News 10.08.2009, 09:45 Uhr

E-Ausweis in zwölf Minuten kopiert

Pässe und Identitätskarten (ID) mit eingebautem Chip, wie sie in vielen europäischen Ländern derzeit eingeführt werden oder geplant sind, sind alles andere als fälschungssicher. Ein englischer Ethical Hacker hat in nur zwölf Minuten einen britischen Ausländerausweis mit Chip nachgemacht.
Ausweise mit Chips sind nicht fälschungssicher, wie ein britischer Hacker nun gezeigt hat. Dies berichtet die britische Zeitung «Daily Mail», die dem Sicherheitsexperten Adam Laurie bei seinem Tun über die Schulter geschaut hat. Der «gute» Hacker konnte dabei in zwölf Minuten den kreditkartenförmigen Ausländerausweis mit Chip nachmachen. Laut Laurie ist der von ihm gefälschte Ausweis sozusagen baugleich mit den geplanten elektronischen IDs, welche die britische Regierung in Kürze an alle Bürger der Insel ausgeben will. Auf dem Chip befinden sich Daten wie Name, Geburtstag, Grösse und Fingerabdrücke des Trägers. Bei den Ausländerausweisen sind zudem Immigrationsstatus sowie Informationen darüber gespeichert, ob der Inhaber ein Anrecht auf staatliche Hilfe hat.
Laurie gelang es, den ID-Chip in wenigen Minuten zu knacken. Dazu verwendete er ein Handy und einen Laptop. Daraufhin machte er nicht nur eine perfekte Kopie des Ausweises, er veränderte auch die auf dem Chip gespeicherten Informationen. So ist der Inhaber nun berechtigt, Sozialhilfe zu empfangen. Als Gag programmierte der Hacker anschliessend noch folgende Meldung auf den Chip, die von jedem Polizisten mit entsprechendem Scangerät ausgelesen werden kann: «Ich bin ein Terrorist – knallt mich sofort ab!»
Die Demonstration ist beängstigend: Fälscher mit einer gewissen technischen Verve könnten somit IDs nachmachen und sich mir nichts dir nichts Sozialhilfe erschleichen. Gerade Terroristen könnten mithilfe der neuen Pässe und IDs ihre Spuren verschleiern, folgert der «Daily Mail» aus dem Hack der von Innenminister Alan Johnson vor Kurzem als «fälschungssicher» vorgestellten Ausweise.



Kommentare
Avatar
Juerg Schwarz
10.08.2009
Ich wusste warum ich dagegen bin. Leider kann man niemanden --- ist ja eh egal.

Avatar
coceira
10.08.2009
12 minuten hat der doch nur gebraucht, weil er den reportern jeden schritt erklaeren musste, normal geht das viel schneller :D

Avatar
Google
10.08.2009
Das war doch schon von Anfang weg klar... Man darf diese Daten nicht auf der Karte selber speichern, bei meiner Maestro Karte ist das Geld ja auch nicht auf der Karte selbst gespeichert..

Avatar
gmv80
10.08.2009
Das war doch schon von Anfang weg klar... Man darf diese Daten nicht auf der Karte selber speichern, bei meiner Maestro Karte ist das Geld ja auch nicht auf der Karte selbst gespeichert.. Weis jemand wie es mit den Cash Cards und der Traveler Cheque Card ausschaut? sind da die daten auf dem chip oder in einer datenbank?

Avatar
maedi100
10.08.2009
Weis jemand wie es mit den Cash Cards und der Traveler Cheque Card ausschaut? sind da die daten auf dem chip oder in einer datenbank? Also bei Cash ist das Geld auf der Karte. Auch bei Telefonkarten oder ähnliches. Wiederum bei EC/Maestro Karten ist ein bestimmter Maximalbetrag auf der Karte, der ohne Verbindung zum Server hinausgegeben werden kann (je nach Bank unterschiedlich).

Avatar
zilti
10.08.2009
So dumm kann man doch gar nicht sein, dass man diese Daten auf dem Chip speichert - oder? Naja, die Dummheit heutzutage kennt eh keine Grenzen...

