Thema: Überwachung, Transparenz, Datenschutz

[SiLæncer]

Den Datenschützern weht unter den Schlagwörtern "Terrorbekämpfung" und "Innere Sicherheit" nach Angaben eines Experten ein scharfer Wind ins Gesicht. "Sicherheit wird seit dem 11. September 2001 vielerorts wichtiger genommen als der Datenschutz", sagte der Vorsitzende des Bundesverbands der Datenschützer (BvD), Hannes Federrath, in einem dpa-Gespräch. Bürgerrechte würden mehr und mehr zu Gunsten der vermeintlichen Sicherheit des Staates abgebaut und beschnitten.

"Letztlich wird jeder Mensch wie ein potenzieller Terrorist behandelt", sagt der Regensburger Professor für IT- Sicherheitsmanagement. So könne jemand allein dadurch Nachteile erleiden, weil er den falschen Nachnamen habe. Ein Problem sieht der Datenschützer auch in der Speicherung biometrischer Daten, die etwa für die Erstellung eines Reisepasses aufgenommen wurden.

"Es besteht die Gefahr, dass die eh schon vorhandenen Daten Begehrlichkeiten wecken, sie auch für andere Zwecke – etwa die Suche nach Kriminellen – zu nutzen", warnt Federrath. Schleichend entstünde so ein Verlust von Datenschutz und Freiheit. Im Laufe der Zeit würde dadurch genau das entstehen, was eigentlich vermieden werden sollte: "Der Bürger fühlt sich unfrei und nicht mehr geborgen in seinem Staat." Wenn schon Daten gespeichert werden müssen, dann sollten laut Federrath die Daten unbescholtener Bürger wenigstens nicht missbraucht werden können.

Auf einem Datenschutz-Kongress am 16. und 17. März in Ulm wollen sich rund 80 Experten unter anderem mit der Frage befassen, wie eine Balance zwischen der Sicherheit des Staates und den Bürgerrechten gefunden werden kann.

Quelle : www.heise.de

[SiLæncer]

Forscher zeigen in einem Versuch die Infizierung von RFID-Tags

RFID-Tags lassen sich zur Verbreitung von Viren missbrauchen, warnen niederländische Forscher. Die Wissenschaftler haben in einem Feldversuch Schadcode in ein RFID-Tag bekommen, der etwa die Backend-Systeme von RFID-Leseeinheiten angreifen kann. Mit dem Versuch wollen die Forscher demonstrieren, welche Gefahren von RFID-Tags ausgehen können, auch wenn bislang kein Virus oder Wurm in freier Wildbahn gesichtet wurde.

Computerwissenschaftler der Vrije Universität in Amsterdam haben herausgefunden, dass sich Schadcode in RFID-Tags ablegen lässt. Diese Tags haben üblicherweise nur eine Speicherkapazität von weniger als 1.024 Bit, so dass bisher vermutet wurde, dass sich darin kein Schadcode unterbringen lässt. In einem Versuch wurde das von den niederländischen Forschern nun widerlegt.

Auf der Webseite www.rfidvirus.org schildern die Forscher, wie Schadsoftware in ein RFID-Tag eingeschleust werden kann. Darüber könnten Angreifer etwa die Backend-Systeme hinter RFID-Lesegeräten durcheinander bringen und womöglich erheblichen Schaden anrichten. So ist etwa denkbar, dass das Warensystem eines Supermarkts durch einen Angriff nicht mehr funktioniert oder aber die Gepäckabfertigung in einem Flughafen außer Gefecht gesetzt wird. In der Machbarkeitsstudie konnte Schadcode sogar andere RFID-Tags infizieren und sich so verbreiten.

Angetrieben wurden die Forscher dadurch, dass die RFID-Industrie das hier beschriebene Angriffsszenario bislang als rein theoretisches Problem abgetan hatte. Die Wissenschaftler wollen nun erreichen, dass bei Einsatz von RFID die Sicherheitsrisiken stärker als bisher berücksichtigt werden.

Quelle : www.golem.de

[SiLæncer]

In einem Antrag (Bundestagsdrucksache 16/854) fordert die Bundestagsfraktion der FDP die Bundesregierung auf, die Ausstellung der neuen Reisepässe, bei denen auf RFID-Chips biometrische Daten elektronisch gespeichert werden, vorerst auszusetzen. Die Liberalen bezweifeln, dass die Verschlüsselung der Daten einen hinreichenden Schutz bietet; sie verweisen dabei auf das Beispiel der niederländischen ePässe, die bereits geknackt wurden.

Die Verschlüsselung der Daten basiere auf der "Basic Access Control", die den Richtlinien der EU und der Luftfahrtorganisation ICAO entspreche, führen die Liberalen in ihrem Antrag aus. "Der geheime Schlüssel für den Zugriff auf den Chip und die verschlüsselte Datenübertragung berechnen sich dabei aus einer Behördenkennzahl und einer fortlaufenden Nummer. Theoretisch liefern diese Zahlen zusammen genommen eine Verschlüsselungsstärke von rund 56 Bit – vorausgesetzt, sie lassen sich nicht zu genau abschätzen oder sogar aus anderen Quellen erschließen", schreiben die Liberalen. Dies sei im Vergleich zu der 128-Bit-Verschlüsselung, die etwa bei Internet-Anwendungen eingesetzt werde, ein verhältnismäßig schwacher Schlüssel, meint die FDP.

