25C3: CCC rät zum "Selbstschutz" vor biometrischer Vollerfassung

30.12.2008 15:05 Uhr Stefan Krempl

Hacker haben mehrere Wege vorgestellt, wie die gesetzliche Verpflichtung zur Abgabe von Fingerabdrücken beim Reisepass zu umgehen ist; zugleich warnten sie vor Sicherheitsproblemen beim geplanten elektronischen Personalausweis.

Vertreter des Chaos Computer Clubs (CCC [1]) haben mehrere Wege vorgestellt, wie die gesetzliche Verpflichtung zur Abgabe von Fingerabdrücken für den elektronischen Reisepass [2] zu umgehen ist. "Fingerabdruckattrappen funktionieren wunderbar", verwies der Hacker "starbug" am gestrigen Montagabend auf Schwächen bei der Erfassung der biometrischen Merkmale auf den Meldeämtern. Die zwei bei den Behörden eingesetzten Scannertypen würden zwar inzwischen sehr genaue Bilder liefern, führte der Sicherheitsexperte auf dem 25. Chaos Communication Congress (25C3 [3]) in Berlin aus. Man könne sich aber problemlos etwa die vom CCC veröffentlichten Fingerabdrücke [4] von Bundesinnenminister Wolfgang Schäuble (CDU) in Folienform auf die eigenen Kuppen kleben und diese so in den Pass schleusen.

Künftig sei es auch machbar, sich den Schäuble-Abdruck zudem in den Personalausweis zu packen, ergänzte CCC-Sprecherin Constanze Kurz. Sie spielte damit auf die Möglichkeit an, gemäß dem Beschluss [5] des Bundestags zur Änderung des Personalausweisgesetzes freiwillig zwei Fingerabdrücke in das geplante neue elektronische Dokument mit kontaktlos auslesbarem Chip aufnehmen zu lassen. "Man braucht ja Sicherheitskopien", betonte Kurz süffisant. Rund 5000 der "Schäubletten" habe der CCC seit Ende März bereits unters Volk gebracht. Es habe aber auch bereits Leute gegeben, die es mit einem Zehabdruck auf den Meldeämtern probiert hätten und damit ebenfalls durchgekommen seien. Man müsse da "nur locker rangehen" und sich angesichts der "Veralltäglichung der biometrischen Techniken" selber schützen. Eine Bußgeldbewehrung fahrlässigen Verhaltens bei der Erfassung der biometrischen Merkmale sei gesetzlich nicht vorgesehen.

Mitglieder des Hackervereins begleiteten laut starbug zudem eine Person, die sich auf alle zehn Finger eine Schicht Sekundenkleber aufgeklebt hatte. Die Fingerabdruckerfassung in einer Meldestelle habe so auch nach einem dreimaligen Neustart des Systems nicht funktioniert. Auch bei einem anderen mit einem Sensor ausgerüsteten Arbeitsplatz habe sich auch kein Erfolg bei der Fingerabdruckabnahme eingestellt. Der gerufene Amtsvorsteher habe den Probanden daraufhin aufgefordert, sich die Hände zu waschen, was den Klebstoff allerdings auch nicht abgelöst habe. Nach der Angabe des Passantragstellers, mit Chemie zu tun zu haben und mit Säuren zu arbeiten, sei ihm die Unmöglichkeit der Erfassung von Fingerabdrücken bestätigt worden.

Ein Abgleich der biometrischen Merkmale etwa an der Grenze funktionierte bei vergleichbaren Manipulationen natürlich nicht, beschrieb Kurz die zu erwartenden Konsequenzen des zivilen Ungehorsams. Die Erkennungsraten dürften insgesamt aber nicht sonderlich hoch sein, sodass man nicht groß auffallen werde. Natürlich sei es ferner möglich, den Funkchip im Pass zu deaktivieren. Das Dokument in die Mikrowelle zu legen, empfehle sich aber nicht, da dies erwiesenermaßen Brandflecken hinterlasse. Die Hacker empfehlen daher den Einsatz eines in wenigen Minuten selbst zusammenlötbaren RFID-Zappers [6]. Zugleich betonen sie, dass der Pass – oder später der E-Perso – weiter gültig bleiben würden.

Generell erwarten die CCC-Vertreter große Sicherheitsprobleme beim Ausweisdokument der nächsten Generation, das von November 2010 an gegen eine noch nicht feststehende Gebühr ausgegeben werden soll. Da dieses optionale Funktionalitäten wie ein Zertifikat für die elektronische Authentisierung gegenüber Behörden oder Unternehmen für Online-Anwendungen enthalte, werde der auch für die Speicherung eines biometrischen Gesichtsbilds und der optionalen Fingerabdrücke eingesetzte Chip von tausenden Meldeämtern und Botschaften beschreibbar sein. "Das macht das gesamte Konzept von vornherein kaputt", warnte starbug. Vielfach Schwierigkeiten hervorrufen dürfe zudem die sechsstellige PIN für die Aktivierung des "Internetausweises", da sich eine so lange Ziffernfolge kaum jemand merken könne.

