E-Pass: Datenklau am Grenzzaun

Inwieweit man die Daten des E-Passes beim Auslesen überhaupt mitschneiden kann, darüber geistern unterschiedliche Zahlen durch die Republik. Entgegen der Information auf der FAQ-Seite des BSI lässt sich nach Angaben der niederländischen Forscher der Funkverkehr über mehrere Meter mitschneiden, nicht nur 15 cm weit. Das hat auch den deutschen Bundestag schon bewegt: In der Bundesdrucksache 16/854 vom März 2006 fordern 27 Abgeordnete, „die Ausstellung biometrischer Reisepässe mit RFID-Technik auszusetzen, bis die technischen Schutzvorrichtungen so weit entwickelt sind, dass sie vor Entschlüsselung effektiv schützen.“ Sie gehen davon aus, dass die Daten bis zu 30 Meter ausgelesen werden können.

Beides ist richtig, man muss zwischen „aktivem“ und „passivem“ Auslesen unterscheiden: Ein Lesegerät darf maximal 15 cm von dem Chip entfernt sein, um ihn auszulesen, dies wird als „aktives“ Auslesen bezeichnet. Um diese Kommunikation „passiv“ mitzuschneiden, wie es auch die niederländischen Forscher getestet haben, kann man sich allerdings bis zu 30 Meter entfernt aufhalten. Das bedeutet: Es ist nicht möglich, die E-Pässe aller Besucher einer Diskothek einfach auszulesen, existiert aber am Eingang ein Lesegerät, bei dem der E-Pass-Chip aktiviert wird, so lassen sich diese Daten während des Lesevorgangs auch aus bis zu 30 Metern mitschneiden. Dann müssen sie allerdings erst noch entschlüsselt werden.

Die Abgeordneten fordern außerdem eine Lösung, die an die technische Entwicklung angepasst werden kann, schließlich sind die Pässe zehn Jahre lang gültig, eine Ewigkeit im Computerzeitalter. Das BMI wiegelt jedoch ab: Die implementierte Sicherheitslösung wird als ausreichend sicher für eine Gesamtverwendungsdauer des E-Passes von zehn Jahren eingestuft“ heißt es auf Anfrage.