VIDEO: RFID-Chip in der Mikrowelle

Schwachstellen im Diskurs

Die „Sicherheit“ des neuen Personalausweises ist eigentlich ein ziemlich uninteressantes Thema, denn auch kritischere Stimmen dazu wirken irgendwie nur vorgeschoben. So vermeldeten zahlreiche Medien über den Chaos Computer Club im August 2010, dass „Betrüger sensible Daten inklusive der PIN-Nummer abfangen“ könnten.[1] Will der CCC den neuen Ausweis etwa sicherer machen? Davon, dass Ausweise eigentlich abgeschafft gehören, ist jedenfalls kaum etwas zu hören. Immerhin betrifft der mögliche Datendiebstahl nur diejenigen, die den Ausweis auch verwenden und die neue eID-Funktion (zur Verifizierung bei Online-Shops und Online-Angebote von Behörden) oder die digitale Signatur QES (Qualifizierte elektronische Signatur als Unterschrift für digitale Dokumente) nutzen wollen.[2]

Gerademal 18 Internetseiten bieten die eID-Funktion an (Stand 04/2011), darunter das Flensburger Verkehrszentralregister für die Einsicht ins persönliche Punktekonto, die „Deutsche Rentenversicherung Bund“ für Abfragen über den bisherigen Versicherungsverlauf, „Arbeitsagentur.de“ zu Fragen rund ums Kindergeld oder die „Schufa“ zur Überprüfung der dort gespeicherten personenbezogenen Daten.[3]

Viel entscheidender als die digitalen Funktionen des neuen Persos bleibt für die informationelle Selbstbestimmung die mögliche Wiedereinführung der Vorrats- datenspeicherung. Das Bundesverfassungsgericht hatte am 2. März 2010 das Gesetz nach Beschwerden Tausender BürgerInnen aufgehoben. Verbindungsdaten von Telefon, Handy, Mail und Internet – also wer wann mit wem telefoniert, gechattet, wo und wann Prisma oder Bauwas! heruntergeladen hat – sollen für 6 Monate gespeichert werden. Niedersachsens Justizminister Bernd Busemann und Innenminister Uwe Schünemann (beides CDU-ler) legten letzte Woche, am 24. Mai 2011, eine „Formulierungshilfe für Berlin“ vor, in der der entsprechende Gesetzestext präzisiert wird. Eine Diskussion darüber, ob das Gesetz überhaupt zur Anwendung kommen soll, lehnen die beiden Konservatisten entschieden ab und machen Druck von rechts.[4]

Technische Schwachstellen

Bei den technischen Macken der neuen Chipkarte muss vor allem auf die Haftungs- regelung aufmerksam gemacht werden. Denn bei der Nutzung des Ausweises gilt der sogenannte „Anscheinsbeweis“, der im Prinzip eine Beweislastumkehr darstellt. Ist die eID-Funktion oder die digitale Signatur irgendwo im Netz aktiv, gilt damit die Identität des jeweiligen Nutzers als verifiziert. Der Beweis für gehackte PINs, TANs, elektronische Signaturen und Zertifikate muss dann also von den NutzerInnen selbst geführt werden.

1 - Das Lesegerät

Im August 2010 hatte der Chaos Computer Club im ARD-Magazin „Plus Minus‟ die Basis-Lesegeräte für den neuen Personalausweis gestestet und erstmals auf Sicherheitslücken hingewiesen. Mittels einfacher Keylogger können die Ausweis-PIN und sonstige TANs mitgelesen und genutzt werden, solgange der Ausweis mit dem Kartenleser verbunden ist.[5] Mit den auf diese Weise beschafften Adressdaten liesse sich der Ausweis auch relativ zielsicher klauen. Als Abhilfe empfiehlt der CCC bessere Lesegeräte der Stufe 2 oder 3, die über eine eigene Tastatur verfügen. Aber Achtung: Sogar die Bildschirmtastatur der sogenannten „Ausweis-App“ schützt nur vor einfachen Trojanern und vermittelt ein falsches Sicherheitsgefühl, siehe weiter unten.