Zwar habe es auf eine kleine Anfrage der FDP-Fraktion geheißen, dass "ein unberechtigtes Entschlüsseln der abgehörten Daten nach derzeitigem Stand der Technik nicht möglich ist". Allerdings beruhe der Biometrie-Reisepass in den Niederlanden auf identischen Sicherheitsstandards. Und die Entschlüsselung der Daten auf den niederländischen ePässen sei schließlich bereits gelungen. Ein Auslesen der Daten sei durch die RFID-Technik mit bestimmten Hilfsmitteln auch auf eine Entfernung von bis zu 30 Metern möglich, ohne dass der Passinhaber dies bemerke, betont die FDP-Fraktion in einer Erklärung zu ihrem Antrag.

Daher müsse die Ausgabe der deutschen ePässe ausgesetzt werden, bis die Daten effektiv vor unauthorisierter Entschlüsselung geschützt werden könnten. Außerdem sollte das Sicherheitssystem der ePässe durch Updates auf den jeweils neuesten Sicherheitsstandard gebracht werden können. Inhaber der ePässe sollten solch ein Update durch Installation neuer Software im ePass oder durch neue Pässe kostenlos erhalten.

Die ePässe in Deutschland wurden im vergangenen Jahr eingeführt; anfangs haben nach Angaben aus dem Bundesinnenministerium rund 600.000 Bundesbürger die neuen Pässe beantragt. In der ersten Version enthält der biometrische Reisepass ein Bild des Ausweisinhabers, das auf einem Chip gespeichert ist. Dieser Chip wird per Funk kontaktiert und schickt die auf ihm gespeicherten Daten, das Gesichtsbild und eine digitale Signatur nur dann zurück, wenn der Zugriffsschlüssel bei der Abfrage stimmt. Im Jahre 2007 oder später soll zum Gesichtsbild der Fingerabdruck kommen. In dieser zweiten Version erfordert der biometrische Reisepass den Aufbau einer komplexen Infrastruktur, weil beim Fingerabdruck online überprüft werden soll, ob die begleitende digitale Signatur gültig ist. Ab April dieses Jahres sollen zudem alle Pass-Stellen im April einen ePass-Leser bekommen, mit dem jeder Bürger überprüfen kann, was auf dem Chip gespeichert ist.

Quelle : www.heise.de

[_Immer_Intl_]

Prima.


Die RFID Heinzel (gesponset von intel & Co.) können sich schon mal warm anziehen, meiner Meinung nach.            

[SiLæncer]

Die RFID Lobby hat ja schon reagiert ....  

--------------------------

 RFID-Lobby: "RFID für Katzen ungefährlich"

Eine Konzeptstudie des Minix-Erfinders Andrew Tanenbaum über die Gefahr, RFID-Transponder könnten als Träger von Computerviren missbraucht werden, hat beim Interessenverband der RFID-Industrie AIM eine pikierte Stellungnahme hervorgerufen. Der Verband wisse das Bemühen der Universität Amsterdam zu würdigen, aber der Ansatz dieser speziellen Untersuchung sei doch recht fragwürdig, heißt es in einer Erklärung mit dem Titel "Ihre Katze ist sicher".

Tanenbaum selbst hatte das Motiv "Katze" als Aufhänger gewählt und sich auf die Tierheim-übliche RFID-Markierung von Haustieren bezogen. Sein hypothetisches Angriffsszenario ging davon aus, Hacker könnten ein manipuliertes Funk-Tag in ein Haustier injizieren, und wenn dieses etwa bei einem Tierarzt gelesen wird, schiebt es dessen Software per SQL-Injektion schädlichen Code unter. Von da ist es kein großer Schritt mehr bis zur Vorstellung, die infizierte Software könnte auch die Kodierung weiterer Haustier-Transponder kompromittieren. Nebenbei bemerkt ist dieses Risiko ausgeschlossen, weil Tierheime die zur Injektion vorgesehenen Transponder offenbar fertig beschrieben in einer Injektionsnadel angeliefert bekommen und überhaupt keine Gelegenheit haben, gefälschte Daten unters Tiervolk zu bringen.

AIM baut indes auf die Feststellung, dass ein Computervirus auf ausführbare Daten angewiesen ist, und führt aus, den meisten Systemen sei es gar nicht möglich, gelesene Daten als Programmcode zu interpretieren. Tanenbaum habe sich schlicht ein System mit Achillesferse konstruiert und diese dann ausgenutzt. Diese Argumentation trifft den Kern des Problems nicht. SQL-Injection ist eine verbreitete Angriffsmethode bei der Daten so eingeschleust werden, dass enthaltener Code zur Ausführung kommt. Viele Web-Applikationen waren oder sind immer noch anfällig für derartige Angriffe. Warum das bei der Middleware zum Einsatz von RFIDs nicht der Fall sein sollte, erklärt die AIM nicht (siehe dazu auch: SQL-Injection – Angriff und Abwehr auf heise Security).

