlegen können. Betriebsspionage wird dann ebenso leichter sein, wie etwa das Nachvollziehen, mit wem und wo Rechtsanwälte oder Journalisten Kontakte hatten.

Dass diese Perspektive nicht reine Phantasie ist, zeigen die Screening-Ambitionen im Zusammenhang mit dem genetischen Fingerabdruck (DNA-Analyse). Während in Deutschland nach bestimmten Delikten ganze Bevölkerungsgruppen wahllos einem DNA-Test unterzogen werden, wird in Österreich die Forderung erhoben, gleich von jedem Säugling (derzeit nur männlich) eine DNA-Analyse zu machen, denn so die umwerfende, und in ihrer Menschenverachtung nicht widerlegbare Logik, aus den Säuglingen werden ja einmal Männer und von denen begehen ja einige Sexualdelikte.