Avatar
Geocacher
11.08.2009
Angstmacherei Es ist jedermann möglich, ein Land Utopia zu erfinden und für dieses Zertifikate auszustellen und Identitätskarten zu signieren. Alle Normen für Herstellung von biometrischen Pässen und Identitätskarten sind aus Interoperabilitätsgründen öffentlich. Deshalb ist es für die zuverlässige Kontrolle von in Ausweisen elektronisch gespeicherten Daten wichtig, dass das Lesegerät Zugriff auf ein Verzeichnis mit den anerkannten (sprich gültigen) Zertifikaten besitzt. Das wird durch das so genannte Public Key Directory der PKI sichergestellt. Die Lesegeräte müssen deshalb entweder online-Zugriff auf dieses Verzeichnis haben oder aber die notwendigen Zertifikate lokal gespeichert haben. Ist dieses System in den europäischen Ländern implementiert, sind solche simplen Manipulationen, wie im Artikel vorgestellt, sofort erkennbar. Das sollte dem Autor eigentlich bekannt sein.

Avatar
Nitro
11.08.2009
Es ist jedermann möglich, ein Land Utopia zu erfinden und für dieses Zertifikate auszustellen und Identitätskarten zu signieren. Alle Normen für Herstellung von biometrischen Pässen und Identitätskarten sind aus Interoperabilitätsgründen öffentlich. Deshalb ist es für die zuverlässige Kontrolle von in Ausweisen elektronisch gespeicherten Daten wichtig, dass das Lesegerät Zugriff auf ein Verzeichnis mit den anerkannten (sprich gültigen) Zertifikaten besitzt. Das wird durch das so genannte Public Key Directory der PKI sichergestellt. Die Lesegeräte müssen deshalb entweder online-Zugriff auf dieses Verzeichnis haben oder aber die notwendigen Zertifikate lokal gespeichert haben. Ist dieses System in den europäischen Ländern implementiert, sind solche simplen Manipulationen, wie im Artikel vorgestellt, sofort erkennbar. Das sollte dem Autor eigentlich bekannt sein. Das sind bestimmt alles ganz tolle Sicherheitschanismen - die man bestimmt und mit garantie auch irgendwie umgehen kann. Freude Herrscht

Avatar
Telaran
11.08.2009
Ist dieses System in den europäischen Ländern implementiert, sind solche simplen Manipulationen, wie im Artikel vorgestellt, sofort erkennbar. Das sollte dem Autor eigentlich bekannt sein.Dieses System kostet Geld und würde voraussetzen, dass ein Weltweites System aufgebaut werden müsste. Sprich eine Globale Datenbank mit den Personellen Daten (weil alleine die Gültigkeit des Zertifikates oder der Karte nicht reicht). Dass die Datenschützer sich dagegen wehren würden, wäre auch schon klar (egal ob und inwieweit sie mit ihren Protesten erfolg hätten). Deswegen ist und bleibt es wahrscheinlich, dass man den Weg des geringsten Widerstandes geht. Das bedeutet, dass es sicher zu gewissen Grad eine Panikmache ist, aber nichts daran ändert, dass diese Lösung so "Live" geht und bestenfalls in 2-3 Jahren abgesichert wird (nachdem Nachweislich jemand damit Schaden angerichtet hatte). Dieses Phänomen hatte sich doch auch mit der speziellen ÖV Karte in Niederlande gezeigt (Elektronische Fahrkarte, die 3 Jahre lang mit Sicherheitsmängel im Umlauf war und erst geändert wurde, als ein Idiotensicheres Manipulationstool für DAU's im Internet aufgetaucht ist)

Avatar
maedi100
11.08.2009
So dumm kann man doch gar nicht sein, dass man diese Daten auf dem Chip speichert - oder? Naja, die Dummheit heutzutage kennt eh keine Grenzen... Warum dumm? Wenn die Daten auf dem Chip immer signiert und verschlüsselt sind, gibt es nicht so viele Probleme. Das grössere Problem wäre doch, wenn alle Daten zentral gespeichert werden.