Warum gibt es Pass-Sicherheit.de? Eine Erklärung weshalb es diese Website gibt.

 

Ein Bericht über den neuen Reisepass in der Tagesschau am 1. November 2007 hat bei mir Verwunderung hervorgerufen. So sollen ab diesem Zeitpunkt persönliche Daten und Fingerabdrücke über eine Funkschnittstelle abrufbar sein.

Mir, als Elektrotechniker, machten sich schnell Bedenken bezüglich des Datenschutzes breit.

Denn von der ersten Sekunde an war klar: Sensible Daten durch die Luft zu übertragen, erscheint mir eine fragwürdige Idee. Auch mögen die Verschlüsselungstechniken der RFID-Chips zunächst Sicherheit bieten, aber wer garantiert mir als Nutzer, dass dies auch so bleibt?

Zum Thema Sicherheit fiel mir ein, dass man bei Chips auf Kreditkarten sogar so weit ging, die in Hardware gegossene Verschlüsselung mit einem Elektronenrastermikroskop zu entschlüsseln.

So viel Aufwand muss man bei RFID bei weitem nicht betreiben. Die Brut-Force-Methode, also das Entschlüsseln der Daten durch intelligentes Ausprobieren, kann hier bereits ein erfolgreiches Mittel sein. Nicht zuletzt moderne Grafikkarten mit Prozessoren, welche speziell die hier zur Anwendung kommende Fließkommaberechnung beherrschen, lassen die Entschlüsselungszeiten immer kürzer werden.

Aber die Gedanken kreisten nicht nur um persönliche Daten, die ausgefunkt werden können. Gänzlich ohne jede Entschlüsselung senden viele RFID-Karten, darunter auch Kreditkarten, Bankkarten oder Ausweise, nach Anfrage eine eindeutige Nummer (ID) zurück.

Denkt man dabei an eine Bewegungsüberwachung könnten individuelle Profile erstellt werden. Vielleicht am besten vergleichbar mit einem unlöschbaren Tracking-Cookie auf dem Computer, der Daten über besuchte Websites und das Nutzerverhalten abspeichert.

So könnte festzustellen sein, welche ID sich z.B. vor einem Schaufenster aufhält. Wie lange diese dort verweilt und ob diese ID wiederkommt. Ob sie in den Laden hineingeht, ob sie etwas gekauft hat, wann diese wieder hinausgeht etc. Beim Bezahlen mit EC- oder Kreditkarte könnte man der ID dann sogar noch einen Namen zuordnen.

Die Frage wie man all das verhindern kann, konnte ich mir schnell beantwortet.

Es muss eine Art Faradayscher Käfig um die Karten, Ausweise und Pässe mit den RFID-Funkchips angebracht werden. Also ein Käfig in welchen keine elektromagnetischen Wellen eindringen können. Da der Funkchip dadurch von außen nicht mehr mit Energie versorgt werden kann, können auch keine Funksignale mehr zurück gesendet werden.

Jetzt ist da noch die Sache mit der Auslesereichweite des RFID-Chip.

Wenige Zentimeter sollen es sein, so heißt es. Diese Angaben stimmen auch, sofern es sich um ein Standard Lesegerät handelt. Entscheidend für die Auslesereichweite ist die eingesetzte Sendeenergie und die Antennentechnologie. Von entsprechenden Geräten können RFID-Chips bis zu mehreren Metern ausgelesen werden.

 

Als ich nach der Tagesschau am 01. November 2007 anfing darüber nachzudenken, was ich tun kann, um die Kontrolle über meine persönlichen Daten zu gewährleisten, kreisten die Gedanken zunächst nur um den Reisepass. Aber die Geschichte wäre nicht aus dem echten Leben, wenn sie nicht viel wahnwitziger sein würde.

Betroffene Karten & Anwendungen (Auszug):
  • Kreditkarten
  • Bankkarten
  • EC-Karten
  • Hotelkarten
  • Zutrittskarten
  • Personalausweise
  • Reisepässe
  • Lotteriekarten
  • Bonuskarten
  • Versicherungskarten
  • Kundenkarten
  • Blutspendeausweise
  • Krankenkassenkarten
  • Studentenausweise
  • Bibliotheksausweise
  • Fahrkarten
  • Führerscheine mit RFID-Chip
  • Haustürverriegelungssysteme
  • Einbruchmeldeanlagen
  • Smarthome Anwendungen
  • Ladekarten für Elektroautos
  • Veranstaltungstickets
  • Bike-Sharingcards
  • Car-Sharingcards
  • Ski-Keycards
  • Clubkarten
  • Parkkarten
  • Bahnkarten
  • Tickets, e-tickets
  • uvm. (die Liste wird regelmäßig aktualisiert)

Beispiel: Bei Lotteriekarten kann der Vor- und Zuname per Funk einfachst mit einer Smartphone-App ausgelesen werden.

Bei Lotteriekarten kann der Vor- und Zuname per Funk ausgelesen werden.

 

Was ist eine Relay Station Attack?

Die von mir angesprochene Technik nennt man RSA. RSA bedeutet "Relay Station Attack" und beschreibt eine Möglichkeit, die Reichweite eines Funk-Systems künstlich zu erhöhen. Umgangssprachlich könnte man auch Funkwellen-Verlängerer oder Funkstrecken-Verlängerer sagen. Um RSA zu verdeutlichen, nehmen wir folgendes Beispiel: Wenn das WLAN-Signal eines Routers zu schwach ist, um den PC zu erreichen, verwendet man einen WLAN-Repeater. Der WLAN-Repeater sitzt räumlich zwischen Router und PC. Der Repeater empfängt das ursprüngliche WLAN-Signal und sendet es wieder aus. Eine sogenannte "Relay Station".

