Britische ePässe manipuliert

Britische ePässe manipuliert…

Die britischen ePässe lassen sich leicht manipulieren, wie die Times berichtet. Der Sicherheitsforscher Jeroen van Beek von der Universität Amsterdam konnte die Chips auf den ePässen klonen und manipulieren; er tauschte die in zwei Pässen gespeicherten biometrischen Bilder gegen ein Portrait von Osama bin Laden und das Foto einer Selbstmordattentäterin aus. Die manipulierten Dokumente sollen vom Lesegerät „Golden Reader“ als gültig anerkannt worden sein.

Andere Berichte beurteilen die Lücke als weniger kritisch. „Golden Reader“ wird von der ICAO (International Civil Aviation Organisation) genutzt, um die Standardkompatibilität elektronischer Reisedokumente zu überprüfen. Es handele sich hierbei um eine rein technische Prüfung der Interoperabilität, nicht um eine Sicherheitsüberprüfung, so Wolfgang Rosenkranz von der Österreichischen Staatsdruckerei gegenüber dem ORF. Für die Sicherheitsüberprüfung sei das „Country Signer Certificate“ zuständig, so Rosenkranz. Hierbei handelt es sich um eine Bestätigung des ausstellenden Staates über die Integrität der Daten. Um diese zu überprüfen, muss der kontrollierenden Staat den öffentlichen Schlüssel des ausstellenden Staates kennen.
Hier lauert laut Times das zweite Problem. Bisher haben nur fünf der 45 Staaten, die elektronische Reisedokumente ausstellen, ihre Schlüssel an das in Singapur betriebene „Public Key Directory“ übermittelt. Die Darstellung der Times suggeriert, dass den anderen Staaten eine Überprüfung der „Country Signer Certificates“ nicht möglich sei; tatsächlich aber werden die Schlüssel bilateral mittels diplomatischer Kuriere ausgetauscht. Eine zentrale Datenbank „macht sicher Sinn, ist aber nicht unbedingt notwendig“, so Rosenkranz weiter, da sie die Ausstellung von Folgezertifikaten erleichtern könne. Allerdings gibt es zum Beispiel vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitsbedenken gegenüber einer solchen zentralen Speicherung.
Quelle: datenschutz.de