Sicherheitslücke an Flughäfen durch ID-Chipkarten

Mitten in der Debatte um sogenannte Körperscanner hat das ARD-Politikmagazin "Kontraste" eine Sicherheitslücke an mehreren deutschen Flughäfen ausgemacht, da diese das (bereits geknackte) Chipkartensystem Legic Prime zur Identifikation von Mitarbeitern einsetzen.

In Pocket speichern vorlesen Druckansicht 220 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Jürgen Kuri

Über Datendiebstahl per Funk könnten sich Terroristen Zugang auf das Gelände von einzelnen Flughäfen verschaffen, berichtete das ARD-Magazin Kontraste. Eine Sprecherin des Hamburger Flughafens wies laut dpa den Bericht zurück. Hacker des Chaos Computer Clubs (CCC) hätten zwar eine Chipkarte auf Mitarbeiter-Ausweisen geknackt, sagte sie. Die Karte ermögliche aber nicht automatisch Zugang zu den Sicherheitsbereichen – was sich laut dem Bericht von Kontraste allerdings teilweise anders darstellte. Der Flughafen habe das Problem zudem bereits gelöst: "Aber wie wir es gelöst haben, sagen wir natürlich nicht."

Hacker vom Chaos Computer Club in Berlin hätten "mit relativ einfachen Mitteln" das auf RFID-Chips basierende Zugangssystem Legic Prime geknackt. Sie hätten ein Gerät entwickelt, das die Ausweise des Flughafenpersonals heimlich abliest und die Daten speichert. CCC-Mitglied Karsten Nohl sagte dem Magazin: "Das System auszuhebeln ist einfach. Wir waren schlicht schockiert, überhaupt keine Hürden zu finden, die wir hätten überwinden müssen." Das Zugangssystem wird dem Magazin zufolge auf den Flughäfen in Hamburg, Berlin-Tegel, Stuttgart, Dresden und Hannover eingesetzt.

Bereits auf dem 26. Chaos Communication Congress hatten Nohl und Henryk Plötz – nachdem sie früher bereits die Verschlüsselung der "Mifare Classic"-Smartcards von NXP geknackt hatten – auch demonstriert, wie sich die Funkchipkarten aus der "Prime"-Produktreihe des Schweizer Herstellers Legic analysieren und klonen lassen. "Wir können das Lesegerät emulieren, Befehle ändern und letztlich sämtliche Karten emulieren", hatte Nohl im Dezember bereits erklärt. Großkunden von Legic, die RFID-Karten auf Basis der 1992 eingeführten Prime-Kategorie ausgeben, empfahl er, möglichst rasch zumindest auf die neuere Produktlinie "Legic Advant" zu migrieren.

Auf dem Hamburger Flughafen könnten Hacker ohne Kontrollen sogar auf das Rollfeld vordringen, berichtet nun "Kontraste" über den Einsatz von Legic Prime auf Flughäfen. Die Sprecherin des Flughafens betonte dagegen, die Mitarbeiter müssten erst ihren Ausweis mit der Chipkarte zeigen und dann durch die Personenkontrolle gehen; in den Versuchen von Kontraste reichte es aber teilweise, die ID-Karte an das an Türen angebrachte Lesegerät zu halten, um ohne weitere Kontrolle Zugang zu internen Flughafenbereichen zu erhalten. Auf der Karte werden nach Angaben der Flughafen-Sprecherin persönliche Daten gespeichert, aber auch etwa das Guthaben für die Kantine. Der Schweizer Hersteller der Chipkarten habe den Flughafen im vergangenen Jahr über den Hacker-Angriff informiert. "Es ist bei uns nichts passiert", sagte die Sprecherin.

Ein Sprecher des Bundesinnenministeriums sagte dem Magazin: "Wir haben gegenüber den Flughafenbetreibern eine Überprüfung der Sicherheitskontrollen angeregt." Der Vorsitzende der Deutschen Polizeigewerkschaft, Rainer Wendt, forderte, das geknackte Sicherheitssystem müsse unverzüglich ausgetauscht und auf den neuesten technischen Stand gebracht werden. "Der Sicherheitsbetrieb sollte sofort unter die strenge Aufsicht der Bundespolizei gestellt werden, damit die Flughafenbetreiber nicht länger schlampen können, wie sie wollen."

Siehe dazu auch:

(jk)