Biometrischer Pass: Sicherheit nicht gewährleistet

Biometrische Pässe sind fälschbar. Das bewies ein englischer Hacker zu Demonstrationszwecken. Die Schweiz führt diesen Passtyp demnächst für alle Bürger ein.

Ab März 2010 erhalten Schweizer Bürger nur noch die neuen biometrischen Pässe ausgestellt. Trotz knappstem Abstimmungsergebnis und dem Nein der Hälfte der Stimmberechtigten. Herzstück des neuen Passes ist ein Chip, auf dem Daten wie Fingerabdrücke und Foto digital gespeichert sind. Dies mache die Pässe fälschungssicher, behaupten die Behörden.

Nun hat jedoch ein englischer Hacker in nur zwölf Minuten ein britisches Modell des neuen Passes geknackt. Die Regierung will den Ausweistyp demnächst an alle Bürger Grossbritanniens ausgeben. Mit Hilfe von Handy und Laptop las der IT-Spezialist im Auftrag der Zeitung «Daily Mail» die Daten auf dem Chip. Dann kopierte er den Chip und veränderte Namen, Geburtstag, Passbild sowie die Fingerabdrücke. Als Gag programmierte er folgende Nachricht auf den Chip: «Ich bin ein Terrorist, erschiesst mich bei Sichtkontakt.»

ETH Lausanne konnte den Chip im neuen Pass kopieren

Laut «Daily Mail» könnte der Hacker mit seiner Kopie die britischen Passkontrollen täuschen. Für die Zeitung ist die Kopieraktion der «letzte Nagel im Sarg» des Passprojekts der Regierung. saldo wollte vom Bundesamt für Polizei wissen, ob die Behörde den neuen Schweizer Pass trotz dieser Hacker-Demonstration für uneingeschränkt sicher hält. Die Bundespolizei bestritt nicht, dass sich die neuen Pässe manipulieren lassen. Nur würde die Fälschung gemäss Sprecherin Eva Zwahlen bei einer Kontrolle sofort auffliegen.

Das bezweifeln unabhängige Experten. So sagt der britische Hacker auf Anfrage, dass seine Aktion «nichts Neues» darstelle. Auch Versuche von Forschern der ETH Lausanne zeigen, dass sich der Chip im neuen biometrischen Pass kopieren lässt. Die Wissenschafter bewiesen zudem, dass sich mit etwas Geschick und Zubehör für 500 Franken ein falscher Fingerabdruck herstellen lässt.

Der Westschweizer Datenkommunikationsexperte Kurt D. Währen warnt denn auch vor Datenmissbräuchen. Kriminelle könnten mit kopierten Fingerabdrücken handeln oder diese an Tatorten hinterlassen. «Zu diesem Risiko schweigen die Behörden», sagt Währen. Ausserdem können auch die Fluggesellschaften diese persönlichen Passdaten inklusive Fingerabdrücke lesen. «Was diese Firmen damit machen, kann nicht nachverfolgt werden», kritisiert der Fachmann.

Sogar berühmte Namen in gefälschtem Pass gehen durch

Die Fehleranfälligkeit des neuen Passsystems beweist ein kurzer Film auf Google Video. Er zeigt, wie ein Mann mit einem gefälschten biometrischen Pass, welcher die biografischen Angaben von Elvis Presley enthält, unbehelligt eine automatische Kontrollstelle in Amsterdam passiert.

04. Oktober 2009 | Eric Breitinger, Redaktion saldo