LUXEMBURG
IZ

Uni Lëtzebuerg deckte Sicherheitslücke bei Pässen auf - Außenministerium beruhigt

Es ist ein breites Feld: die Computersicherheit. Man befasst sich hier vor allem mit dem Schutz von Informationen in Umgebungen, in denen die Möglichkeit eines Eindringens oder böswilliger Handlungen besteht. Spezielle Konferenzen wie die ESORICS sollen dazu beitragen, den Fortschritt der Forschung im Bereich der Computersicherheit durch die Einrichtung eines europäischen Forums für die Zusammenkunft von Forschern auf diesem Gebiet, durch die Förderung des Gedankenaustauschs mit Systementwicklern und durch die Förderung von Verbindungen zu Forschern in verwandten Bereichen voranzutreiben. So war im Jahr 2019 die Konferenz in Luxemburg zu Gast - und die Uni Lëtzebuerg hat eine Methode vorgestellt, wie biometrische Pässe, die auf dem ICAO-9303-Standard basieren, für die Erstellung von Bewegungsprofilen der Besitzer genutzt werden können. „Der Standard war ursprünglich entworfen worden, um die Privatsphäre des Besitzers bestmöglich zu schützen und Bewegungsprofile unmöglich zu machen“, führt dazu der Piraten-Abgeordnete Sven Clement in einer parlamentarischen Anfrage an das Außen- und Innenministerium aus.

Erkennen, aber nicht lesen

Der Standard ICAO 9303 ermöglicht e-Pass-Readern an Flughäfen das Scannen von Reisepässen und die Identifizierung der Inhaber. Die meisten Reisepässe verwenden heute den Standard ICAO 9303, der von der Internationalen Zivilluftfahrtorganisation (International Civil Aviation Organization, ICAO) herausgegeben wurde, wie es auch von der Uni heißt. Der Standard sollte die Nichtverkettbarkeit und den Schutz der Daten des Passinhabers in höchstem Maße gewährleisten. Diese Nichtverkettbarkeit garantiert, dass ein Angreifer nicht unterscheiden kann, ob zwei Elemente eng miteinander verbunden sind. Dr. Ross Horne, Prof. Sjouke Mauw, Doktorand Zach Smith und Master-Student Ihor Filimonov haben diesen Standard überprüft - und einen Fehler entdeckt, der es bestimmten nicht autorisierten Geräten ermöglicht, auf Passdaten zuzugreifen. „Mit dem entsprechenden Gerät lassen sich Reisepässe in unmittelbarer Nähe scannen, unter Beobachtung stehende Passinhaber wiedererkennen und Aufenthaltsorte ermitteln“, erklärte Dr. Horne bei der Präsentation. „Somit besteht für Inhaber von Reisepässen kein Schutz davor, dass ihre Bewegungen von einem nicht autorisierten Beobachter überwacht werden.“ Ein nicht autorisiertes Gerät, das einen Pass aus mehreren Metern Entfernung scannt, könne diesen Pass zwar identifizieren und nachverfolgen, jedoch nicht lesen. So besteht durch einen Angriff beispielsweise keine Gefahr für die biometrischen Informationen, die auf einem Chip im Pass gespeichert sind. Der Fehler ermöglicht es Angreifern zwar nicht, auf alle Informationen des Passes zuzugreifen, die Identität, der Aufenthaltsort und somit die Privatsphäre des Passinhabers, sind jedoch anfällig für mögliche Angriffe. „Da die meisten Reisepässe heute den gleichen Standard verwenden, ist diese Sicherheitslücke ein weltweites Problem“, sagt Dr. Horne weiter. In Europa verstößt eine solche Sicherheitsverletzung wahrscheinlich gegen die Anforderungen des EU-Datenschutzrahmens. Diese Ergebnisse der Studie „Breaking Unlinkability of the ICAO 9303 Standard for e-Passports Using Bisimilarity“ wurden am 24. September auf der ESORICS 2019 Conference vorgestellt. Clement möchte daher wissen, wie mit dieser Diagnose in Luxemburg umgegangen wird.

In der Antwort schreibt Außenminister Jean Asselborn (LSAP), dass das Außenministerium nicht vorab von der Uni über die Studie informiert worden sei. Man habe erst nach der Konferenz darüber erfahren.

Asselborn präzisiert, dass die Identitätskarten in Luxemburg die gleichen technischen Normen der ICAO respektieren wie die biometrischen Pässe. Ein eventueller Missbrauch von dieser Anfälligkeit erlaube aber nicht die Auslesung der biometrischen Daten. Es könnte nur festgestellt werde, dass der Pass einen Kontrollpunkt passiert habe. Daten zum Besitzer könnten nicht erlangt werden. Ein reelles Risiko für Reisende sieht das Außenministerium nicht.