RFID Datenbanken sind besonders gefährdet
Von: argedaten.at
RFID Datenbanken sind besonders gefährdet. Einer der ersten Berichte über eine lahmgelegte RFID Datenbank, die höchstwahrscheinlich Hackern zum Opfer gefallen war, inspirierte das holländische Forscherteam Rieback, Crispo und Tanenbaum zu seiner bahnbrechenden Arbeit über RFID-Viren. Beobachtet wurde eine sonderbare Störung einer RFID Datenbank, für die vorerst keine Erklärung gefunden werden konnte. Die Systemverantwortlichen einer RFID Anwendung zum Identifizieren von Haustieren bemerkten eines Tages ein sonderbares Fehlverhalten der gesamten Anwendung. Zuerst schien das RFID Lesegerät falsche Tieradressdaten anzuzeigen, später verdichtete sich der Verdacht, dass zahlreiche Daten der RFID Tags aus dem System gelöscht wurden, bis der Computer schließlich völlig blockiert war und nur noch eine einzige unheilverkündende Botschaft auf dem Schirm erschien “All your pet belong to us”. Hatte es sich dabei um eine Hackerattacke gehandelt? War es den Angreifern wirklich gelungen über ein infiziertes Tag einen Virus Back-End in die Datenbank zu schleusen? Die Sicherheitsexperten der Universität Amsterdam die sich intensiv mit dem Problem von Hacking, Viren und Würmern im Zusammenhang mit RFID Systemen beschäftigten, fanden Anfang 2006 eine mögliche Erklärung für diesen Vorfall. Bei der vierten IEEE PerCom (Pervasive Computing and Communications) Jahreskonferenz präsentierten sie ihre Ergebnisse. Der erste sich selbst reproduzierende RFID Virus wurde Anfang dieses Jahres der interessierten Öffentlichkeit vorgestellt. Eine Demonstration über die Arbeitsweise des Virus, der aus 127 Zeichen bestand, mit detaillierten Beschreibungen wie es möglich ist, RFIF Tags nicht nur mit einem Virus zu infizieren, sondern diesen auch in die dahinterstehende Datenbank einzuschleusen, sollten die verbreiteten Theorien von der Unverwundbarkeit der RFID Datenbanken widerlegen. Der Source Code der RFID Middleware-Systeme (Schnittstellen für Lesegeräte, Server und dahinter stehende Datenbanken) weist, wie die Experten gezeigt haben, genügend Lücken auf, die Angreifer ausnutzen könnten. Eine weitere Schwachstelle von RFID ist der Aufbau neuer Systeme auf bestehende Internetinfrastruktur und Protokolle. Man spart zwar vordergründig Kosten, übernimmt jedoch gleichzeitig bekannte Sicherheitsrisiken. Die Datenbanken im Hintergrund, die Schlüsselfunktionen der meisten RFID Systeme übernehmen, sind nicht vor kriminellen Attacken gefeit. Die Attacken sind umso wahrscheinlicher, weil sie im Bereich RFID bis jetzt kaum vermutet werden argumentieren die Experten. Sinnloses Hochrüsten auf Kosten der Bürger. Während westliche Regierungen weiter auf RFID-Pässe und deren Erweiterungen (Biometrische Daten wie Fingerabdrücke usw.) setzen, arbeiten Sicherheitsexperten aber auch Kriminelle an deren Kompromittierung. Dem Bürger werden technische Lösungen aufgezwungen, die nachweisbar zum Zeitpunkt der Einführung nicht mehr sicher sind.