Das Argument, Systeme mit nicht-beschreibbaren Tags seien immun gegen Computerviren, hat der Informatiker gleich im Voraus beantwortet: Wenn etwa ein Angreifer einen markierten Artikel im Laden kaufe, könne er ohne weiteres das nicht manipulierbare Tag durch ein selbstgeschriebenes ersetzen, in den Laden zurückschmuggeln und dort erneut auslesen lassen. Man kann das noch weiter spinnen: In einem Großmarkt, wo unter anderem Frischfleisch in Selbstbedienungspackungen abgefüllt wird, dürfte sehr wohl auch Hard- und Software zum Beschreiben neuer Tags im Einsatz sein. Sollte es jemandem gelingen, in diese Software einzugreifen, wäre Tanenbaums Beispielangriff durchaus denkbar.

Quelle und Links : http://www.heise.de/security/news/meldung/70988

[SiLæncer]

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat eine Stellungnahme zur geplanten Novellierung des schleswig-holsteinischen Polizeirechts veröffentlicht, mit der das Scannen von KFZ-Kennzeichen juristisch abgesichert werden soll. Mit der geplanten Neuregelung soll der automatische Datenabgleich aller KFZ-Kennzeichen mit einem Fahndungsdatenbestand gestattet werden. Die schleswig-holsteinischen Datenschützer stoßen sich vor allem an der Begründung ihres Innenministers, der das Scanning als "Mini-Eingriff" in die Grundrechte Unbeteiligter charakterisierte, der als solches kein datenschutzrechtliches Problem darstellen würde.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

George Orwell entwarf das Schreckensszenario eines Überwachungsstaats: Dieser Horrorvision sind wir schon ziemlich nahe gekommen, ohne dass sich jemand besonders daran stören würde. Die Überwachungsindustrie boomt - und auch der Missbrauch mit Datenspuren, die Verbraucher achtlos hinterlassen.

George Orwells Negativvision, die er in seinem Roman "1984" entwarf, war eine analoge. Die Überwachung besorgte eine Gedankenpolizei, die auf klassische Bespitzelung durch Menschen setzte. Ihr einziges Hightech-Instrument war ein zum Televisor mutiertes Fernsehgerät, mit dem die Partei in die Wohnungen der Bürger spähen konnte. Den gibt es bis heute nicht.

Er ist auch nicht mehr nötig. Wozu Spitzel mühsam Informationen zusammenklauben lassen, wenn die Menschen sie ahnungslos von selbst liefern - in Form eines stetig wachsenden digitalen Datenschattens? Gespeist werden die Datenbanken dabei längst nicht allein von misstrauischen Staatsorganen, sondern vor allem von aufmerksamen Unternehmen, die für ihre Kunden nur das Beste wollen.

Die gute Nachricht: Noch arbeiten alle Beteiligten mehr neben- als miteinander - der eine untersucht die Beine des Datenschattens, während der andere sich für den Kopf interessiert - und noch gehen die Beteiligten nicht effizient vor. Aber das könnte sich ändern.

Statt Televisoren breiten sich Kameraaugen aus. "Der Bedarf hat seit den Anschlägen von New York und Madrid merklich zugenommen", sagt Bruno Jentner, Marketingleiter der fränkischen Firma Funkwerk plettac electronic GmbH, die unter anderem Videoüberwachungssysteme für die Winterolympiade in Turin geliefert hat. Waren es anfangs hauptsächlich private Auftraggeber, die Überwachungskameras in Bahnhöfen, auf Flughäfen und in Bankgebäuden installierten, folgen nun staatliche Organe. Mitte März zum Beispiel wurde in Hamburg eine Kamerakette auf der Vergnügungsmeile Reeperbahn installiert. Begründung von Innensenator Udo Nagel: Hamburg wolle dem Sicherheitsbedürfnis von Bürgern und Gästen entgegenkommen.

Jentner versichert, dass die Kameras im Einklang mit geltendem Datenschutzrecht installiert werden: "Es gibt klare Voraussetzungen vom Gesetzgeber." Eine davon ist das so genannte Privacy Masking. Vor der Inbetriebnahme werden in der Software der um 360 Grad schwenkbaren Kameras die Neigungswinkel eingegeben, unter denen das Objektiv auf Wohnungsfenster zeigt. Schwenkt die Kamera in diesen Bereich, wird im späteren Betrieb der Bildschirm in der Polizeizentrale automatisch geschwärzt. Dieses Privacy Masking wird schon mal vergessen: Bundeskanzlerin Merkels Berliner Wohnung wurde jahrelang von einer Kamera auf dem nahe gelegenen Pergamon-Museum erfasst.

