(Un-)Sicherheit von ePässen - neue Studie

**Annika_Kremer** · 27. 01. 2010, 20:04

Kritiker haben schon seit Längerem immer wieder vor Sicherheitsrisiken bei elektronischen Ausweisdokumenten gewarnt. Britische Hacker bestätigten dies nun: sie deckten ernsthafte Schwächen beim aktuellen ePass auf, die Bewegungsprofile der Inhaber ermöglichen.

zur News

**LordArion** · 27. 01. 2010, 20:15

Dass diese Möglichkeit prinzipiell besteht, ist wohl weder überraschend noch neu. Aber die geringe Reichweite (0.5 m im Artikel genannt) lässt irgendwelche reellen Risiken sehr unwahrscheinlich erscheinen.
Man müsste vorher wissen, welche Orte die betreffende Person aufsuchen könnte, diese müsste den Pass in nicht abgeschirmter Form bei sich tragen und die Datenauslese müsste jedes Mal, mitunter binnen kürzester Zeit, problemlos funktionieren.
Da stellt sich sicherlich nicht nur mir die Frage: Was für Bewegungsprofile sollten damit erstellt werden ?

**DanteConstantin** · 27. 01. 2010, 20:15

Mal ne ganz dumme frage, selbst wenn die Daten des Ausweises verschlüsselt sein sollten, kann man von dem verschlüsselten container doch ne art MD5-Hash erstellen den man dann nur noch verfolgen muss, oder irre ich mich da?

€dit: @ Lord Arion
diese Stellen könnten zum Beispiel Türen zu Gebäuden oder aber Diebstahldetektoren in Märkten sein. Wahlweise auch direkt an/unter der Theke oder im Eingangsbereich von öffentlichen Verkehrsmitteln

**LordArion** · 27. 01. 2010, 20:21

Gibt es irgendwo die Originalstudie? Ich bezweifle, dass das z.B. in Supermärkten problemlos funktionieren würde. Schon auf kürzere Distanzen sind die meisten dieser Ausleseverfahren sehr fehleranfällig.

**we0815** · 27. 01. 2010, 21:07

Allein schon die Tatsache, dass die Daten von irgendwem ausgelesen werden können oder Bewegungsprofile erstellt werden können reicht ja wohl aus. Und selbst wenn die Ausleseverfahren noch Fehleranfällig sind, wird das nicht ewig so bleiben.

Mal davon abgesehen das ich es persönlich nicht einsehe, mir extra wegen nem neuen Ausweiß, der absolut nicht notwendig ist, ein mit Eisen gefüttertes Portemonnaie zu kaufen. Und das nur damit ich mir sicher sein kann, dass niemand meine Daten ausliest...

**Fiech** · 27. 01. 2010, 21:35

Zitat von DanteConstantin

Mal ne ganz dumme frage, selbst wenn die Daten des Ausweises verschlüsselt sein sollten, kann man von dem verschlüsselten container doch ne art MD5-Hash erstellen den man dann nur noch verfolgen muss, oder irre ich mich da?

Ich würd mal sagen, das ist genau das, was die Forscher da machen.

Zitat von LordArion

Dass diese Möglichkeit prinzipiell besteht, ist wohl weder überraschend noch neu. Aber die geringe Reichweite (0.5 m im Artikel genannt) lässt irgendwelche reellen Risiken sehr unwahrscheinlich erscheinen.

Hmm... Lesegerät mit einer kleinen Sprengladung versehen und auf Gürtelhöhe an die Haus-/Wohnungstür pappen, oder in eine Aktentasche und an der Bushaltestelle, die das Opfer benutzt unter die Bank legen.
Oder noch besser: Die Tasche auf das Grundstück des Opfers legen -> Das Opfer schaut nach, was es ist und wenn es den Koffer hochnimmt --> wumms
Vorteil: Du musst nich in der Nähe sein, du kannst das Teil ein paar Tage vorher reinwerfen, bevor das Opfer ausm Urlaub zurückkommt. Dann erinnern sich auch die Nachbarn nich mehr...

**wolfkid** · 27. 01. 2010, 22:17

Und selbst wenn die Ausleseverfahren noch Fehleranfällig sind, wird das nicht ewig so bleiben.