Von: ccc.de
Biometrische Merkmale in Ausweisdokumenten sind sinnlos, gefährlich und teuer. 15. März 2005. Der Anti-Preis für Datenkraken und Monopolbildung geht an die privatisierte Bundesdruckerei als Umsetzer und Nutzniesser der geplanten Einführung der biometrischen Erkennungsmerkmale in Reisedokumenten und Personalausweisen, verbunden mit unsicherer RFID-Technologie. Die Bundesdruckerei ist eine große treibende Kraft hinter der Einführung von Fingerabdrücken und Funk-Chips in deutschen Reisedokumenten. … Datenschutztechnisch ist das Vorhaben jedoch sehr zweifelhaft:
1. Bisher hat die Regierung nicht darlegen können, wozu die BRD Biometrie und RFID überhaupt braucht oder wie dadurch ein echter Sicherheitsgewinn entstehen kann. Die Totalerfassung der Bevölkerung bringt keinen Sicherheitsgewinn, schafft aber Risiken und Begehrlichkeiten. Laut BMI und Bundesdruckerei sind schon die bisherigen Personaldokumente praktisch nicht zu fälschen. Warum brauchen wir dann noch ein neues, teures und riskantes System?
2. Viele technische Verfahren zur Erfassung und Erkennung von biometrischen Merkmalen können im Bezug auf den angeblichen Zugewinn an Sicherheit als zweifelhaft bezeichnet werden. So lassen sich mit sehr geringem Material- und Zeitaufwand beispielsweise viele Fingerabdruckscanner überlisten, wie der CCC vorgeführt hat und wie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt hat. Das blinde Vertrauen in die technischen Möglichkeiten gerade bei Biometrie wurde mit der Zeit immer wieder von der Realität eingeholt.
3. Die Wahl von kontaktlosen RFID-Chips zur Speicherung der biometrischen Merkmale in den Ausweisdokumenten bringt das zusätzliche Risiko mit sich, dass ungeschützte Daten vom Ausweisinhaber unbemerkt ausgelesen werden. Das vom Bundesverfassungsgericht aus dem Grundgesetz abgeleitete Recht auf informationelle Selbstbestimmung wurde bei der Auswahl der Technologie offenbar vollständig ignoriert. Selbst wenn das unbemerkte Auslesen der biometrischen Merkmale verhindert werden kann, bleibt das Risiko des drahtlosen Verfolgens mittels versteckter Lesegeräte bestehen.
4. Es ist vollkommen unklar, ob der kryptografische Ausleseschutz von biometrischen Daten vom Reisepass als Datenträger sicher ist. Die bei der internationalen Standardisierung von deutscher Seite aus vorgebrachten sinnvollen Vorschläge zur Verschlüsselung sind für andere Staaten nur optional. Es ist daher davon auszugehen, dass für Bundesbürger im Ausland kein Schutz existiert.
5. Grundsätzliche Fragen über das Verfahren und den Umgang mit den neuen Dokumenten sind ungeklärt: Wer ist schuld, wenn der Tag nicht mehr funktioniert? Ist der Passinhaber dann ein Terrorist? Oder wird der Inhaber dann wie bisher nach optischer Prüfung des Fotos durchgelassen?
Von: tagesanzeiger.ch
15.01.2009. «Schwere Probleme» mit der neuen Schengen-Datenbank. Bei der Einführung der neuen Schengen-Datenbank SIS II, mit der auch biometrische Daten erfasst werden können, gibt es laut der EU-Ratspräsidentschaft massive Schwierigkeiten. Die Inbetriebnahme von SIS II könne noch längere Zeit dauern, erklärte der tschechische Innenminister und Ratsvorsitzende Ivan Langer vor einem Treffen mit seinen europäischen Amtskollegen am Donnerstag in Prag. Auch Bundesrätin Eveline Widmer-Schlumpf nimmt an der Sitzung teil. … Vor der Erweiterung des Schengen-Raums nach Osteuropa im Jahr 2007 sollte das Schengen-Informationssystem nicht nur ausgebaut, sondern gleichzeitig auch modernisiert werden. Die leistungsfähigere Neufassung SIS II sollte unter anderem den Austausch biometrischer Daten ermöglichen. Wegen technischer Probleme wurde die Einführung von SIS II aber immer wieder verschoben.
