[heise.de] Vertreter des Chaos Computer Clubs (CCC) haben mehrere Wege vorgestellt, wie die gesetzliche Verpflichtung zur Abgabe von Fingerabdrücken für den elektronischen Reisepass
zu umgehen ist. "Fingerabdruckattrappen funktionieren wunderbar",
verwies der Hacker "starbug" am gestrigen Montagabend auf Schwächen bei
der Erfassung der biometrischen Merkmale auf den Meldeämtern. Die zwei
bei den Behörden eingesetzten Scannertypen würden zwar inzwischen sehr
genaue Bilder liefern, führte der Sicherheitsexperte auf dem 25. Chaos
Communication Congress (25C3) in Berlin aus. Man könne sich aber problemlos etwa die vom CCC veröffentlichten Fingerabdrücke
von Bundesinnenminister Wolfgang Schäuble (CDU) in Folienform auf die
eigenen Kuppen kleben und diese so in den Pass schleusen.
Künftig sei es auch machbar, sich den Schäuble-Abdruck zudem in den
Personalausweis zu packen, ergänzte CCC-Sprecherin Constanze Kurz. Sie
spielte damit auf die Möglichkeit an, gemäß dem Beschluss
des Bundestags zur Änderung des Personalausweisgesetzes freiwillig zwei
Fingerabdrücke in das geplante neue elektronische Dokument mit
kontaktlos auslesbarem Chip aufnehmen zu lassen. "Man braucht ja
Sicherheitskopien", betonte Kurz süffisant. Rund 5000 der
"Schäubletten" habe der CCC seit Ende März bereits unters Volk
gebracht. Es habe aber auch bereits Leute gegeben, die es mit einem
Zehabdruck auf den Meldeämtern probiert hätten und damit ebenfalls
durchgekommen seien. Man müsse da "nur locker rangehen" und sich
angesichts der "Veralltäglichung der biometrischen Techniken" selber
schützen. Eine Bußgeldbewehrung fahrlässigen Verhaltens bei der
Erfassung der biometrischen Merkmale sei gesetzlich nicht vorgesehen.
Mitglieder des Hackervereins begleiteten laut starbug zudem eine
Person, die sich auf alle zehn Finger eine Schicht Sekundenkleber
aufgeklebt hatte. Die Fingerabdruckerfassung in einer Meldestelle habe
so auch nach einem dreimaligen Neustart des Systems nicht funktioniert.
Auch bei einem anderen mit einem Sensor ausgerüsteten Arbeitsplatz habe
sich auch kein Erfolg bei der Fingerabdruckabnahme eingestellt. Der
gerufene Amtsvorsteher habe den Probanden daraufhin aufgefordert, sich
die Hände zu waschen, was den Klebstoff allerdings auch nicht abgelöst
habe. Nach der Angabe des Passantragstellers, mit Chemie zu tun zu
haben und mit Säuren zu arbeiten, sei ihm die Unmöglichkeit der
Erfassung von Fingerabdrücken bestätigt worden.
Ein Abgleich der biometrischen Merkmale etwa an der Grenze
funktionierte bei vergleichbaren Manipulationen natürlich nicht,
beschrieb Kurz die zu erwartenden Konsequenzen des zivilen Ungehorsams.
Die Erkennungsraten dürften insgesamt aber nicht sonderlich hoch sein,
sodass man nicht groß auffallen werde. Natürlich sei es ferner möglich,
den Funkchip im Pass zu deaktivieren. Das Dokument in die Mikrowelle zu
legen, empfehle sich aber nicht, da dies erwiesenermaßen Brandflecken
hinterlasse. Die Hacker empfehlen daher den Einsatz eines in wenigen
Minuten selbst zusammenlötbaren RFID-Zappers. Zugleich betonen sie, dass der Pass [–] oder später der E-Perso [–] weiter gültig bleiben würden.
Generell erwarten die CCC-Vertreter große Sicherheitsprobleme beim
Ausweisdokument der nächsten Generation, das von November 2010 an gegen
eine noch nicht feststehende Gebühr ausgegeben werden soll. Da dieses
optionale Funktionalitäten wie ein Zertifikat für die elektronische
Authentisierung gegenüber Behörden oder Unternehmen für
Online-Anwendungen enthalte, werde der auch für die Speicherung eines
biometrischen Gesichtsbilds und der optionalen Fingerabdrücke
eingesetzte Chip von tausenden Meldeämtern und Botschaften beschreibbar
sein. "Das macht das gesamte Konzept von vornherein kaputt", warnte
starbug. Vielfach Schwierigkeiten hervorrufen dürfe zudem die
sechsstellige PIN für die Aktivierung des "Internetausweises", da sich
eine so lange Ziffernfolge kaum jemand merken könne.
Mit Interesse beobachtet haben die Hacker, dass der neue
Personalausweis eine Vorderseite eine weitere vierstellige offene PIN
enthalten soll. Mit dieser wolle man gewährleisten, dass die Daten von
der maschinenlesbaren Zone auf der Rückseite auch dann ausgelesen
werden können, falls der Inhaber die "Geheimziffer" nicht preisgeben
wollte. Noch zu testen sei aber, was passiere, wenn die Nummer mit
einem Edding übermalt werde. Problematisch erscheint dem CCC ferner die
Reduzierung des Ausweisformats auf Scheckkartengröße, da damit die
bisherigen Passfotos nicht mehr in die Schablone passen würden.
Fotografen seien schon jetzt beim Reisepass dazu übergegangen, die
Gesichtsbilder digital an die amtlichen Vorgaben anzupassen, was die
biometrische Erkennbarkeit aber erschwere. Keine gute Idee sei es
zudem, den Ausweis noch mit einer teuer gesondert zu ordernden
qualifizierten digitalen Signatur überfrachten zu wollen, da die in
Frage kommenden überschaubaren Anwenderkreise bereits gesonderte Karten
dafür hätten.
Noch mehr als beim Pass geht es nach Ansicht von Kurz beim E-Perso
vor allem um Industriepolitik. Die Wirtschaft solle Lesegeräte
verkaufen und die erforderlichen Infrastrukturen aufbauen können. Es
sei wenig verwunderlich, dass Biometriefirmen wie Dermalog ihre Umsätze
zu "99 Prozent" im Regierungsbereich machen würden. Die Gesamtkosten
auch für den Reisepass seien derweil weiter unklar. Um die Bedenken der
Bevölkerung gegen die biometrische Kontrolle zu erhöhen, will der CCC
im kommenden Jahr zur Unterzeichnung kritischer Petitionen an die
Politik aufrufen.(Stefan Krempl)
(as/c’t)
Quelle: heise.de