WISO weist Sicherheitsleck bei elektronischem Reisepass nach
Archivmeldung vom 02.02.2009
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 02.02.2009 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittFingerabdrücke für den elektronischen Reisepass sind bei der Übertragung vom Lesegerät auf den Behördencomputer nicht ausreichend vor Hackerangriffen geschützt. Das hat das ZDF-Wirtschaftsmagazin WISO nachgewiesen und berichtet ausführlich in der Sendung am Montag, 2. Februar 2009, um 19.25 Uhr.
Der Fingerabdruck wird unverschlüsselt als Bilddatei vom Lesegerät auf den Rechner übertragen. Da Behördencomputer online sind und nicht zu hundert Prozent vor externen Angriffen geschützt werden können, könnten Hacker die Fingerabdrücke über Schadprogramme (Trojaner) ausspionieren. "Wenn der Staat zusätzliche Daten von seinen Bürgern erhebt, dann muss er auch dafür sorgen, dass diese Daten ausreichend gesichert sind: Gegen Missbrauch intern, aber auch gegen externe Hacker - und das wird bisweilen vernachlässigt", so der Bundesdatenschutzbeauftragte Peter Schaar. Für die Umsetzung des Passgesetzes seien die Kommunen zuständig. "Dort sind aber häufig nicht das Know-how und das Geld vorhanden, um einen gewissen Sicherheitsstandard zu gewährleisten", kritisiert der Datenschützer.
Kriminelle könnten sich mit den gefälschten Daten beispielsweise eine neue Identität erschleichen oder Fingerabdrücke eines Unbeteiligten an einem Tatort hinterlegen, um die Ermittler auf eine falsche Spur zu locken. Mit einer verschlüsselten Übertragung des Fingerabdrucks ließen sich solche Gefahren vermeiden. "Ich plädiere dafür, dass die Daten vom Anfang bis zum Ende verschlüsselt werden. Das heißt, auch schon bei der Übertragung vom Fingerabdruckscanner zum Computer der Meldebehörde", fordert Schaar.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das für die Zertifizierung der Fingerabdruckscanner zuständig ist, sieht die Meldebehörden in der Pflicht. Denn bei der Überprüfung durch das BSI gehe es nicht um die Sicherheit der Geräte: "Die Zertifizierung der Fingerabdruckscanner durch das BSI bezieht sich (...) insbesondere auf die Einhaltung der notwendigen Bilderfassungseigenschaften", so das BSI in einem Schreiben an WISO. Über die Umsetzung von Schutzmaßnahmen liegen dem BSI nach eigenen Angaben keine Kenntnisse vor.
Quelle: ZDF