Viren, Spyware, Datenschutz 11.214 Themen, 94.187 Beiträge

News: Faules Sicherheitskonzept enttarnt

RFID-Ausweise an Flughäfen - leichtes Spiel für Terroristen

Michael Nickles / 15 Antworten / Flachansicht Nickles

Die Sicherheitsexperten an deutschen Flughäfen haben jetzt ein böses Problem. Laut Bericht des ARD-Magazins Kontraste ist es Hackern des Chaos Computer Clubs (CCC) gelungen, die elektronischen Sicherheitsausweise von Flughafen-Mitarbeitern zu knacken.

Die basieren auf RFID-Funktechnik und können leicht mit einem simplen Selbstbau-RFID-Empfänger abgegriffen werden. Hacker müssen sich dazu eigentlich nur in die Nähe eines Flughafen-Mitarbeiters mit "umgehängtem" Sicherheitsausweis schleichen um ihn auszulesen.

Ein Flughafenmitarbeiter räumte gegenüber Kontraste ein, dass man alleine mit so einem Ausweis problemlos durch die Sicherheitsbereiche des Flughafens bis rein "ins Flugzeug" kommt - menschliche Ausweiskontrollen gibt es nicht.

Bei der RDIF-Implementierung scheint sich das zuständige Sicherheitsunternehmen "Legic Prime" wenig Mühe gemacht zu haben. Laut Chaos Computer Club scheint es beim Auslesen der Karten mit einem Fremdlese-Geräte keinerlei Hürden zu geben. Bereits Ende Dezember informierte der CCC über die gravierende Sicherheitslücke, passiert ist bislang aber nichts. Erprobt wurde die Sache am Hamburger Flughafen.

Der ist allerdings nicht der einzige, bei dem Sicherheitsausweise mit RFID verwendet werden. Laut Kontraste wird das "witzlose" Sicherheitssystem auch auf den Flughäfen Stuttgart, Dresden, Hannover und Berlin Tegel verwendet. Einen Kommentar zur Sache wollten die zuständigen "Flughäfen" nicht abgeben. Immerhin wurde Kontraste ein vertrauliches Schreiben des Schweizer Sicherheitsunternehmens "Legic Prime" zugespielt.

Darin wurde den Kunden erklärt, dass ein Aufzeichnen und übertragener Daten und späteres Wiedereinspeisen praktisch unmöglich sei, weil durch Datenverschlüsselung eine hohe Sicherheit garantiert ist. Der CCC dementiert diese Behauptung. Tatsächlich soll es keine Verschlüsselung geben.

Erwartungsgemäß verweigerte Legic Prime Kontraste ein Interview, soll laut Kontraste inzwischen aber seine Internetseite geändert haben. Zuvor wurde mit "hohe Sicherheit" geworben, jetzt ist dort nur noch von "Basis-Sicherheit" die Rede.

Michael Nickles meint: Wie können Flughafen-Sicherheitsexperten so blöd sein und der Technik eines "Sicherheitsanbieters" vertrauen, ohne sie vorher ausgiebig zu überprüfen? Warum reden die nicht einfach im Vorfeld mit Experten wie dem CCC?

Denn: so was ist keine Pippifax-Investition. Laut Bericht von Kontraste sind über 15.000 Karten zuzüglich Lesegeräten im Einsatz und den Flughäfen ist es zu teuer die "Schrotttechnik" auszutauschen. Auch die Kosten für "menschliche Kontrollen" wichtiger Sicherheitsbereiche seien zu hoch.

Anscheinend brauchen die ihr Geld aktuell für die Installation der "Nacktscanner".

bei Antwort benachrichtigen
mcdaggett Michael Nickles „RFID-Ausweise an Flughäfen - leichtes Spiel für Terroristen“
Optionen

Da sieht man mal wieder, wie die Chance verspielt wurde, mit extrem wenig Aufwand viel Ergebnis zu erhalten.

Kurzer Abschweif: Mein Tresor wiegt über eine Tonne. Da habe ich freundlich bei der hiesigen Feuerwehr angefragt, ob nicht Lust bestünde, eine Übung zu fahren mit Kran und was weiß ich was. Die waren hellauf begeistert und haben mir, im Gegenzug zu ihrer Übung mit schwerem Gerät, den Tresor ins Haus gestellt. Als Dankeschön gabs die obligatorischen Kästen Bier an die Jungs.

So etwas geht mit dem CCC (zumindest den örtlichen Niederlassungen) mit absoluter Sicherheit auch. Ich denke, ein kleiner Verband würde sich schon über ein gutes "Taschengeld" (gerne auch im Tausenderbereich) freuen, um RFID-Sicherheitsmerkmale vorab zu testen. Es hätte hierbei also keiner zweiten Sicherheitsfirma mit horrenden Kosten bedurft. Und das entsprechende Geld steht sicherlich in absolut keinem Verhältnis zu einer "professionellen" (sagen wir "kommerziellen") Sicherheitsfirma. Aber ich denke, hier liegt das Problem wieder in der Unternehmensstruktur - an so etwas denkt man einfach gar nicht. Oder man ist sich nicht bewusst, wer oder was der CCC ist und welche großartige Arbeit seit Jahrzehnten geleistet wird...

bei Antwort benachrichtigen