Vorreiter in der Videoüberwachung ist Großbritannien, wo schätzungsweise vier Millionen Überwachungskameras installiert sind. Aber Deutschland holt auf. Die meisten Bundesländer haben nach den Anschlägen vom 11. September in Neufassungen ihrer Polizeigesetze die rechtlichen Grundlagen dafür geschaffen. Da ist es nicht verwunderlich, dass die Branche kräftig wächst: Die auf Sicherheits- Technologien spezialisierte Mario Fischer Unternehmensberatung erwartet, dass das Marktvolumen für Videoüberwachungssysteme in Deutschland von 327 Millionen Euro im vergangenen Jahr auf 455 Millionen Euro 2010 wachsen wird.

Biometrie soll eigentlich Straftäter entlarven

Die Installation von Videoüberwachungssystemen genügt der Sicherheitsindustrie noch nicht: Die digitalen Bilddaten sollen mit Hilfe biometrischer Analyseverfahren auch ausgewertet werden. Dass die deutschen Stadionbetreiber bei der Fußball-WM hier nicht mit gutem Beispiel vorangehen wollen - nach Auskunft des WM-Organisationskomitees ist keine biometrische Auswertung geplant -, versteht der Vorsitzende des ZVEI-Fachverbandes Sicherheitssysteme, Bernd Seibt, nicht: "Der Verzicht auf Biometrie bei der WM 2006 wäre nicht nur von Nachteil für die innere Sicherheit, sondern auch eine verpasste Chance für das Image Deutschlands als Hochtechnologiestandort."

Dafür konnte die Sicherheitsindustrie auf einem anderen Biometriefeld punkten: Der neue Reisepass "e-Pass", der im November vergangenen Jahres eingeführt worden ist, speichert auf einem Chip ein frontal aufgenommenes Bild, das an Grenzübergängen mittels Gesichtserkennungssoftware mit Digitalporträts gesuchter Straftäter und Terroristen verglichen werden kann. Ab 2007 soll auf dem Chip auch ein digitalisierter Fingerabdruck hinterlegt werden. Das Beratungsunternehmen International Biometric Group erwartet angesichts dieser Möglichkeiten einen Boom im weltweiten Biometriemarkt: Der Jahresumsatz, so schätzen die Experten, werde von derzeit 2,1 Milliarden Dollar bis 2010 auf 5,7 Milliarden Dollar steigen.

Einhundertprozentige Sicherheit bei der Erkennung bieten Biometrie-Systeme bislang nicht. Die Raten von falscher Identifizierung oder Ablehnung liegen bei zwei Prozent: Das trifft statistisch 20.000 von einer Million Grenzgängern. Bei standardisierten Bildern seien Maschinen zwar bereits besser als Menschen, sagt der Neuroinformatiker Christoph von der Malsburg, der mit seiner Firma ZN Vision Technologies eines der weltweit führenden Gesichtserkennungssysteme entwickelte. Die Analyse von Bewegtbildern aus Videodaten stecke aber "noch sehr in den Kinderschuhen, sowohl was die Erkennung von Personen angeht - wegen schlechter Auflösung sowie variabler Beleuchtung und Pose - als auch im Sinne der Charakterisierung der Vorgänge."

Chips zur Erstellung von Kundenprofilen

Der Biometrie-Pass hat noch mehr Zweifelhaftes zu bieten: die so genannten RFID-Tags (Radio Frequency Identification). Sie werden nicht per Computer ausgelesen, sondern mittels elektromagnetischer Induktion. Das Lesegerät erzeugt damit berührungslos in der Spule des Tags einen Strom, der dessen Chip zum Senden der gespeicherten Personendaten veranlasst. Die sind verschlüsselt und sollen so Pässe endlich fälschungssicher machen, hoffen die Behörden in den Industrieländern. Doch schon im Juli 2005 gelang es dem niederländischen Sicherheitslabor Riscure, den Schutz mit einem normalen PC binnen zwei Stunden zu knacken.

Vorangetrieben wird die RFID-Technologie vor allem von der Warenwirtschaft, die sie als Revolution in der Logistik preist. Denn jeder RFID-Chip hat eine weltweit einmalige Nummer, die im so genannten Object Name System (ONS) abgelegt ist. Damit wird zum einen der Weg jeder einzelnen RFID-getaggten Ware lückenlos nachvollziehbar. Zum anderen sollen die RFID-Chips in Supermärkten und Kaufhäusern die Kassenabrechnung vollends automatisieren.

Im Einkaufswagen vorbei geschobene, getaggte Waren werden automatisch erkannt und die entsprechenden Preise zusammengerechnet - so jedenfalls die Theorie. Als Mitarbeiter der Metro - der Konzern gehört zu den treibenden Kräften der Technologie - Anfang März auf der Cebit Bundeskanzlerin Merkel die Vorzüge der Technik präsentieren wollten, erlebten sie ein Desaster: Fünfmal mussten sie den voll gepackten Einkaufswagen am Scanner vorbeischieben - dann erst erkannte er den Wageninhalt korrekt. "Da müssen Sie noch mal drüber nachdenken", soll die Kanzlerin trocken bemerkt haben.