2 - Der PIN-Code

Im September 2010 demonstrierte der Chaos Computer Club (CCC) in der WDR-Sendung „Bericht aus Brüssel‟[6], wie sich der PIN-Code durch einen Angreifer auslesen, manipulieren und die digitale Unterschrift des jeweiligen Besitzers klauen lässt. Durch Änderung der PIN-Nummer werden die Zusatzfunktionen des Ausweises für den rechtmäßigen Besitzer gesperrt. Stattdessen können die Angreifer auf Kosten des Nutzers online Einkaufen und Verträge abschließen. Auch die digitale Unterschrift kann mit Hilfe der richtigen Tools ausgelesen werden.[7]

3 - Die „AusweisApp“

Am 10. November 2010 wurde die Ausweis-App geknackt: „Liebe Bürgerinnen und Bürger, die Software AusweisApp wird derzeit überarbeitet. In Kürze wird an dieser Stelle eine neue Version der AusweisApp zum Download zur Verfügung stehen.‟, hieß es da auf der Seite des Bundesamtes für die Sicherheit in der Informationstechnik (BSI). Dem Piratenpartei-Spezi Jan Schejbal gelang es, die Update-Funktion des Programms zu nutzen, um Malware auf einen Rechner zu spielen. Mit Hilfe einer Manipulation im DNS-Protokoll wurde die „AusweisApp“ dazu gebracht, sich mit dem falschen Update-Server zu verbinden und dessen Zertifikat zu akzeptieren.[8] Geile Sache!

4 - PIN-Diebstahl ohne Malware mit der „AusweisApp“

Etwas weniger spektakulär, aber für 80% der Bevölkerung eine echte Bedrohung ist der Browser-Hack[9], den Schejbal am 17. Januar 2011 veröffentlichte. Per JavaScript, HTML und Bildern der „AusweisApp“ wird unaufmerksamen Usern die Ausweis-Software im Browser vorgeschoben. Hier bekämen NutzerInnen eine Fehlermeldung zu sehen, damit kein Verdacht geschöpft wird, während die PIN bereits an den Server weitergeleitet wird. „Die Fehlermeldung wäre auch nichts besonderes – bei den meisten Seiten funktioniert die Ausweisfunktion eh nicht. […] Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden.“[10]

5 – RFID-Tags

Das beiläufige Auslesen amerikanischer RFID-Chips ist zwar noch nicht auf den neuen Personalausweis übertragbar, aber dennoch als Feldstudie und Prognose interessant zu beobachten: „The USA is now tracking its residents with the same respect given to items in Walmart.“[11] Beim neuen ePerso funktioniert die Abfrage offiziell nur im Bereich von maximal drei Zentimetern. Dass diese Kommunikation mit empfindlichen Empfängern auch aus wesentlich größerer Entfernung mitgelauscht werden kann, bleibt noch zu beweisen.

Methoden zur Deaktivierung des RFID-Chips

Am sichersten ist der elektronische Ausweis immernoch, wenn der Chip mit einem elektromagnetischen Impuls überladen wird. Rechtlich und faktisch ist das Ausweis- dokument auch ohne funktionierenden Chip vollwertig gültig, weswegen Manipulationen am Chip keinerlei Folgen haben. Die „Stiftung Warentest“ liefert dazu wohl nicht ganz ernst gemeinte Hinweise, nachdem ein Ausweis bei ihrem letzten Test schon ab Werk nicht funktionierte: „Denkbar ist trotz sorgfältiger Aufbewahrung und vorsichtiger Benutzung auch eine Beschädigung nach Auslieferung durch die Bundesdruckerei. Elektrische Strahlung oder statische Aufladung können die mikroskopisch feinen Strukturen von Chips zerstören.“[12]

1 - Deaktivierung mit Mikrowelle

Das Video zeigt das Grillen des Ausweises für 3 Sekunden bei 600 Watt. Möglicher- weise reicht schon ein kürzerer Impuls, um den Chip (13,56-MHz-Transponder) lahmzulegen – das ist Spannung pur und Partyspaß für die ganze Familie! Am besten mit 2 Sekunden testen, da der Ausweis sonst Feuer fängt. Ab 3 Sekunden beginnt die Antenne im Plastikmantel (RFID-Flachspule) zu schmelzen und sucht sich mittels einer kleinen Stichflamme einen Weg nach draußen. Also aufgepasst!

