Britische Biometrie-Ausweise in wenigen Minuten geknackt

Personalausweise, wie man sie in Deutschland kennt, gab es in Großbritannien in der Vergangenheit ebenso wenig wie eine Meldepflicht. Ein wesentliches Argument für die Wiedereinführung war die Überzeugung der Regierung unter Tony Blair, nur so dem zunehmenden Terrorismus entgegentreten zu können. Die Ausweise sollen biometrische Daten wie Gesichtsbild und Fingerabdrücke auf einem RFID-Chip speichern. Dass nun wie berichtet Privatfirmen die Fingerabdrücke für Biometrie-Ausweise erfassen sollen, lässt Zweifel an der Ernsthaftigkeit des Vorhabens aufkommen. Ein Experiment der Boulevardzeitung The Daily Mail nährt weitere Zweifel an der Sicherheit der biometrischen Ausweise.

Der Autor Steve Boggan engagierte einen Experten, um herauszufinden, ob der biometrische Ausweis so fälschungssicher ist, wie von der Regierung behauptet. Das Ergebnis sei so verblüffend wie verstörend. Der „Auftrags-Hacker“ Adam Laury zeigte demnach zunächst, dass sich mit Hilfe eines Mobiltelefons und eines Laptops die Daten auf dem Mikrochip innerhalb von Minuten kopieren lassen. Laury konnte so nicht nur einen Clone der ID-Card erzeugen, er war zudem dazu in der Lage, gespeicherte Zusatzinformationen zu modifizieren – so etwa Name und gespeicherte Fingerabdrücke oder die Anmerkung: „Ich bin ein Terrorist – bei Sichtkontakt erschießen“. Mit dem Karten-Clone wäre es bereits möglich, Banken hereinzulegen oder sich zum Beispiel auch Leistungen des Natinonal Health Service zu erschleichen.

Schlimmer noch, so The Daily Mail, Terroristen könnten einen kopierten Ausweis dafür verwenden, ihre Spuren bei geplanten Anschlägen zu verwischen. Nach jedem vernünftigen Maßstab müsste das eigentlich schon der letzte Sargnagel in das 5,4-Milliarden-Projekt der Regierung sein. Zwar verwendete Adam Laury für seinen Hack Karten, die an „Foreign Nationals“ vergeben werden, also in Großbritannien lebende Ausländer. Doch nach Angaben der Ausweisbehörde Identity & Password Service unterscheidet sich bei ihnen nur die Optik der Karte.

Laury modifizierte den Ausweis in zwei Schritten: Um eine Kopie anzufertigen, suchte er eine bestimmte Zahlenfolge, die unauffällig auf der Karte aufgebracht ist. Sie dient dazu, die Verschlüsselung des Chips zu knacken. Sein Nokia-Handy brachte bereits die Chip-Lesesoftware mit, um innerhalb von Sekunden die Informationen auslesen und auf eine leere Karte übertragen zu können. Doch Laury gelang vor allem etwas, was nach Ansicht der Regierung überhaupt nicht funktionieren dürfte: Obwohl die persönlichen Daten in 16 Daten-Gruppen gespeichert sind und ein verändertes Segment die Karte unbrauchbar machen müsste, konnte er mit Hilfe zweier weiterer Experten den Sicherheitsmechanismus überlisten.

Demgegenüber, so sollte man meinen, stehen drei zuverlässige Prüfmethoden, um auch eine gefälschte Karte erkennen zu können: erstens wie üblich die „Gesichtskontrolle“, zweitens ein Vergleich der gespeicherten und tatsächlichen Fingerabdrücke sowie drittens ein Online-Vergleich der biometrischen Daten. Der Online-Vergleich würde in der Realität kaum stattfinden, da er mit einer Gebühr von 2 Pfund verbunden ist. Das Foto passt ohnehin zum neuen „Besitzer“, bliebe noch der Fingerabdruck an einem entsprechenden Lesegerät. Diese Lesegeräte müssen laut Bericht voraussichtlich eine offiziell zugelassene Software namens „Golden Reader“ enthalten, die dazu dient, Fälschungen der Fingerabdrücke zu identifizieren. Der Autor und seine Helfer luden sich die neueste Version der Software herunter, um dann beim Testen festzustellen, dass die gefälschte Karte nicht als solche erkannt wird.

Doch auch das halte die Regierungsvertreter nicht davon ab, das System weiter als sicher zu bezeichnen. Ian Angelli, Professor an der London School of Economics, ist da anderer Meinung: „Diese Testergebnisse haben einen gewaltigen Nagel in den Sarg für das nationale ID-Card-Programm getrieben. Die Regierung kann nicht länger behaupten, dass uns die biometrische Karte vor einem Identitätsklau bewahren kann – sie haben bewiesen, dass sie es nicht tut.“ (ggo)