Nachdenken sollten RFID-Verfechter auch über zwei potenziell hässliche Konsequenzen. In Verbindung mit Kundenkarten, von denen allein in Deutschland rund 100 Millionen ausgegeben sind, kann aus der detaillierten Einkaufsliste ein perfektes Konsumentenprofil erstellt werden. Damit kann der Handel endlich zur Online-Wirtschaft aufschließen, die dank Cookies solche Profile schon seit langem anlegen kann.

Mehr

Quelle : www.spiegel.de

[SiLæncer]

Überwachung ohne Transparenz fördert staatliche Willkür

 Wie kontrovers die Erforderlichkeit personenbezogener Überwachung gesehen wird, zeigt die aktuelle Diskussion um die Novellierung des Polizeirechts in Schleswig-Holstein. Es geht dabei um die Zulassung von geheimen Ermittlungsmethoden, vor allem in Privatwohnungen und bei der Telekommunikation, sowie um neue so genannte Jedermann-Kontrollbefugnisse – dazu gehören Rasterfahndung, Schleierfahndung, Videoüberwachung und Kfz-Kennzeichen- Scanning. Die Polizei soll mehr als bisher verdeckt ermitteln sowie Menschen kontrollieren dürfen, von denen keine erkennbare Gefahr ausgeht und die auch keiner Straftat verdächtig sind.

In der Diskussion versuchte der auch für Verfassungsfragen zuständige Innenminister Ralf Stegner gegen mich als Datenschützer mit dem Argument zu punkten, er müsse eben beide Seiten berücksichtigen: Sicherheit und Freiheit – ich dagegen könnte mich eindeutig und komfortabel auf die Freiheit kaprizieren. Nach einem ähnlichen Denkmuster kritisierte der Münchener Polizeipräsident Wilhelm Schmidbauer unsere Rechtsprechung, die leider „von lauter freiheitsliebenden Gutmenschen“ ausgehe: „Andersherum gesprochen: Die Verfassungsrichter haben Misstrauen in die Gesetzestreue der Polizei.“

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Strenge rechtliche Regelungen für den Datenschutz gefordert

Die großen Industrieverbände sehen die Radiofrequenz-Identifikation (RFID) in Deutschland und Europa vor dem Durchbruch. Laut einer Studie der Deutschen Bank wächst der Weltmarkt für diese Systeme sowohl im Hard- und Software-Bereich als auch bei den Dienstleistungen von 2004 bis 2010 von 1,5 auf 22 Milliarden Euro. Doch Verbraucherschützer monieren: Wenn bald jeder Joghurtbecher vom Regal über die Kasse bis in den privaten Kühlschrank daheim verfolgt werden kann, werde der Konsument zum gläsernen Kunden.

RFID (Radio Frequency IDentification) sind in hauchdünne Etiketten eingearbeitete winzige Chips mit einem Transponder, die eine weltweit eindeutige Seriennummer enthalten und ohne Sichtkontakt aus einiger Entfernung per Funk ausgelesen werden können. RFID-Chips sollen nach dem Willen von Handel und Industrie in Zukunft die Strichcodes auf den Waren ersetzen, heute sind sie beispielsweise in den aktuellen Reisepässen (ePass) zu finden. Anders als beim Strichcode, der das Produkt nur der Art nach bezeichnet, ist mit RFID jedes einzelne Hemd und jede Packung Frischkäse über die weltweit eindeutige Seriennummer identifizierbar.

In Zukunft könnte damit jedes Produkt, das ein Kaufhaus verlässt, am Ausgang gescannt werden, das Geld hierfür würde automatisch vom Konto des Kunden abgebucht. Aber auch gegen Produktpiraterie kann die Technik erfolgreich eingesetzt werden, würden RFID-Chips Markenfälschungen von Originalen doch zuverlässig auf Grund ihrer Herkunft unterschieden.

Heute leistet die Überwachung per Chip bereits gute Dienste bei der Verteilung der richtigen Art und Dosis von Medikamenten für Krankenhauspatienten. Die für 2006 erwartete Wachstumsrate von 50 Prozent im RFID-Segement sei bereits in den ersten sechs Monaten erreicht worden, so der Chef des Informationsforums RFID Michael ten Hompel auf einer Fachtagung der Industrieverbände BDI und Bitkom und des Bundeswirtschaftsministeriums in Berlin.

Um das Wachstum der Technologie weiter auszubauen, begrüßen die Verbände die positive Haltung der Bundesregierung gegenüber den Lokalisierungschips. Gleichzeitig warnen sie vor einer Überregulierung der Technologie, vor allem strenge rechtliche Regelungen sind der Industrie ein Dorn im Auge.

