Wählen Sie Ihre Nachrichten​

Sicherheitslücke im biometrischen Pass
Lokales 2 Min. 27.09.2019

Sicherheitslücke im biometrischen Pass

Die Sicherheitslücke betrifft sämtliche biometrische Pässe weltweit.

Sicherheitslücke im biometrischen Pass

Die Sicherheitslücke betrifft sämtliche biometrische Pässe weltweit.
Guy Jallay
Lokales 2 Min. 27.09.2019

Sicherheitslücke im biometrischen Pass

Jacques GANSER
Jacques GANSER
Ein Forscherteam der Uni Luxemburg hat einen sicherheitsrelevanten Fehler beim Scannen von Reisepässen aufgedeckt.

Forscher der Universität Luxemburg haben einen Fehler im Sicherheitsstandard entdeckt, der seit 2004 weltweit bei sogenannten elektronischen Pässen verwendet wird. Demnach können solche Pässe aus der Distanz ausgelesen und dessen Inhaber identifiziert werden.

Der Standard ICAO 9303 ermöglicht eigentlich das Scannen dieser Pässe an dafür vorgesehenen e-Pass-Readern, zum Beispiel an Flughäfen. Der Standard wird dabei von der Internationalen Zivilluftfahrtorganisation (International Civil Aviation Organization, ICAO) vorgegeben und ist weltweit gültig. Er soll verhindern, dass gewisse Informationen, die auf dem Pass enthalten sind, miteinander verknüpft werden können.

Mit dem entsprechenden Gerät lassen sich Reisepässe in unmittelbarer Nähe scannen, unter Beobachtung stehende Passinhaber wiedererkennen und Aufenthaltsorte ermitteln.

Ross Horne

Eine Forscher-Gruppe der Universität Luxemburg hat nun festgestellt, dass das System einen Fehler hat und die Identitätsdaten von nicht-genehmigten Geräten gescannt und erkannt werden können.  

 „Mit dem entsprechenden Gerät lassen sich Reisepässe in unmittelbarer Nähe scannen, unter Beobachtung stehende Passinhaber wiedererkennen und Aufenthaltsorte ermitteln“, so Dr. Ross Horne,  Forscher am Interdisciplinary Centre for Security, Reliability and Trust (SnT). „Somit besteht für Inhaber von Reisepässen kein Schutz davor, dass ihre Bewegungen von einem nicht autorisierten Beobachter überwacht werden“.


Mit modernsten Analysegeräten spüren die Experten der Polizei gefälschte Dokumente auf.
"Section Expertise Documents" der Polizei: Fälschungssicher gibt's nicht
Eine kleine Einheit der Flughafenpolizei überprüft täglich Ausweise und andere Dokumente. Der Einfallsreichtum der Fälscher kennt dabei keine Grenzen.

Ein nicht autorisiertes Gerät, das einen Pass aus mehreren Metern Entfernung scannt, kann diesen Pass zwar identifizieren und nachverfolgen, jedoch nicht lesen. So besteht durch einen Angriff beispielsweise keine Gefahr für die biometrischen Informationen, die auf einem Chip im Pass gespeichert sind. Der Fehler ermöglicht es Angreifern zwar nicht, auf alle Informationen des Passes zuzugreifen, die Identität, der Aufenthaltsort und somit die Privatsphäre des Passinhabers, sind jedoch anfällig für mögliche Angriffe.

Ein weltweites Problem

„Da die meisten Reisepässe heute den gleichen Standard verwenden, ist diese Sicherheitslücke ein weltweites Problem“, so Dr. Horne weiter. In Europa verstößt eine solche Sicherheitsverletzung wahrscheinlich gegen die Anforderungen des EU-Datenschutzrahmens. Regierungen tragen die Verantwortung, die Privatsphäre der Bürger zu schützen und sollten gewährleisten, dass offizielle Dokumente vor derartigen Angriffen sicher sind.

Das Forscherteam hat sich im Juni an die ICAO gewandt und sie über die Ergebnisse der Untersuchung informiert. Es lieferte auch verschiedene Vorschläge zur Wiederherstellung des Datenschutzes, beispielsweise, dass die Hersteller von e-Pass-Readern für den Datenschutz der Passinhaber verantwortlich sein sollten.

ICAO reagiert

In einer Stellungnahme hat die ICAO unterstrichen, dass man sich des Problems angenommen hat. Demnach sei die aktuelle Protokollversion nicht mehr von diesem Problem betroffen ist. Ohnehin sei es trotz der Lücke zu keine Moment  möglich gewesen, personenbezogene Daten einzulesen.


Lesen Sie mehr zu diesem Thema