Von: zeit.de
28.1.2009. Kundendaten von Monster.com geplündert. Selbst vergleichsweise harmlose Daten können für Kriminelle äußerst interessant werden: 4,5 Millionen Benutzerkonten der Jobbörse Monster sind weg. Der Jobbörse Monster sind wieder einmal Daten ihrer Nutzer gestohlen worden. Ziemlich viele sogar. Bei dem Hackerangriff, den das Unternehmen am Freitag meldete, verschwanden nach einem aktuellen Bericht der britischen Zeitung Independent 4,5 Millionen Datensätze. Das Unternehmen selbst sagte nicht, wie viele Nutzer betroffen sind, nur zur Art der Daten äußerte man sich. Gestohlen wurden demnach “bestimmte Kontakt- und Benutzerkontendaten; einschließlich Monster Nutzer-IDs und Passwörter, E-Mail-Adressen, Namen, Telefonnummern und einigen demographischen Daten”. Mit anderen Worten: alles.
Von: Basler Zeitung
22.04.2009. Hacker knacken das teuerste Waffenprojekt der USA. Computer-Hacker haben laut einem Zeitungsbericht in den USA Zugriff auf das teuerste Waffenprojekt in der Geschichte des Pentagon bekommen. Die unbekannten Täter hätten grosse Datenmengen aus den Rechnern des US-Verteidigungsministeriums kopiert, meldet das «Wallstreet Journal». Darunter seien auch Detailpläne des neuen Kampfflugzeugs F-35 Lightning II, berichtete das Blatt heute unter Berufung auf Regierungskreise. Die Daten des Kampfjet-Plans seien auf geheimen Computern gewesen, die nicht mit dem Internet verbunden seien. … Pentagon-Sprecher Bryan Whitman kommentierte den Bericht mit dem Hinweis, dass nach seinem Wissen keine sensiblen Daten geknackt worden seien. Zu Details wollte er sich nicht äussern. Er verwies aber darauf, dass versuchte Zugriffe auf geheime US-Daten in den vergangenen Monaten stark zugenommen hätten. Solche Hacker-Angriffe hätten sich «in letzter Zeit verdoppelt», sagte Whitman. … 100-prozentige Sicherheit nicht möglich. Der amerikanische Luftwaffengeneral Robert Elder verwies heute vor Journalisten in Washington darauf, dass der Schutz von Daten bei grossen Rüstungsprojekten sehr schwierig sei. An der Entwicklung des F-35 etwa seien rund 100 Firmen beteiligt, sagte er. «Jedes Mal, wenn wir Daten austauschen, laufen wir Gefahr, dass wir diese mit jemandem teilen, mit dem wir sie nicht teilen wollen.»
Von: Die Presse
20.3.2009. EU plant den “digitalen Tsunami”. Brisantes Papier umreißt Leitlinien für Sicherheits-Politik ab 2010. Ziel: Mehr Überwachung im öffentlichen Raum, im Internet, beim Zahlungs-Verkehr. … “Sicherheit und Grundrechte sind kein Widerspruch.” So warb der ehemalige EU-Kommissar für Sicherheit und Justiz, Franco Frattini, für ein bis zuletzt geheimes Papier, das die Arbeit von Polizei und Justiz ab dem Jahr 2010 umreißt. … Die Mitglieder der Gruppe - Österreich gehört nicht dazu - schlagen dem Rat der EU vor allem eines vor: mehr, weil grenzüberschreitende Überwachung mithilfe der Computertechnologie. Die Einführung des maschinenlesbaren Reisepasses mit Fingerabdruck ist der erste Schritt. … Auf Seite 64 des 155 Seiten starken Werks ist wörtlich von einem “digitalen Tsunami” die Rede. … An der Kontrollinstanz EU-Parlament geht der Bericht vorbei: In Fragen der inneren Sicherheit hat es (noch) keine Kompetenzen. Die Vorschläge sorgen unter Grundrechtsexperten und Datenschützern schon jetzt für Aufregung. Die Empfehlungen im Detail: 1. Internet: Das weltweite Datennetz wird nicht nur von unbescholtenen Bürgern