Verbraucherschützer dagegen kritisieren: Obwohl die Verbreitung von RFID in den nächsten Jahren stark zunehmen soll, sind die Auswirkungen auf die Persönlichkeitsrechte der Konsumenten bislang nicht systematisch untersucht worden. Die deutsche Vereinigung für Datenschutz befürchtet, dass ein Unternehmen, das die kleinen Chips zur Standortbestimmung von Produkten einsetzt, ohne allzu großen Aufwand in der Lage sei, mit Daten aus der Videoüberwachung in Geschäften oder dem Zahlvorgang an der Kasse einen Personenbezug herzustellen.

Der Verbraucherschutz sieht noch klaren Diskussionsbedarf und fordert vom Handel ein Datenschutz- und Verbraucherschutzkonzept für den Einsatz von RFID. Darin solle die Zusicherung enthalten sein, RFID nur offen, zeitbegrenzt und zweckgebunden in Konsumartikeln zu verwenden.

Quelle : www.golem.de

[SiLæncer]

Folgt man den Ausführungen von Unternehmen und Behörden, sind die neuen elektronischen Reisepässe, bei denen Daten auf RFID-Chips gespeichert werden, sicher. Offensichtlich ist dies aber nicht der Fall: Nachdem bereits Anfang des Jahres Mitarbeiter einer niederländischen Sicherheitsfirma im Fernsehen gezeigt hatten, wie sich die zwischen Ausweisdokument und RFID-Lesegerät übertragenen Daten abhören und innerhalb weniger Stunden entschlüsseln lassen, führt ein deutscher Sicherheitsexperte derzeit auf der "Black Hat Briefings and Training USA 2006" in Las Vegas vor, wie die auf den RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können.

"Die derzeitige ePass-Architektur ist ein einziger Hirnschaden", echauffiert sich Lukas Grunwald gegenüber dem Online-Magazin Wired News. "Aus meiner Sicht sind RFID-Pässe eine riesige Geldverschwendung, da sie in keinerlei Hinsicht die Sicherheit erhöhen", erklärt der Geschäftsführer der Hildesheimer DN-Systems, ein auf IT-Sicherheitsprodukte und- Dienstleistungen spezialisiertes Beratungsunternehmen. Grunwald benötigte eigenen Angaben zufolge lediglich zwei Wochen, um herauszufinden, wie sich die elektronischen Daten eines RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen – auch auf Smartcards, die dann für Zutrittsberechtigungen genutzt werden könnten.

Grunwald bediente sich bei seinen Recherchen vor allem aus offiziellen Dokumenten der internationalen Luftfahrtbehörde ICAO, in denen die Systemstandards für ePässe beschrieben sind. Als Lese- und Schreibgerät nutzt der Sicherheitsexperte einen für Grenzkontrollen offiziell zugelassenen RFID-Reader der deutschen ACG Identification Technologies. Als Software kommt das "Golden Reader Tool" (GRT) zum Einsatz, das den Anforderungen der ICAO entspricht. Nachdem Grunwald die Daten eines RFID-Passes mittels dieser Hard- und Software ausgelesen hat, brennt er zunächst das ICAO-Layout auf einen neuen RFID-Tag, sodass die Basisstruktur des Chips den offiziellen Anforderungen entspricht. In einem nächsten Schritt wird der Chip dann über das selbst entwickelte Programm RFDump mit den kopierten Daten gefüttert.

Laut Grunwald erhält man so ein Dokument, das elektronische Pass-Lesegeräte nicht vom Original unterscheiden können. Lediglich Änderungen der Daten (etwa Name oder Geburtsdatum) fallen auf, da diese über Kryptoschlüssel zusätzlich gesichert sind. Straftäter könnten derart manipulierte Pässe aber durchaus nutzen, um an automatisierten Grenzkontrollen eine elektronische Fahndungsabfrage zur eigenen Person zu umgehen. Auffallen würde der Eingriff allerdings, wenn ein Grenzbeamter das Lichtbild und die gedruckten Passdaten mit den auf dem Chip abgelegten digitalen Daten vergleicht. Ziel der Einführung von elektronischen Reisepässen ist aber nicht zuletzt, den Personalaufwand für Kontrollen im Grenzverkehr künftig deutlich einzuschränken.

Quelle : www.heise.de

[SiLæncer]

Das nach den Anschlägen des 11. September 2001 verabschiedete "Anti-Terror-Paket" hat sich nach Ansicht von Bundesinnenminister Wolfgang Schäuble (CDU) bewährt und sollte mit kleinen Änderungen weiter gelten. Neben der Aufklärung von Straftaten gehe es vor allem um Terror-Prävention, sagte Schäuble heute im "Interview der Woche" des Deutschlandfunks.

Die in der vergangenen Woche von den Landesinnenministern beschlossene Anti-Terror-Datei nannte der Minister eine "sinnvolle Regelung". Der Kompromiss sei verfassungsfest. Das Kabinett werde den Gesetzentwurf noch im September verabschieden. Er hoffe, dass das Gesetz zum 1. Januar 2007 in Kraft tritt, sagte Schäuble.

