News: Faules Sicherheitskonzept enttarnt
Die Sicherheitsexperten an deutschen Flughäfen haben jetzt ein böses Problem. Laut Bericht des ARD-Magazins Kontraste ist es Hackern des Chaos Computer Clubs (CCC) gelungen, die elektronischen Sicherheitsausweise von Flughafen-Mitarbeitern zu knacken.
Die basieren auf RFID-Funktechnik und können leicht mit einem simplen Selbstbau-RFID-Empfänger abgegriffen werden. Hacker müssen sich dazu eigentlich nur in die Nähe eines Flughafen-Mitarbeiters mit "umgehängtem" Sicherheitsausweis schleichen um ihn auszulesen.
Ein Flughafenmitarbeiter räumte gegenüber Kontraste ein, dass man alleine mit so einem Ausweis problemlos durch die Sicherheitsbereiche des Flughafens bis rein "ins Flugzeug" kommt - menschliche Ausweiskontrollen gibt es nicht.
Bei der RDIF-Implementierung scheint sich das zuständige Sicherheitsunternehmen "Legic Prime" wenig Mühe gemacht zu haben. Laut Chaos Computer Club scheint es beim Auslesen der Karten mit einem Fremdlese-Geräte keinerlei Hürden zu geben. Bereits Ende Dezember informierte der CCC über die gravierende Sicherheitslücke, passiert ist bislang aber nichts. Erprobt wurde die Sache am Hamburger Flughafen.
Der ist allerdings nicht der einzige, bei dem Sicherheitsausweise mit RFID verwendet werden. Laut Kontraste wird das "witzlose" Sicherheitssystem auch auf den Flughäfen Stuttgart, Dresden, Hannover und Berlin Tegel verwendet. Einen Kommentar zur Sache wollten die zuständigen "Flughäfen" nicht abgeben. Immerhin wurde Kontraste ein vertrauliches Schreiben des Schweizer Sicherheitsunternehmens "Legic Prime" zugespielt.
Darin wurde den Kunden erklärt, dass ein Aufzeichnen und übertragener Daten und späteres Wiedereinspeisen praktisch unmöglich sei, weil durch Datenverschlüsselung eine hohe Sicherheit garantiert ist. Der CCC dementiert diese Behauptung. Tatsächlich soll es keine Verschlüsselung geben.
Erwartungsgemäß verweigerte Legic Prime Kontraste ein Interview, soll laut Kontraste inzwischen aber seine Internetseite geändert haben. Zuvor wurde mit "hohe Sicherheit" geworben, jetzt ist dort nur noch von "Basis-Sicherheit" die Rede.
Michael Nickles meint: Wie können Flughafen-Sicherheitsexperten so blöd sein und der Technik eines "Sicherheitsanbieters" vertrauen, ohne sie vorher ausgiebig zu überprüfen? Warum reden die nicht einfach im Vorfeld mit Experten wie dem CCC?
Denn: so was ist keine Pippifax-Investition. Laut Bericht von Kontraste sind über 15.000 Karten zuzüglich Lesegeräten im Einsatz und den Flughäfen ist es zu teuer die "Schrotttechnik" auszutauschen. Auch die Kosten für "menschliche Kontrollen" wichtiger Sicherheitsbereiche seien zu hoch.
Anscheinend brauchen die ihr Geld aktuell für die Installation der "Nacktscanner".
