Laut einem Bericht der Seite EETimes hat der Chaos Computer Club nach dem vor kurzem erfolgten spektakulären Coup um Wolf*an* Schäubles Fingerabdrücke ein weiterer praktischer Beitrag zur Biometrie- und RFID-Debatte geglückt. Laut dem Artikel sollen die Hacker (in Kooperation mit IT-Experten von der University of Virginia) geschafft haben, bei einem recht verbreiteten und für Dinge wie Kundenkarten oder auch Zugangskarten (access control) genutzten Chip-Modell die Verschlüsselung zu knacken.
“The Chaos Computer Club (Hamburg, Germany) has cracked the encryption scheme of NXPs popular Mifare Classic RFID chip. [...] The achievement allows the crackers to read out data, recharge payment cards, copy RFID cards or generate “new” users. Man kann sich ausdenken, für welch kreative kriminelle Zwecke dieser Zugang genutzt werden könnte.
Die (proprietäre) Verschlüsselung auf dem seit Mitte der 90er gebräuchlichen Chip ist offenbar mit 48 Bit nicht mehr Stand der Technik, was den Hackern den unautorisierten Zugriff erleichterte. Dies zeigt bereits eines der Probleme beim Einsatz derartiger Technologien auf: Der technische Fortschritt ist momentan im IT-Bereich sehr rasant und nicht immer vorhersehbar. Somit könnten Sicherheitssysteme, die heute als nicht realistisch umgehbar angesehen werden, durch Durchbrüche bei der Hardware oder neue Algorithmen in zehn Jahren alles andere als sicher sein. Führt man nun Systeme wie den biometrischen Reisepass oder Personalausweis ein, geht man ja in aller Regel davon aus, dass diese Dokumente jahrelang problemlos und ohne zusätzliche Sicherheitsrisiken genutzt werden können. Dies aber könnte sich, wie man hier sieht, als Trugschluss erweisen. Einer Manipulation wären dann Tür und Tor geöffnet- ein Zustand, der nicht mehr viel mit Sicherheit zu tun hat- von den Steuergeldern, die der dann nötige Austausch des kompromittierten Chips gegen ein moderneres und sichereres Modell verschlingen würde, ganz zu schweigen.
Angesichts derart eklatanter konzeptioneller Mängel vermag es nicht wirklich zu beruhigen, dass NXP vermeldet, dass der Betroffene Chip “nicht für sicherheitskritsische Anwendungen wie Reisepässe oder Gesundheitskarten verwendet wird. Der hier vorhandene Proof of Concept zielt auf etwas anderes ab: Was heute sicher ist, kann morgen bereits von Kriminellen umgehbar sein, und wer zusätzliche Komplexität in ein System bringt, macht dieses zumindest auf lange Sicht oft angreifbarer.
Neben dem gesellschaftlichen, psychologischen und rechtlichen Aspekt (die alle problematisch genug sind) hat die Kritik an der Einführung von E-Pass und E-Perso also auch eine handfeste technische Komponente- und auf genau diese hat der Chaos Computer Club mit seiner Aktion eindrucksvoll hingewiesen.
