E-Passport der Amerikaner legt Daten auf den Präsentierteller

EnterpriseSicherheit

Der digitale Personalausweis macht sich auch in Deutschland auf den Weg. Er soll sich an den Richtlinien der amerikanischen Luftfahrtbehörde orinetieren. Erste Tests mit richtlinienkonformen Pässen gerieten zum Fiasco.

Der elektronische Pass, den die USA aus Anti-Terror-Gründen als künftige Identifikation favorisieren, funkt persönliche Daten querbeet. Weil eine Verschlüsselung des persönlichen Datensatzes nicht in den Spezifikationen vorgeschrieben ist, fehlt sie meistens auch, und so lassen sich die Informationen auf dem Weg von der Chipkarte zum Lesegerät abfangen.
Das haben Tests des ‘National Biometric Security Project’ ergeben. Die Mitarbeiter waren beauftragt, die Interoperabilität der verschiedenen angebotenen Geräte zu testen. Dass es nicht nur an der Heterogenität mangelt sondern auch Sicherheitslücken bestehen, hatte man wohl vorher nicht gerechnet. Der zuständige Vertreter von Infineon vor Ort – das Unternehmen versorgt das Konzept mit den entsprechenden Chips – spielte das Problem herunter. In der US-Presse wird Jörg Borchert zitiert mit den Worten: “Die meisten neuen Technologien haben am Anfang ihre Schwierigkeiten gehabt. Die Tests haben die Probleme aufgezeigt und wir können jetzt die Details ausarbeiten.” USB, Ethernet und Firewire hätten auch erst reifen müssen.

Kritiker sehen da noch ordentliche Nachbearbeitung nötig, bevor der elektronische Pass eingeführt werden kann. Es gehe eben nicht nur um die Interoperabilität. Beim Funkvorgang zwischen dem Chip und dem Lesegerät ist es laut US-Medienberichten möglich, auf eine Distanz von rund neun Metern Daten abzufangen. Das liegt wohl hauptsächlich daran, dass der Standard des zuständigen Gremiums ICAO (International Civil Aviation Organization) keine Verschlüsselung der persönlichen Daten vorschreibt. Dort vertraut man darauf, dass sich mit Hilfe der digitalen Signatur basierend auf dem PKI-Verfahren (Public Key Infrastructure) der nötige Schutz herbeiführen lässt.

Die Befürchtungen der Gegner des E-Passports in der derzeitigen Form sind vor allem folgende: das Ministerium für Heimatschutz, das den Pass wegen der Terrorgefahr einführen will, habe selbst wenig Ahnung von den Technologien und überlässt das Thema den Herstellern. Die wiederum können nicht absolut sicherstellen, dass sich niemand der Daten bemächtigen kann. Die Versprechen der Regierung könnten so nie eingehalten werden.

Und zum Thema Terror fällt den Zweiflern auch einiges ein. Wenn sich wirklich die Informationen so leicht stehlen lassen, dann ist es eben für Terroristen ein leichtes, zum Beispiel amerikanische Staatsbürger zu selektieren und gezielt anzugehen.

Die ICAO spielt auch in Deutschland eine wichtige, wenn auch nur mittelbare Rolle. An deren Spezifikationen nämlich orientiert sich unter anderem die Bundesdruckerei, die auf der diesjährigen CeBIT einen biometrischen Reisepass vorgestellt hat. Der Pass entspreche den “den strengen Richtlinien der ICAO”, hatte der Firmenchef Ulrich Hamann seinerzeit erwähnt. Und Bundesinnenminister Otto Schily, der sich seit jeher für den digitalen Personalausweis stark gemacht hat, um unter anderem auch die Terrorgefahr besser einschätzen und möglicherweise eindämmen zu können, hatte die Neuerung begrüßt und freudig verkündet, dass die nächste Generation der elektronischen Ausweise auf der Lösung der Bundesdruckerei basieren solle.

Die Sicherheitsdiskussion, die nicht zuletzt durch die jetzt veröffentlichten Tests immer wieder empor kocht, passt in das derzeitige Stimmungsbild. Man will sich nicht so recht einlassen auf diese neue Technik, die persönliche Daten in welcher Form auch immer kreuz und quer funkt. Und offenbar liegen die Kritiker nicht so falsch, die vor allem in der RFID-Technologie einen mächtigen Reibungspunkt gefunden haben. Gegen die Funktechnik, die Informationen von einem Chip mit Hilfe eines Lesegeräts kontaktlos ausliest, hat es schon Demonstrationen gegeben und die Metro Group musste sich sogar mit dem deutschen Big-Brother-Award ‘ehren’ lassen, der an Unternehmen oder Institutionen vergeben werden, welche es mit dem Datenschutz nicht so genau nehmen.

Schließlich ärgert man sich diesseits wie jenseits des Atlantiks über die geplante Datenbank, die all die gesammelten Informationen horten und bei Bedarf vorhalten soll. Einmal abgesehen von einem elektronischen logistischen Aufwand, ein monumentales Backend zu formen, bleibt es bei der Angst vor fremden, böswilligen Zugriffen. Ein solches Sammelsurium ist das ideale Auffangbecken für Daten, die von Hacker gestohlen und missbraucht werden könnten. Die ICAO plant dennoch, bis 2015 einen solchen Pool mit Daten von rund einer Milliarde Menschen aufzufüllen.

Der neuerliche, zu ungunsten des E-Passports ausgefallene Test könne jedenfalls, so das Fazit der Skeptiker, beim Einzelnen nur eine Konsequenz haben: Die Sicherheit der eigenen Daten liegt bei jedem selbst. Wie das bei E-Passports im derzeitigen Stand der Technik geht? Man nehme ein wenig Alufolie und bedecke damit den Chip oder trage die Karte in einem kleinen Metallumschlag mit sich herum. So sei ein Auslesen oder Abfangen nicht mehr möglich.

Übrigens: Der eingangs angesprochene Interoperabilitätstest ergab, dass auch viele Geräte entweder den Chip gar nicht erkannten oder ihn nicht lesen konnten. Das war bei diesem ersten Test zu erwarten. Das andere, wie gesagt, eher nicht.