Mit Interesse beobachtet haben die Hacker, dass der neue Personalausweis eine Vorderseite eine weitere vierstellige offene PIN enthalten soll. Mit dieser wolle man gewährleisten, dass die Daten von der maschinenlesbaren Zone auf der Rückseite auch dann ausgelesen werden können, falls der Inhaber die "Geheimziffer" nicht preisgeben wollte. Noch zu testen sei aber, was passiere, wenn die Nummer mit einem Edding übermalt werde. Problematisch erscheint dem CCC ferner die Reduzierung des Ausweisformats auf Scheckkartengröße, da damit die bisherigen Passfotos nicht mehr in die Schablone passen würden. Fotografen seien schon jetzt beim Reisepass dazu übergegangen, die Gesichtsbilder digital an die amtlichen Vorgaben anzupassen, was die biometrische Erkennbarkeit aber erschwere. Keine gute Idee sei es zudem, den Ausweis noch mit einer teuer gesondert zu ordernden qualifizierten digitalen Signatur überfrachten zu wollen, da die in Frage kommenden überschaubaren Anwenderkreise bereits gesonderte Karten dafür hätten.

Noch mehr als beim Pass geht es nach Ansicht von Kurz beim E-Perso vor allem um Industriepolitik. Die Wirtschaft solle Lesegeräte verkaufen und die erforderlichen Infrastrukturen aufbauen können. Es sei wenig verwunderlich, dass Biometriefirmen wie Dermalog ihre Umsätze zu "99 Prozent" im Regierungsbereich machen würden. Die Gesamtkosten auch für den Reisepass seien derweil weiter unklar. Um die Bedenken der Bevölkerung gegen die biometrische Kontrolle zu erhöhen, will der CCC im kommenden Jahr zur Unterzeichnung kritischer Petitionen an die Politik aufrufen.

Zum 25C3 siehe auch:

(Stefan Krempl) (as [22])

URL dieses Artikels:
https://www.heise.de/-192827

Links in diesem Artikel:
[1] http://www.ccc.de/
[2] https://www.heise.de/news/Bundesdruckerei-zeigt-sich-gewappnet-fuer-neue-Reisepaesse-191063.html
[3] http://events.ccc.de/congress/2008/
[4] http://www.heise.de/security/CCC-publiziert-die-Fingerabdruecke-von-Wolfgang-Schaeuble-Update--/news/meldung/105701
[5] https://www.heise.de/news/Bundestag-billigt-elektronischen-Personalausweis-191230.html
[6] http://events.ccc.de/congress/2005/static/r/f/i/RFID-Zapper_de61.html
[7] https://www.heise.de/news/25C3-NFC-Handy-Anwendungen-anfaellig-fuer-Hackerangriffe-192811.html
[8] https://www.heise.de/news/25C3-Schwere-Sicherheitsluecken-beim-Schnurlos-Telefonieren-mit-DECT-update-192782.html
[9] https://www.heise.de/news/25C3-Zuverlaessige-Exploits-fuer-Cisco-Router-192758.html
[10] https://www.heise.de/news/25C3-Kryptografische-Kruecken-fuer-das-E-Voting-192751.html
[11] https://www.heise.de/news/25C3-Linux-laeuft-auf-Nintendos-Wii-192721.html
[12] https://www.heise.de/news/25C3-Mit-dem-3D-Drucker-zurueck-zur-Heimindustrie-192713.html
[13] https://www.heise.de/news/25C3-Denial-of-Service-Schwachstellen-in-TCP-naeher-beleuchtet-Update-192689.html
[14] https://www.heise.de/news/25C3-Hacker-haben-grossen-Zulauf-192651.html
[15] https://www.heise.de/news/25C3-Brueche-in-der-Sicherheitsarchitektur-des-iPhone-192643.html
[16] https://www.heise.de/news/25C3-CCC-will-Beschlagnahmen-von-Festplatten-reduzieren-192594.html
[17] https://www.heise.de/news/25C3-Hackerparagraphen-sorgen-weiter-fuer-Verunsicherung-192562.html
[18] https://www.heise.de/news/25C3-Pauschale-Entschaedigung-fuer-Datenpannen-gefordert-192536.html
[19] https://www.heise.de/news/25C3-Krypto-Aktivist-John-Gilmore-liebaeugelt-mit-der-transparenten-Gesellschaft-192529.html
[20] https://www.heise.de/news/25c3-Live-Videostreams-aus-dem-Berliner-Congress-Center-192435.html
[21] https://www.heise.de/news/25C3-Europaeischer-Hackerkongress-hat-nichts-zu-verbergen-218136.html
[22] mailto:as@ct.de