Zurückrudern in Sachen ePass

Das Bundesamt für Sicherheit in der Informationstechnik hat seine Bewertung der Gefährlichkeit des Klonens von elektronischen Reisepässen revidiert. Das berichtet das Technologiemagazin Technology Review in seiner aktuellen Ausgabe (seit dem 25. Januar am Kiosk oder hier portokostenfrei online zu bestellen).

Noch im November hieß es in einer online verfügbaren technischen Dokumention zum ePass: "Das Klonen von maschinenlesbaren Reisedokumenten ist eine ernstzunehmende Attacke." Nun fehlt dieses Statement in der neuesten Version (PDF-Datei). Grund für die Änderung sei eine "redaktionelle Überarbeitung" gewesen, sagt ein BSI-Sprecher.

Der Sicherheitsexperte Lukas Grunwald, der im vergangenen August als erster vorgeführt hatte, wie sich RFID-Reisepässe klonen lassen, hält jedoch ein anderes Szenario für weitaus gefährlicher: Hat das Lesegerät einmal Zugriff auf den RFID-Chip bekommen, liest es die Daten ein und lässt sie zur Überprüfung in einem komplizierten Prozess durch sogenannte Parser laufen. Theoretisch sei es damit möglich, Schadsoftware auf das Lesegerät aufzuspielen und so die vorgesehenen Sicherheitsüberprüfungen lahmzulegen. Das BSI hält dagegen: "Bei einer sicheren Programmierung der Lesegeräte ist das nicht möglich; hierzu werden die Lesegeräte entsprechend evaluiert."

Siehe dazu auch:

• Keineswegs geheim, Artikel in Technology Review 2/2007
• Heimlich und Co, Beitrag im Technology Review Blog

Zur Einführung des ePasses und den Auseinandersetzungen um Ausweise mit digitalisierten biometrischen Merkmalen siehe den Online-Artikel in c't – Hintergrund (mit Linkliste zu den wichtigsten Artikeln aus der Berichterstattung auf heise online sowie in c't, Technology Review und Telepolis):

• Die Auseinandersetzung um Ausweise mit digitalisierten biometrischen Merkmalen

(wst)