Stellen Sie sich nun folgende Situation vor:
Sie stehen in der Schlange an der Kasse eines Supermarktes und warten. In Ihrer ungeschützten, normalen Handtasche oder Geldbörse befindet sich Ihre Geldkarte, Bankkarte oder Kreditkarte. Eine versehentliche Bezahlung per Funk mit dem Bezahlterminal ist auf den ersten Blick ausgeschlossen, da Sie ja noch viel zu weit von dem Bezahlterminal weg stehen. Das denken Sie.

Hinter Ihnen in der Schlange steht nun der Mensch, welcher Sie um ein klein wenig Geld erleichtern möchte. Sie werden dies nicht mitbekommen, denn alles, was er dazu braucht, ist in einer kleinen schwarzen Tasche, welche Ihrer Tasche oder Geldbörse ganz zufällig etwas näher kommt.

Doch wie kommt es jetzt zu einer Bezahlung mit Ihrer Karte?
Ein zweiter Betrüger zückt nun seine präparierte Geldbörse und hält sie ganz normal vor das Bezahlterminal. Die Zahlung wird akzeptiert, der Einkauf in die Tüte gepackt und beide Betrüger verschwinden - bezahlt mir Ihrer Karte. Sie haben keine Chance, diesen Trick mitzubekommen. Ihrer Karte sehen sie es nicht an, und herausfinden werden Sie es am Ende des Monats bei der Kartenabrechnung. Und dann? Beweisen Sie einmal, dass Sie nicht doch selber shoppen waren.

Der Trickbetrug: Zwischen dem Gerät, welches an das Bezahlterminal gehalten wird, und dem Gerät, welches sich in der Nähe Ihrer Tasche oder Geldbörse befindet, wurde eine Funkverbindung aufgebaut, z.B. mit WLAN oder Bluetooth. Ihre Kartendaten wurden darüber transferiert. Das beschreibt eine RSA - eine künstliche Verlängerung der Funkstrecke. Karte und Bezahlterminal kommen sich durch die größere Funkstrecke so "nahe", dass das System überlistet wird, obwohl sich die Karte räumlich eigentlich viel zu weit weg befindet.

Ich möchte an dieser Stelle auf ein Video auf Youtube verweisen, das diese Möglichkeit eindrucksvoll unter Beweis stellt. Eventuell nicht ganz umsonst hat der Ersteller des Videos auf eine Anfrage eines Nutzers in den Kommentaren, ob man diese App zur Verfügung gestellt bekommt, geantwortet, dass er nicht mehr in Besitz der App ist. https://www.youtube.com/watch?v=mUhyMJ_F2co


Ebenfalls gänzlich neu ist eine weitere Betrachtung. Auf vielen RFID-Karten sind Namen und Adresse auf dem Funkchip hinterlegt. Tragen Sie diese Karten ungeschützt auch am Urlaubsort mit sich, könnten Adressdaten völlig unbemerkt und ohne direkten Kontakt ausgelesen werden. In der Regel ein Garant, dass Ihr Haus oder Wohnung zuhause gerade unbewohnt ist. Einen Anruf später ist ein Kollege "vor Ort" eventuell bereits in Ruhe "eingestiegen".

Die RFID Technologie dringt zunehmend in unseren Alltag ein, aber nur wenig bekommen wir davon mit. Wie die oben genannten Computer-Cookies, begleiten uns die kleinen Funkchips auf Schritt und Tritt. Annehmlichkeiten werden unter Umständen erkauft durch maximale Transparenz in allem was wir tun. Und Identitäten werden zu einem kostbaren Gut.

Vielen Menschen ist es egal, ob Vorlieben oder Verhaltensprofile über die eigene Person bekannt sind und genutzt werden. Sie haben "nichts zu verbergen". Dass Werbung passgenau auf jeden einzelnen geschaltet werden kann, stört auch nicht wirklich. Was aber, wenn verschiedene Datenquellen zusammen geschaltet werden? Versicherung? Krankheiten? Essverhalten? Bestimmte Vorlieben? Hat man dann vielleicht doch das ein oder andere gerne nicht erzählt oder eben: zu verbergen?


Die Geschichte lehrt uns, was möglich ist, wird umgesetzt. Was niemals knackbar ist, wird geknackt. Und was zusammengeführt werden kann, wird zusammengeführt.

Gewiss geht es nicht darum Technologien zu verteufeln oder dem technologischen Fortschritt entgegenzutreten. Gerne möchte ich aber bewusst und kontrolliert meine Daten preisgeben. Ich möchte bestimmen, wem ich sie gebe. Und ich möchte bestimmen, was und wann ich bezahle.

Diese wirklich einfachen "Werkzeuge", die nötig sind, um ein unkontrolliertes Abfließen meiner persönlichen Daten aus RFID-NFC-Chips zu verhindern, biete ich Ihnen in meinem Onlineshop an. Nutzen Sie die Vorteile kontaktloser Zahlungen und schützen Sie sich zu jeder Zeit vor unberechtigten Abbuchungen.

Das ist es, was ich gerne für Sie tun möchte.

Wenn Sie Fragen, Anregungen oder Kritik haben, zögern Sie nicht mir eine Nachricht zu schreiben.

Mit sicheren Grüßen
Ihr Timo Ferber