Video: http://www.youtube.com/watch?v=KZGSM1qYLKM

2 - Der RFID-Zapper

Eine kleine Einwegkamera mit Blitz wird zur Mikrowelle umfunktioniert: Durch eine Spule wird ein starkes elektromagnetisches Feld erzeugt, dessen Spannung die Schaltung im RFID-Chip durchbrennt. Die Schüler des Pascal-Gymnasiums in Grevenbroich deaktivierten unter Anleitung ihres Lehrers in einer WDR-Sendung vom 13. September 2010 den RFID-Chip in nur zwei Unterrichtsstunden.[13] Hierzu verwendeten sie einen hochvoltigen Blitzkondensator einer billigen Einwegkamera, die mit einer Spule aus Kupferdraht nachgerüstet wurde. Für autonome BastlerInnen sicherlich die schönste Variante zum Zerstören von RFID-Chips, allerdings auch nicht ungefährlich!

Anleitung: http://www.scribd.com/doc/17663218/RFID-Zapper-1

3 – RFID-Blocker-Folie

Die Folie funktioniert im Prinzip wie ein faradayscher Käfig. Dieser macht sich einen elektrischen Effekt zunutze, der dafür sorgt, dass sich elektrische Felder nur an der Außenseite der eines Leiters fortpflanzen. Da der RFID-Chip keine eigene Stromversorgung hat, muss er von einem Kartenleser aktiviert werden. Genau da kommt die RFID-Blocker-Folie ins Spiel: Die elektromagnetischen Strahlen für die Energieversorgung des RFID-Chips können nicht mehr zum Chip durchdringen. Damit ist der Chip von der Außenwelt abgeschirmt und hält sein Maul wie Anna und Arthur!

Produkt: http://www.rfid-ready.de/201103182099/schutz-fuer-sensible-daten.html

4 – Bürgeramt

Einige Websiten behaupten, dass der RFID-Chip beim Bürgeramt deaktiviert werden kann. Das stimmt leider nicht! Lediglich die eID-Funktion kann kostenlos abgeschaltet werden. Eine erneute Aktivierung kostet 6 Euro. Die elektronische Signatur (QES) muss generell separat bei sogenannten Zertifizierungsdiensteanbietern gekauft und nachträglich auf den Chip geladen werden.

Links und weiterführende Informationen

[1] Wikio News Feed: http://www.wikio.de/buzz/chaos_computer_club-145441/2010-08-24-elektronischer-personalausweis-chaos-computer-club-lesegerat
[2] Broschüre des BMI zum neuen Perso: http://www.personalausweisportal.de/PersonalausweisbroschuereA6.html?nn=830452
[3] Stiftung Warentest vom 21.04.2011 "Enttäuschung im Praxistest": http://www.test.de/themen/computer-telefon/schnelltest/Neuer-Personalausweis-Enttaeuschung-im-Praxistest-4214969-4214971/
[4] TAZ-Artikel vom 24.05.2011 "Minister versuchen sich in Nachhilfe": http://www.taz.de/1/nord/artikel/1/minister-versuchen-sich-in-nachhilfe/
[5] PlusMinus vom 24.08.2010 erklärt den ePerso: http://www.netzpolitik.org/2010/plusminus-erklart-den-eperso/
[6] WDR "Bericht aus Brüssel" vom 22.09.2010: http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/personalausweis.jsp
[7] CCC vom 21.09.2010 "Praktische Demonstration erheblicher Sicherheitsprobleme": http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa
[8] Schejbal am 09.11.2010 "AusweisApp gehackt": http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
[9] Fiktiver FSK18-Bereich der Piratenpartei: https://fsk18.piratenpartei.de/
[10] Schejbal am 17.01.2011 "PIN-Diebstahl ohne Malware": http://janschejbal.wordpress.com/2011/01/17/eperso-pin-diebstahl-ohne-malware/
[11] ShmooCon 2009 "Mobile RFID scanning": http://hackaday.com/2009/02/02/mobile-rfid-scanning/
[12] Stiftung Warentest vom 25.01.2011 "Erster Ausfall": http://www.test.de/themen/computer-telefon/meldung/Neuer-Personalausweis-Erster-Ausfall-4197167-4197189/
[13] WDR-Mitschnitt vom 22.09.2010 "Schüler löschen persönliche Daten": http://djassi.blogsite.org/?p=3077&t=schuler-deaktivieren-neuen-epersoepa-in-nur-2-stunden