Holländischer Computerexperte fälschte britischen E-Pass
Nach dem Diebstahl von 3000 biometrischen Pässen letzte Woche hatte die britische Regierung noch erklärt, diese könnten nicht gefälscht werden.
- Florian Rötzer
Weltweit versuchen Regierungen, die Einführung von biometrischen Ausweisen damit zu begründen, dass sie weniger leicht gefälscht werden können oder gar weitgehend fälschungssicher seien. Ein Test, der im Auftrag der britischen Times durchgeführt wurde, hat nun erneut gezeigt, dass biometrische Ausweise relativ leicht manipuliert werden können. Damit wird auch die britische Regierung düpiert, die nach dem Diebstahl von 3.000 noch unausgestellten Pässen vor einer Woche beruhigend versichert hatte, dass diese wertlos seien, weil man sie nicht manipulieren könne.
Für den Test klonte der Computerexperte Jeroen van Beek von der Universität Amsterdam mit einem öffentlich verfügbaren Programm die Chips von zwei britischen Reisepässen angeblich in Sekunden. Auf den Pass eines kleinen Jungen fügte er den geklonten RFID-Chip mit einem digitalen Foto von Osama bin Laden ein und auf den einer 36-jährigen Britin das Foto von Hiba Darghmeh, einer palästinensischen Selbstmordattentäterin. Man wählte die beiden Personen aus, um nicht in den Verdacht zu geraten, tatsächlich verwendbare Pässe fälschen zu wollen.
Die veränderten Pässe wurden von einem Lesegerät, das mit dem von der Internationalen Zivilluftfahrt-Organisation (ICAO) als internationalem Standard empfohlenen Golden Reader Tool arbeitet, akzeptiert. Beek erklärte, dass er mit seiner Demonstration nicht unterstellen will, dass Terroristen jetzt oder demnächst biometrische Ausweise fälschen können Aber er habe auf Sicherheitsprobleme aufmerksam machen wollen, die geschlossen werden müssten. Vor zwei Jahren hatte bereits Lukas Grunwald das Klonen eines RFID-Ausweises vorgeführt.
Das britische Innenministerium, das nach den biometrischen Pässen auch biometrische Personalausweise einführen will, versucht, die Demonstration herunterzuspielen. Ein Sprecher meinte, berichtet die Times, dass bislang noch niemand imstande gewesen sei, die Daten auf dem Chip zu verändern. Wenn dies geschehen würde, dann würde dies das elektronische Lesegerät sofort bemerken.
Die ICAO erinnert allerdings daran, dass biometrische Ausweise erst dann fälschungssicher sind, wenn die Daten auf dem Chip mit einer digitalen Signatur versehen sind, die den Betrieb einer internationalen Public Key Infrastructure (PKI) sowie eines Public Key Directories (PKD) erfordert. Dem PKD-System, das von Netrust betrieben wird, müssten sich allerdings alle Staaten anschließen, weil sonst Ausweise von den Ländern weiterhin gefälscht werden können, die nicht mitmachen. Bislang haben sich nur 10 der 45 Länder, die biometrische Ausweise eingeführt haben, dem PKD-System angeschlossen, aber nur fünf benutzen es: Australien, Neuseeland, Singapur, die USA und Japan. (fr)
