Fingerabdruckscanner ist unsicher

Reisepass: Hacker können Schwachstellen ausnutzen

[wiso.zdf.de] Mehr Sicherheit – das war das Argument für den elektronisch lesbaren Reisepass. Auf einem Chip sind zum Passfoto auch zwei Fingerabdrücke gespeichert. Doch die Übertragungstechnik ist nicht sicher, Hackern bieten sich Angriffsmöglichkeiten, und auch der Bundesdatenschutzbeauftragte ist besorgt.
 
Eine Situation, mit der jeder Bundesbürger konfrontiert ist: Beim Antrag für den neuen Reisepass müssen alle Deutschen ihren Fingerabdruck abgeben. Gunnar Porada hat diese Prozedur hinter sich und entdeckt: Die Daten sind nicht ausreichend geschützt. Der Computer-Sicherheitsexperte, der professionell Unternehmen auf Schwachstellen in ihren Netzwerken überprüft, könnte ohne großen Aufwand in den Behördenrechner eindringen, die Fingerabdrücke mitlesen und manipulieren.
 
Diebstahl der Identität

Kriminellen bieten sich dadurch ungeahnte Möglichkeiten: "Letztlich hebeln wir damit die Sicherheit aus, die wir uns eigentlich mehr erhoffen durch die Fingerabdrücke", sagt Porada: "Wenn ich selber ein Schwerkrimineller wäre, könnte ich meine Fingerabdrücke im Reisepass von einer mir ähnlich aussehenden Person eintragen. Dann könnte ich mit seinen Daten reisen, ich würde seinen Namen und Identität annehmen, würde somit an allen Grenzposten vorbeikommen."
 
So funktioniert der Angriff: Die Fingerabdrücke werden vom Lesegerät an den Behördencomputer übertragen – unverschlüsselt: eine entscheidende Schwachstelle. Der Hacker schleust, etwa übers Internet oder mittels eines präparierten Datenträgers, einen Trojaner, ein speziell entwickeltes Schadprogramm, in den Behördenrechner ein und kann dann die Fingerabdrücke mitlesen und manipulieren.

Scheinbare Sicherheit

Sicherheitslücken in Behördenrechnern seien, wie bei allen Computern, nicht die Ausnahme, erklärt Gunnar Porada: "Die Meldeamtscomputer sind online und wie alle Computer auch des Öfteren von Schwachstellen betroffen, die einfach nicht geschützt werden können. Das heißt: Diese Computer kann man angreifen."

Zuständig für die Zulassung der Fingerabdruckscanner, die zu Zehntausenden in deutschen Meldeämtern stehen, ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, in Bonn. Auf Nachfrage von WISO heißt es aber, es gehe bei der Prüfung nicht um Sicherheit, sondern nur um die Bildqualität: "Die Zertifizierung der Fingerabdruckscanner durch das BSI bezieht sich auf die Einhaltung (…) der notwendigen Bilderfassungseigenschaften." Und: "Für den Schutz dieser Rechner sind die Meldebehörden verantwortlich."
 
Alte und neue Methode

Der Chaos Computer Club (CCC) hat schon 2007 das Verfahren des Fingeabdruckscanners getäuscht: Damals mit einem nachgebauten Fingerabdruck mit Materialien aus dem Baumarkt. Neu ist diese, von WISO berichtete Methode: Der Fingerabdruck wird vom Bürger normal abgegeben und vom Lesegerät an den Behördencomputer übertragen. Dies geschieht jedoch unverschlüsselt. Hier kann mit einem Trojaner, der über das Internet oder mittels eines präparierten Datenträgers in das Behördensystem eingeschleust wurde, die Fingerabdrücke manipuliert werden können.
 
Datenschützer schlagen Alarm

Deutschlands oberster Datenschützer Peter Schaar sieht die Gefahr, dass die Informationen in falsche Hände geraten. Seine Forderung: Mehr Sorgfalt in den Behörden: "Wenn der Staat zusätzliche Daten von seinen Bürgern erhebt, dann muss er auch dafür sorgen, dass diese Daten ausreichend gesichert sind: Gegen Missbrauch intern, also durch eigene Mitarbeiterinnen und Mitarbeiter, aber auch gegen externe Hacker – und das wird bisweilen vernachlässigt."

Dabei hatte die Bundesregierung versprochen, mit dem neuen Verfahren zur Erstellung des elektronisch lesbaren Reisepasses werde alles besser, die Sicherheit gestärkt.

Doch weit gefehlt: Datenschützer Schaar sieht keinen Fortschritt bei der Sicherheit, obendrein seien die Informationen nicht ausreichend geschützt, obwohl sie zunehmend sensible Personendaten enthalten, kritisiert der Datenschutzbeauftragte: "Der Bund macht die Gesetze, das gilt zumindest für die elektronischen Reisepässe, die Kommunen müssen das umsetzen, aber da ist häufig nicht das Know-how und das Geld vorhanden, um einen gewissen Sicherheitsstandard zu gewährleisten."
 
Blindes Vertrauen

Ein gewisser Sicherheitsstandard wäre aber nötig angesichts der Daten, die von jedem Bürger gesammelt werden – nicht nur beim Reisepass und dem neuen elektronischen Personalausweis.

Die Folgen können enorm sein, denn Kriminelle müssten die Informationen nur noch einsammeln, fürchtet Sicherheitsexperte Gunnar Porada: "Ich habe eigentlich grundsätzlich als ordentlicher Staatsbürger keine Bedenken, wenn man mich überprüft. Das Problem, das ich sehe, ist, dass das Missbrauchspotenzial enorm steigt. Wenn meine Daten manipuliert werden in einem Computer oder beim Reisepass, habe ich kaum noch Chancen zu beweisen, dass ich es nicht war, dass ich unschuldig bin, weil man den Geräten und den gespeicherten Informationen mehr vertraut.

Daten verschlüsseln

Das Problem, dass die Fingerabdrücke manipulierbar sind, lässt sich nach Ansicht des Experten lösen, etwa durch eine verschlüsselte Datenübertragung vom Scanner bis zum fertigen Reisepass. Das fordert auch der Bundesdatenschutzbeauftragte: "Ich plädiere dafür, dass die Daten vom Anfang bis zum Ende verschlüsselt werden, das heißt auch schon bei der Übertragung vom Fingerabdruckscanner zum Computer der Meldebehörde und dann weiter – das ist allerdings schon gewährleistet – zur Bundesdruckerei."

Das BSI ist da allerdings skeptisch, weil die Meldebehörden die Qualität der Fingerabdrücke nur bei unverschlüsselter Übertragung überprüfen könnten: "Da die Fingerabdrücke (…) am Arbeitsplatz in der Pass- bzw. Personalausweisbehörde verarbeitet werden müssen, ist eine Verschlüsselung nicht möglich."

Die Quittung für – vermeintlich – mehr Sicherheit zahlt jetzt schon der Bürger: 59 Euro kostet inzwischen der Standard-Reisepass – sensible Daten inklusive. Besorgnis erregend: Auf dem neuen Personalausweis sollen ab Ende 2010 noch mehr Daten gespeichert werden – natürlich auch die Fingerabdrücke.

von Sven-Hendrik Hahn

Source: http://wiso.zdf.de/ZDFde/inhalt/9/0,1872,7510025,00.html