Bericht: Unsichere Verarbeitung der Fingerabdrücke in Meldebehörden
Hacker sollen Schwachstellen in Behördencomputern ausnutzen können, um für Reisepässe erfasste Fingerabdrücke mitzulesen und zu manipulieren. Der Bundesdatenschutzbeauftragte fordert eine durchgehende Verschlüsselung der Abdrücke.
- Daniel Bachfeld
Hacker sollen Schwachstellen in Behördencomputern ausnutzen können, um für Reisepässe erfasste Fingerabdrücke mitzulesen und zu manipulieren. Das berichtet das ZDF-Magazin WISO. Ursache des Problems sei die unverschlüsselte Übertragung des Fingerabdrucks vom Lesegerät in den Computer. Hinzu komme, dass es Sicherheitslücken in Behördenrechnern gebe, über die ein Angreifer in den Rechner eindringen könne, um ein Spionageprogramm zu installieren. Damit sei es möglich, manipulierte Fingerabdrücke in andere Reisepässe einzutragen, zitiert WISO den Sicherheitsspezialisten Gunnar Porada. Wenn Daten in einem Behördencomputer manipuliert würden, hätte man kaum noch Chancen zu beweisen, dass man nicht selbst der Verursacher war.
Zuständig für die Zulassung der Fingerabdruckscanner ist laut WISO das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dies prüfe aber nicht die Sicherheit, sondern nur die Bildqualität. Für den Schutz der Rechner seien die Meldebehörden selbst verantwortlich. Der Bundesdatenschutzbeauftrage Peter Schaar sieht ebenfalls die Gefahr, dass die Informationen in falsche Hände geraten. Er fordert mehr Sorgfalt in den Behörden. "Wenn der Staat zusätzliche Daten von seinen Bürgern erhebt, dann muss er auch dafür sorgen, dass diese Daten ausreichend gesichert sind: Gegen Missbrauch intern, also durch eigene Mitarbeiterinnen und Mitarbeiter, aber auch gegen externe Hacker – und das wird bisweilen vernachlässigt."
Zwar habe die Bundesregierung versprochen, mit dem neuen Verfahren zur Erstellung des elektronisch lesbaren Reisepasses werde alles besser und die Sicherheit gestärkt. Schaar sieht jedoch keinen Fortschritt bei der Sicherheit, obendrein seien die Informationen nicht ausreichend geschützt, obwohl sie zunehmend sensible Personendaten enthalten. "Der Bund macht die Gesetze, das gilt zumindest für die elektronischen Reisepässe, die Kommunen müssen das umsetzen, aber da ist häufig nicht das Know-how und das Geld vorhanden, um einen gewissen Sicherheitsstandard zu gewährleisten", so Schaar gegenüber WISO.
Das Problem ließe sich durch eine verschlüsselte Datenübertragung vom Scanner bis zum fertigen Reisepass lösen. Derzeit werde nur die Übertragung von der Meldebehörde bis zur Bundesdruckerei verschlüsselt. Das BSI stehe der Forderung allerdings skeptisch gegenüber, weil die Meldebehörden die Qualität der Fingerabdrücke nur bei unverschlüsselter Übertragung überprüfen könnten: "Da die Fingerabdrücke am Arbeitsplatz in der Pass- beziehungsweise Personalausweisbehörde verarbeitet werden müssen, ist eine Verschlüsselung nicht möglich." (dab)