Neuer RFID-Hack

Einige US-Reisende kürzen ihren Grenzübertritt mit elektronisch lesbaren Führerscheinen oder Reisepässen in Ausweisgröße ab, die einen Funkchip enthalten. Diese von der Regierung ausgegebenen Papiere erlauben die Reise ins nahe Ausland – nach Kanada, Mexiko, Bermuda und in die Karibik. Beide Kartentypen sind kostengünstiger als gewöhnliche Pässe und enthalten RFID-Komponenten, die sich aus einiger Distanz drahtlos auslesen lassen. Hält ein Reisender die Karte an die Windschutzscheibe seines Autos, kann der Grenzer sich Informationen zu dieser Person automatisch aus einer Datenbank anzeigen lassen.

Die Sicherheit dieser Technologie ist allerdings stark umstritten. Eine neue Analyse von Forschern an der University of Washington und aus den Laboren des IT-Sicherheitsunternehmens RSA zeigt nun einen Angriff, bei dem sich die von den Ausweisen ausgesendeten Signale auffangen und zur Erstellung gefälschter Papiere nutzen lasse. Auch eine Verfolgung des Kartenbesitzers ist so möglich.

Ausweisdokumente mit RFID-Chip sind noch relativ neu in den USA. Sie sind Teil der "Western Hemisphere Travel Initiative", die bis Juli 2009 die Regeln für Grenzübertritte zu den Nachbarländern verändern soll. Nach diesem Datum werden Reisende nicht mehr einfach ihren gedruckten Führerschein oder ihre Geburtsurkunde zeigen können, um einzureisen. Stattdessen brauchen sie spezielle, vorab genehmigte Dokumente. Anfang 2008 wurde Washington zum ersten US-Bundesstaat, der verbesserte Führerscheine für den Grenzübertritt zunächst auf freiwilliger Basis anbot. New York fing im September damit an.

Die RFID-Chips in den Karten nennen sich "Electronic Product Code Tags", kurz EPC. Sie ähneln einem Barcode. Werden sie gescannt, wird eine einzigartige Nummer übermittelt, die mit einer Datenbank der US-Regierung abzugleichen ist. Informationen wie Fotos des Kartenbesitzers lassen sich so direkt abrufen. Ari Juels, Direktor und Chefwissenschaftler bei RSA Laboratories, der an der jüngsten RFID-Analyse teilnahm, erläutert, dass es bereits bekannt gewesen sei, dass sich EPCs kopieren ließen. Doch mehrere Eigenschaften der neuen Ausweise sorgten nun dafür, dass sich das Risiko noch erhöhe, dass sie nachgemacht und nachverfolgt werden könnten. Auch habe sich gezeigt, dass sich die neuen Washingtoner Führerscheine sogar deaktivieren ließen.

Die verwendete RFID-Technik in den Karten lässt sich mit Standardausrüstung umprogrammieren. Ein Datensatz mit einer gestohlenen ID-Nummer ist deshalb sehr schnell auf einen leeren Chip hochladbar. Hätten die Komponenten eine eindeutige Seriennummer, die in der Fabrik vorgegeben wird, wäre es schwerer, Duplikate anzufertigen. Der Fälscher müsste die Seriennummer dann auch auf einem leeren Chip verändern – ein wesentlich härteres Problem.

Ein weiteres Problem mit den Karten ist, dass sie sich über relativ weite Distanzen auslesen lassen. Angreifer könnten die ID-Nummer in der Karte abfragen, in dem sie an einer Grenzstation lauschten oder sie einfach aus der Tasche des Opfers heraus auslesen.

Die Karten werden zwar mit einer Schutzhülle ausgeliefert, die einen solch unautorisierten Zugriff verhindern soll. Die Führerscheine aus Washington ließen sich allerdings selbst durch diese Schicht auslesen, wenn das Lesegerät nur stark genug war. Hinzu kam dass sich einige der EPC-Tags über ein "Kill"-Kommando deaktivieren lassen. Während den Reisepass-Karten dieser Angriff nichts anhaben konnte, blieb diese Möglichkeit bei den Washingtoner Führerscheinen nachweisbar. Dies könne einem Angreifer erlauben, Grenzübertritte zu verhindern, in dem er eine große Anzahl solcher Karten blockiere, heißt es in der Studie. Auch Einzelpersonen lässt sich so großer Ärger bereiten, machen nicht funktionierte Ausweise den Träger doch schnell verdächtig.

Gigi Zenk von der Führerscheinstelle des Bundesstaates, meinte, dass man die Schwere der möglichen Angriffe in Zweifel ziehe. Die Forscher hätten "viele Annahmen darüber aufgestellt, wie Zoll und Grenzkontrolle funktioniert". Kein System sei vollständig sicher und die Karten enthielten deshalb keine persönlichen Informationen. Außerdem sei der Versuch, Daten von Ausweisen zu entwenden, in Washington inzwischen strafbar. "Wir glauben, dass wir große Schritte unternommen haben, das Risiko zu minimieren", meint Zenk. Unnötige Ängste seien fehl am Platz.

Juels sieht unterdessen die Gefahr, dass die Grenzer nicht alles tun, was sie sollten. Dazu gehören der Vergleich von Bildern in der Datenbank mit denen auf dem Pass und die Erkennung von Fälschungen an sich. Besonders problematisch: Beamte könnten sich zu stark auf die neue Technik verlassen.

Selbst wenn die Grenzer künftig besser aufpassen: Die RFID-Chips bleiben den Forschern zufolge ein Risiko. "Diese Karten könnten immer noch Informationen über unser Leben freigeben", meint Tadayoshi Kohno, Computerwissenschaftler an der University of Washington, der an der Arbeit mitforschte. "Wenn sie an die Sozialversicherungsnummer denken, gab es eines Tages eine Diskussion, was an Daten hinein soll und was nicht. Nummern allein waren stets gut, weil sie keine persönlichen Informationen enthielten." Doch inzwischen ließen sich diese leicht mit Inhalten aus Datenbanken verknüpfen, so "dass die Dinger mehr Daten über uns verraten, als wir anfänglich erwartet hätten".

Jonathan Westhues, ein unabhängiger Sicherheitsforscher, der die RFID-Technik untersucht, meint, dass viel davon abhänge, wie die Funkchips tatsächlich verwendet werden. Nimmt ein Beamter an, dass eine Karte selbst ausreichend für die Identitätsfeststellung ist, sei die Gefahr von Klonkarten real. Was die Privatsphäre anbetrifft, trügen bereits jetzt viele Menschen RFID-Chips oder Handys mit sicher herum, die sich tracken ließen.

Die RSA-Forscher hoffen deshalb nun, dass sich die Technik nach der Enthüllung verbessern wird. "Die ganze RFID-Infrastruktur an sich ist keine schlechte Idee", meint Juels, "man muss sie nur richtig aufbauen". (bsc)