Anders sieht es bei der Sicherheit von aufgezeichneten Daten aus. Hat ein Angreifer die Kommunikation zwischen ePass und Lesegerät
aufzeichnen können, kann er die verschlüsselten Daten nachträglich entschlüsseln und so an die biometrischen Daten gelangen.
Doch auch in diesem Fall ist die Wahrscheinlichkeit abzuwägen. Um einen Kommunikationsvorgang zwischen Lesegerät und ePass
aufzeichnen zu können, muss man sich innerhalb weniger Meter vom ePass befinden. Damit scheint das massenhafte Aufzeichnen
unwahrscheinlich, da ein Kommunikationsvorgang nur direkt an einem Grenzübergang stattfindet und ein Aufzeichnungsvorgang über
längere Zeit schnell bemerkt würde, sofern nicht der Grenzbeamte selbst der Angreifer ist. Zudem kann ein Aufzeichnen der
Kommunikation zwischen Lesegerät und RF-Chip wirksam unterbunden werden, wenn die Zonen um die Lesegeräte entsprechend
abgeschirmt sind [BSI 2004a]. Allerdings ist dies zurzeit nicht geplant
15
.
Das Aufzeichnen eines Kommunikationsvorgangs bei einer bestimmten Person hingegen wäre leichter zu bewerkstelligen,
vorausgesetzt es erfolgt keine Abschirmung. Doch gilt zu bedenken, dass durch die Basic Access Control lediglich das Gesichtsbild
geschützt wird. Ein Angreifer der in der Lage ist, den Kommunikationsvorgang aufzuzeichnen und diesen zu entschlüsseln sollte mit
weniger Aufwand in der Lage sein, auch unbemerkt ein Gesichtsbild der Zielperson aufzunehmen.
5.5.4 Umgehen von Basic Access Control
Prof. Dr. Andreas Pfitzmann, tätig an der TU Dresden, erwähnt in [PFITZ 2005], dass die Basic Access Control datenschutzrechtlich
bedenklich sei. Selbst wenn die technische Seite als vollständig sicher eingestuft werden könne, hätten zu viele Personen Zugriff auf
die MRZ des ePasses und könnten von da an den RF-Chip auslesen. Als Beispiel für Personen mit Zugriff auf die MRZ – und damit
auf den kompletten Schlüssel
–
führt er die ausstellende Behörde, Mitarbeiter der Bundesdruckerei und Grenzposten an, aber auch
Unternehmen, denen gegenüber man sich mit dem Ausweis bzw. Reisepass oder einer Kopie desselben identifizieren muss (Banken
oder Mobilfunkhändler).
Diese Kritik scheint im Grundsatz richtig. Es stellt sich jedoch die Frage,
inwiefern es als kritisch angesehen werden kann, wenn eine
Person mit direktem optischen Zugriff auf die MRZ später das digitale Gesichtsbild des ePasses erneut auslesen kann. Unter der
Annahme, dass digitales und „echtes“ Passfoto keine relevanten Unterschiede enthalten, ist in dem Moment, in dem der optische
Zugriff auf die MRZ gewährt wird, ebenfalls der Zugriff auf das im ePass enthaltene Passfoto möglich, so dass ein Angreifer auch
später keine Daten erhalten kann, die er nicht schon beim Zugriff auf die MRZ erhalten konnte.
Pfitzmann führt als daraus resultierende Risiken das Erstellen von Bewegungsprofilen und personenbezogener Bomben an. Diese
Risiken werden gesondert in Kapitel 5.5.8 betrachtet.
Festzuhalten bleibt, dass architekturbedingt die Basic Access Control – welche dazu dienen soll, das unbemerkte Auslesen der Daten
zu verhindern
–
von Personen umgangen werden kann, sobald diese einmal Zugriff auf die MRZ hatten. Diese Personen sind dann
zukünftig in der Lage, unbemerkt vom Passinhaber aus geringer Distanz das auf dem RF-Chip gespeicherte Gesichtsbild sowie die
weiteren persönlichen Daten wie Name oder Geburtsort auszulesen. Dabei können im Grunde keine Daten ausgelesen werden, die
nicht auch beim optischen Zugriff auf die MRZ hätten gelesen werden können.
5.5.5 Kryptographische Sicherheit von Extended Access Control
Grundsätzlich gelten asymmetrische Verschlüsselungsalgorithmen wie das beim ePass verwendete ECDSA als sehr sicher. Da von der
ICAO jedoch noch keine Empfehlung und kein Standard für die Extended Access Control veröffentlicht wurden, scheint eine Analyse
der exakten Sicherheit kaum möglich. Eine allgemeine Betrachtung findet in Kapitel 4.4.1 statt.
5.5.6 Umgehen von Extended Access Control
Auch ohne genaue Kenntnisse, wie die Extended Access Control im Detail arbeiten wird, kann gesagt werden, dass ein
Sicherheitsrisiko bestünde, sobald „Schurkenstaaten“ an dem System beteiligt würden und die entsprechen Zugangsschlüssel erhielten.
Diese hätten damit die Möglichkeit, auf die Daten ggf. eingeschränkt zugreifen zu können, und es bestünde die Gefahr, dass diese
Staaten den Schlüssel weitergäben oder selbst missbräuchlich nutzten.
Allerdings ist Deutschland nicht verpflichtet, die
15
Laut telefonischer Auskunft von Michael Dickopf, Pressesprecher des BSI
| Hinweis: Alle Rechte vorbehalten. Eine Verfielfältigung oder Verbreitung dieser Seite oder Teile derselben in elektronischer oder anderer Form ist nicht gestattet. Diese HTML-Version des Buches 'ePass - der neue biometrische Reisepass' ist nicht zum Referenzieren geeignet. Das Buch sowie die PDF Version unterscheiden sich von dieser HTML-Version in Layout und Seitenzahlenangaben. Aufgrund von Konvertierungsschwierigkeiten des Originaldokumentes zu HTML, können auf dieser Seite Datstellungsprobleme auftreten, die in dem Buch und der PDF-Version nicht vorhanden sind. |