Der Bundesinnenminister sprach sich erneut dafür aus, in Zukunft Mautdaten nicht nur zum Gebühreneinzug zu nutzen. Die so gewonnenen Informationen sollten nicht nur der Aufklärung von Straftaten dienen, so der CDU-Politiker, sondern auch präventiv, zur Verhinderung von Straftaten. Dies könne auf Grund einer richterlichen Anordnung geschehen.

Als weitere Präventionsmaßnahme forderte Schäuble einen verstärkten Einsatz der Bundespolizei zum Beispiel in Bahnhöfen. Die stichprobenartigen Kontrollen mit Sprengstoffspürhunden könnten aufgestockt werden – "damit man eben doch vielleicht eine präventive Wirkung hat, dass die Leute sich nicht so sicher sein können, wenn sie mit einem Koffer voll Sprengstoff durch den Bahnhof laufen, dass sie nicht vielleicht doch erkannt werden".

Auch die Gleise müssten besser kontrolliert werden, etwa durch Hubschrauberüberwachung, meinte Schäuble. Darüber hinaus sollten Videokameras auch an "Brennpunkten öffentlicher Kommunikation" eingesetzt werden, nicht nur an Verkehrsknotenpunkten.

Der Verfassungsschutz soll nach dem Wunsch des Ministers in die Lage versetzt werden, das Internet besser zu überwachen. Schäuble bestätigte im Deutschlandfunk die Summe von 50 Millionen Euro, die dem Dienst dafür zusätzlich zur Verfügung gestellt werden sollen.

Quelle : www.heise.de

[SiLæncer]

Fünf Jahre nach den nach den Anschlägen auf die Zwillingstürme von New York und auf die Zentrale des US-Verteidigungsministeriums richten sich die Augen der Weltöffentlichkeit wieder auf "Ground Zero". Die USA gedenken der fast 3000 Toten und Vermissten, noch heute leiden Helfer, die an den Bergungs- und Aufräumarbeiten beteiligt waren, an den Spätfolgen. Wenn vom 11. September 2001 die Rede ist, dann häufig von dem "Tag, an dem sich die Welt änderte".

Die Anschläge hatten nicht nur politische und wirtschaftliche Folgen, die USA schickten nach den Terroranschlägen nicht nur Soldaten nach Afghanistan und Irak, sondern entdeckten ebenso die Informationstechnik als Mittel und Risiko im Kampf gegen den Terror, auch mit hierzulande weit reichenden Konsequenzen. Wer in der Suchmaske des heise-Newstickers allein nach dem Auftauchen des Begriffs "Terror" forscht, wird auf rund 350 Fundstellen verwiesen. Lediglich 17 von den aufgelisteten Meldungen sind vor dem 11. September 2001 online gegangen.

Nicht einmal drei Wochen nach den Anschlägen lag im US-Parlament bereits eine überarbeitete Fassung des Antiterror-Gesetzpakets Patriot Act ("Provide Appropriate Tools Required to Intercept and Obstruct Terrorism") vor. Es stellte unter anderem das unbefugte Eindringen in Computer unter Strafe, zudem sollten die Gesetzeshüter leichteren Zugang zu ungeöffneten E-Mails und Telefongesprächen von Verdächtigen bekommen. Zur gleichen Zeit hat der US-Geheimdienst National Security Agency mit Erlaubnis des US-Präsidenten George W. Bush, aber ohne die eigentlich erforderliche richterliche Genehmigung, heimlich damit begonnen, Telefongespräche von US-Bürgern mit Terrorverdächtigen im Ausland abzuhören und Verbindungsdaten innerstaatlicher Kommunikation auszuwerten.

Die Ermittlungspannen, die verhindert hatten, dass die Attentäter vor ihren Todesflügen gestoppt werden konnten, verdeutlichten beim FBI einen massiven technischen Rückstand. Es hat einige Jahre gebraucht, bis nun die verschiedenen Abteilungen und lokalen Filialen anscheinend in der Lage sind, auf einen gemeinsamen Datenbestand zuzugreifen und nach Terrorverdächtigen zu recherchieren. Allerdings bezweifeln Beobachter in den USA, dass die Computersysteme des FBI so wie auch des DHS den massiv gestiegenen Anforderungen, die an die Technik als Hilfsmittel im Kampf gegen den Terror gestellt werden, gewachsen sind. Die kürzlich vom FBI vorgeführte Antiterror-Datenbank erregt so wie die Bespitzelung durch den NSA den Unmut der Bürgerrechtler, da der Datenschutz beeinträchtigt und die Grundrechte in Frage gestellt würden. Nun wehren sie sich gegen eine Überarbeitung der gesetzlichen Grundlage für Abhöraktionen, die das Vorgehen des US-Präsidenten und des NSA gewissermaßen nachträglich legitimieren würde.