Genau das ist eben das Problem. Ebenso die Fälschungssicherheit.
Niemand weiß, was in der Zukunft möglich sein wird.
Aber selbstverständlich wird niemand Bewegungsprofile erstellen, Daten sammeln, Daten verkaufen oder fälschen.
Ganz einfach, weil es ja verboten ist. Daran hält sich selbstverständlich jeder.

Wie beispielsweise auch die Bezahlung per Fingerabdruck (will Rewe testen oder testet bereits).
Natürlich ist so etwas immer absolut sicher und kann nie geknackt werden. Im Zweifel ist also der jeweilige Besitzer (hier Kunde) schuld.
Auch wenn allein der gesunde Menschenverstand eigentlich jedem sagen müsste, dass nichts sicher ist, nur weil es jemand behauptet.

**pdude** · 27. 01. 2010, 22:31

von wegen bewegungsprofile, mir kommen da ein paar bombige attentatszenarios hoch

**choppx** · 27. 01. 2010, 22:52

Tja, das Volk ist schon lange nicht mehr der Staat. Im Prinzip wird man ein solches Gesetz/Neuerung immer durchbringen, da es den meisten sowieso egal ist, solange sie ihr offensichtlich unbedeutendes Leben vor sich hin leben dürfen. Typisch Mensch - wir sind quasi zum Aussterben verdammt

Was wird wohl die Zukunft bringen?

**TRON2** · 28. 01. 2010, 01:03

Zitat von LordArion

Dass diese Möglichkeit prinzipiell besteht, ist wohl weder überraschend noch neu. Aber die geringe Reichweite (0.5 m im Artikel genannt) lässt irgendwelche reellen Risiken sehr unwahrscheinlich erscheinen.
Man müsste vorher wissen, welche Orte die betreffende Person aufsuchen könnte, diese müsste den Pass in nicht abgeschirmter Form bei sich tragen und die Datenauslese müsste jedes Mal, mitunter binnen kürzester Zeit, problemlos funktionieren.
Da stellt sich sicherlich nicht nur mir die Frage: Was für Bewegungsprofile sollten damit erstellt werden ?

Diese Denke greift vllt. etwas zu kurz. Bewegungsprofile können vielfältig erstellt werden(Handytrack). Der Harken ist, der notwendige Richterbeschluss. Wenn man so Streife fährt, kommt einen öfter der Gedanke, diese oder jene Gruppe mal zu Identifizieren.

Neue Technik versagt nicht? Man sollte erst mal wissen, wie es ist, beim vorbeifahren Vorstellungskraft zu erlangen, wer Das ist. Es müssen auch nicht alle, lesbar sein. Einer, sicher vernetzt, reicht vllt. schon aus.

Als wenn Du das nicht besser wüstest!

**Sempralon** · 28. 01. 2010, 01:24

@LordArion, die Metro testet ein solches Erfassungssystem, um das Einkaufen zu Personalisieren, die Testpersonen hatten eine Karte mit einem RFID-Chip bei sich geführt, ohne das sie dies wußten, sie dachten, das diese Karte lediglich zum bezahlen gedacht war (Paybackcard), doch leider war es so, das diese Karten auch das Aufzeichnen der Verweilzeiten in den Jeweiligen Regalreihen ermöglichten, inclusive dem Anpassen (manipulieren) der elektronischen Preisanzeigen ...

... und?

... aus der Sicht eines Politikers?

RFID im Ausweis! Perfekte Sache!

.............. oder?

@pdude, jupp ... man platziert eine Bombe und nur wenn ein unbequemer Gefährder (Richtige RFID) vorbei kommt geht diese Hoch!
Klar was dann in der Presse stehen wird ... Gefährder sowieso hat einen Selbstmordanschlag verübt!

Es ist ganz einfach ...

Lebt ihr noch?
Klappt die Kinnladen wieder hoch!
Das neueste RFID-System hat einen Hochleistungskondensator implementiert, der bekommt am Eingang eine ordentliche Ladung verpasst, so das der Chip mit einer höheren Sendeleistung operieren kann.
Ferner wird am Eigangsbereich die für diesen Laden benötigte Sendeleistung gleich mit voreingestellt ...