Schlagwort-Archive: RFID

Elektronischer Personalausweis kommt mit unsicheren Lesegeräten

In der letzten Plusminus-Sendung wurde in Zusammenarbeit mit dem CCC gezeigt, dass der im November kommende neue elektronische Personalausweis (ePA) in Zusammenhang mit den dann kostenlos verteilten Lesegeräten unsicher ist. Nun, das ist insofern keine Überraschung, als dass jede Anwendung, die auf dem PC läuft (hier betrifft es mindestens das Eingeben der PIN über die PC-Tastatur), prinzipiell nie zu 100% sicher ist. Das gilt vermehrt für die vielen Lemminge mit Windows-Rechnern, von denen das Bundesinnenministerium verlangt, dass sie für die Sicherheit der PC-Umgebung sorgen müssen. Aber hat das jemals geklappt?

Hier das Video zur Sendung:

Quelle: ARD, über YouTube

Da es immer eine Unsicherheitskomponente gibt, und sei es der Mensch selbst, hätte man meines Erachtens den ePA als hoheitliches Dokument nicht so mit neuen Funktionen überladen dürfen. Die beiden Kardinalfehler beim ePA sind aus meiner Sicht:

1) RFID/NFC-Schnittstelle

Damit können Daten über Funk (im Nahbereich) ausgelesen werden. Falls jemand diese Schnittstelle knackt oder bei authentifizierten Übertragungen mitlesen kann, ist die Sicherheit des Gesamtsystems am Ende. Derzeit ist das Auslesen der verschlüsselten Daten zwar nur nach Authentifizierung der Lesegeräte und PIN-Eingabe möglich, aber wie beim Online-Banking, bei dem die eigentlichen Kryptoverfahren auch sicher sind, wird es über kurz oder lang wahrscheinlich Möglichkeiten geben, diese ePA-Sicherheit zu umgehen (Pishing, Skimming, Man-in-the-middle, etc.).

Und ganz wichtig: Ich selbst habe keine unmittelbare physische Gewalt mehr über dieses Schnittstelle. Außer Schutz durch Alu-Hüllen.

2) Kopplung mit privatwirtschaftlichen Funktionen

Wieso wird der ePA mit Funktionen ausgestattet, die größtenteils der Privatwirtschaft nützen? Der ePA sollte ein rein hoheitliches Dokument bleiben. Alles andere (eID, digitale Zertifikate mit Signaturfunktion) gehört auf eine separate (Bürger-)Karte.

Diese beiden Punkte hätten jedem halbwegs kompetenten und lernwilligen Entscheider auffallen müssen. Denn ist so ein System erst mal gehackt, dann geht es uns wie bei den EC-Karten. Wehe dem, dessen Identität plötzlich missbraucht wird und in der Beweispflicht steht.

Weitere Infos:

Elektronischer Personalausweis kommt 2010

Der Bundesrat hat der Einführung des biometrischen Personalausweises mit elektronischem Identitätsnachweis zugestitmmt. Ab dem November 2010 werden die neuen Ausweise eingeführt.

Meines Erachtens ist die Kopplung der Feststellung der Identität mit Funktionen des alltäglichen elektronischen Rechtsverkehrs auf einer Karte kritisch zu sehen. Eine separate Bürgerkarte für elektronische Geschäfte wäre die bessere Wahl gewesen. Bleibt zu hoffen, dass die Abgabe der Fingerabdrücke freiwillig bleibt und sich möglichst viele Brüger nicht für eine biometrischen Vollerfassung entscheiden. Denn mehr Sicherheit bringen Biometrie und RFID nicht, was man allein bei der Handhabung in den Meldebehörden sieht.

Auf Nummer sicher: Per RFID in die Zukunft

Der schon im Mai 2007 gesendete ZDF-Film „Auf Nummer sicher“ zeigt sehr anschaulich, wie sich unsere Gesellschaft nach der flächendeckenden Durchdringung unseres Lebens mit Überwachungs- und RFID-Technologien ändern könnte. Der Film mischt sehr interessant und informativ Elemente aus fiktivem Spielfilm und realer Dokumentation.

Die allgegenwärtige Kontrolle und Überwachung unseres Lebens scheint in der Tat nur eine Frage der Zeit zu sein. Die katastrophale Verflechtung politischer Entscheidungen mit wirtschaftlichen Interessen ist in dieser Hinsicht besonders hervorzuheben.

Quelle und Copyright: ZDF

Umfrage zur RFID-Regulierung der EU-Kommission

Die EU-Kommission arbeitet derzeit an einer Strategie und Empfehlung für die Mitgliedsländer zur Regulierung von RFID. In der jetzigen Fassung sind recht strenge Anforderungen hinsichtlich Datenschutz und Sicherheit gestellt. Nun will man von EU-Bürgern und der Wirtschaft eine Meinung dazu einholen und bittet bis zum 25. April um eine Stellungnahme.

Besonders in Artikel 7 der Empfehlung werden die Rechte von uns Konsumenten behandelt. So ist vorgesehen, dass RFID-Tags, die in irgendeiner Form Rückschlüsse auf personengebundene Daten zulassen, an der Kasse automatisch deaktiviert werden sollen, es sei denn, der Kunde verlangt etwas anderes. Diese verbraucherfreundliche Regelung ist der RFID-Lobby (AIM ,Informationsforum RFID) sicherlich ein Dorn im Auge, da dadurch die einfache Verwendung von RFID erschwert (u.a. wohl durch Mehrkosten) und die Verbreitung von RFID im Handel gehemmt würde. Ich bin jedoch der Meinung, dass der Datenschutz bei RFID an oberster Stelle stehen muss und wirtschaftlichen Interessen nicht weichen darf. Ich glaube sogar, dass die Akzeptanz von RFID bei den Konsumenten durch strenge, klare und offene Datenschutzrichtlinien erhöht wird und somit auch der wirtschaftliche Erfolg nicht ausbleiben wird. Ich möchte in Zukunft ungern mit einem Haufen RFID-Etiketten in Kleidung und sonstigen Dingen durch die Gegend laufen, ohne zu wissen, wer damit zu welcher Gelegenheit persönliche Daten über mich gewinnt.

Dass das Verständnis über RFID-Anwendungen bei Personen und Firmen noch unterentwickelt ist, zeigen jüngste Studien.