Auch in Deutschland wurde schnell gehandelt. Kaum zwei Wochen nach den Anschlägen jenseits des Atlantiks legte Bundesinnenminister Otto Schily sein erstes Paket Anti-Terror-Gesetze vor, das zum Beispiel schärfere Überprüfungsmöglichkeiten für Personal in Flughäfen vorsah. Datenschützer, Juristen und Politiker fühlten sich ebenso schnell aufgefordert, zu Besonnenheit und zu einer Verhältnismäßigkeit der Mittel zu mahnen. Schilys Nachfolger Wolfgang Schäuble meinte nun anlässlich des Jahrestags, die Anti-Terror-Gesetze hätten sich bewährt. Die Verschärfung der Einreisebestimmungen in den USA nahm die Bundesregierung zum Anlass, zum 1. November 2005 den biometrischen Reisepass einzuführen. Aufsehen erregt auch die Übermittlung von Flugpassagierdaten an die USA und die Diskussion um eine Anti-Terror-Datei.

Ein häufig von Politikern vorgebrachtes Argument lautet, man müsse den Terroristen, die sich moderner Kommunikationsmittel bedienten, mit ebenbürtigen Waffen begegnen. Durch die damit verbundenen Diskussionen sind Begriffe der IT-Welt auch in die Hauptnachrichten des Fernsehabends gerückt und damit in die Köpfe der Bürger, an denen beispielsweise Themen wie die Vorratsdatenspeicherung von Telekommunikationsverbindungsdaten noch vorbeigegangen sein mögen. Die zunehmende Verbreitung der Computer- und Kommunikationstechnik fällt zusammen mit vermehrt wiederholten Mahnungen vor einer Potenzierung und Globalisierung der Gefahren durch diese – nicht nur durch Terroristen, sondern auch durch "Cyberkriminelle", Pädophile, Schadcode-Programmierer und andere, gegen die allerorten technische Fallen und Schutzmauern errichtet werden.

Auf der anderen Seite mehren sich Befürchtungen, mit Hilfe moderner Informations- und Kommunikationstechnik werde versucht, die Vision vom "gläsernen Menschen" zu verwirklichen. Fünf Jahre nach den Anschlägen vom 11. September 2001 wurden Überwachung der Bürger, Eindringen in die Privatsphäre durch staatliche Stellen und Auswertung der Spuren, die jeder im Internet und mit anderen modernen Kommunikationsmitteln hinterlässt, teils schleichend, teils mit Aplomb durchgesetzt – in einem Maße, das zuvor unvorstellbar war und manches Mal bereits selbstverständlich erscheint. Und dies alles mit dem Argument, Sicherheit vor Terror herstellen zu wollen, um die Freiheit der Bürger zu schützen. Vor diesem Hintergrund wird in den USA dieser Tage häufig eine Äußerung zitiert, die in der Regel Benjamin Franklin, einem der Gründerväter der USA, zugeschrieben wird: "Diejenigen, die ihre Freiheit zugunsten der Sicherheit aufgeben, werden am Ende keines von beiden haben – und verdienen es auch nicht."

Quelle,Links und mehr : http://www.heise.de/newsticker/meldung/77994

[SiLæncer]

Nach dem elektronischen Pass soll von 2008 an auch der elektronische Personalausweis kommen. Die Einführung des Ausweises ist Teil des vom Bundeskabinett am heutigen Mittwoch beschlossenen Programms für eine zukunftsorientierte Verwaltung. Der neue Ausweis enthält nach Angaben des Bundesinnenministeriums gegenüber dpa einen Chip, mit dem dann auch die elektronische Identifizierung des Inhabers möglich sein werde. Eine Novellierung des Personalausweisgesetzes soll mit dem elektronischen Personalausweis die Identifzierung per digitaler Signatur ermöglichen. Damit sollen dann auch Online-Banking und andere Internetgeschäfte einfacher und sicherer werden. Ziel des Programms ist es, mit der Nutzung des Internet und neuer Technologien die öffentliche Verwaltung weiter zu modernisieren.

Quelle : www.heise.de

[xor]

Hmm und Unsereins hat vor einer Woche erst einen neuen beantragt. Dann darf ich wohl in 2008 wieder ein einen neuen beantragen und nocheinmal bezahlen. 8€ kostet der Spass übrigens heutzutage... 

[Jürgen]

Solange das Ding nicht drahtlos (per RFID oder ähnlich) abfragbar ist, ausserdem die Anwendung eines veränderbaren sicheren Passworts gegen unbefugte Benutzung eingebaut wird, sowie eine zentrale Erfassung und Speicherung der Lese-Aktionen ausdrücklich gesetzlich verboten wird, vielleicht..
Sonst auf keinen Fall!!!

Es gibt Dinge, die man einfach nicht physisch aneinanderbinden sollte.
Besser wäre, zu einem separaten Signatur-Dongle zusätzlich ein Sicherheitsmerkmal zu verwenden, dass von mir aus durchaus z.B. die BPA-Nummer sein könnte, noch besser zusammen mit einer weiteren veränderbaren PIN oder sogar Einweg-TANs.