ge-, sondern auch von Terroristen missbraucht. “Die Überprüfung des Internets ist daher eine Aufgabe von höchster Bedeutung”, heißt es im Bericht. Was das bedeutet, machten die EU-Innenminister vor wenigen Monaten deutlich. So gibt es Pläne für grenzüberschreitende “Ferndurchsuchungen” von PCs. Auch die in vielen Ländern umgesetzte Speicherung von Verbindungsdaten (Vorratsdatenspeicherung) gehört dazu. 2. Online-Zahlungsverkehr: 2006 deckte die “New York Times” auf, dass die US-Geheimdienste CIA und NSA seit dem Jahr 2001 jährlich 20 Millionen vertrauliche Transaktionen des internationalen Online-Zahlungssystems SWIFT ausspioniert hatten. Die Empörung in Europa war groß. Nun empfiehlt die Zukunftsgruppe, dass “eine künftige Maßnahme in der systematischen Überwachung von Finanztransaktionen in der Union bestehen könnte”. Ziel ist einmal mehr die Bekämpfung von Terrorismus und internationaler Kriminalität. Und weiter: “Den (…) Strafverfolgungsbehörden sollten effizientere Rechtsinstrumente in die Hand gegeben werden, die ihnen die Nutzung von Datenbanken wie etwa SWIFT ermöglichen.” 3. Öffentlicher Raum: Spätestens die Terroranschläge von Madrid und London sowie die “Kofferbomber” auf deutschen Bahnhöfen traten eine Debatte darüber los, wie denn der öffentliche Raum zu schützen (und zu überwachen) sei. Hierfür empfiehlt die Zukunftsgruppe “spezielle Ermittlungstechniken”, ohne sie konkret zu benennen. An anderer Stelle ist im Expertenbericht von mehr Videoüberwachung und “unbemannten Fluggeräten” die Rede. 4. Polizeidatenbanken: Um die polizeiliche Zusammenarbeit zu verbessern, empfiehlt die Gruppe die Zusammenlegung von Datenbanken, die beispielsweise Fingerabdrücke, DNA-Profile, Telefonnummern, Fahrzeug- und Meldedaten sowie ballistische Profile von Schusswaffen enthalten. Ziel ist die automatisierte Datenanalyse über Grenzen hinweg. Alles mit der Absicht, den zuständigen Behörden “nahezu unbegrenzte Mengen potenziell nützlicher Informationen” zur Verfügung zu stellen. … Tatsächlich wurde die Sicherheitspolitik der Zukunft bis heute nicht auf Bürgerebene diskutiert. Bis Ende 2008 war der Bericht der Zukunftsgruppe unter Verschluss. Erst die britische Bürgerrechtsorganisation “Statewatch” berichtete vor dem Jahreswechsel erstmals von seiner Existenz. … Bürgerrechtler wie der Leiter des Wiener Ludwig Boltzmann-Instituts für Menschenrechte, Hannes Tretter, bewerten das Vorhaben der EU als “hochinteressant”. … Als für den Rechtsstaat “höchst bedenklich” bezeichnet er die Absicht, in Zukunft Nachrichtendienste und Polizei eng miteinander kooperieren zu lassen. “Weil Geheimdienste in der Regel keine Auskunft über ihre Aktivitäten geben, bedeutet das für die Bürger eine erhöhte Gefahr.”
Von: Gulli.com
12.05.2008. Ein chilenischer Hacker hat sich Zugang zu über sechs Millionen Daten seiner Regierung verschafft und diese für einige Stunden im Netz publiziert. Die Aktion soll auf die zu schwache IT-Sicherheit in seinem Land hinweisen und zur Verbesserung aufrufen. Besonders sensible Daten konnte der Eindringling auf Seiten der staatlichen Telefongesellschaft, der Wahlbehörde und dem Gesundheitsministerium erbeuten. Nach Angaben der chilenischen Zeitung “El Mercurio” zufolge habe der Hacker Zugriff auf Telefonnummern, Adressen, Ausweisnummern und soziale Hintergründe vieler Bürger gehabt und diese postwendend auf zwei beliebten Seiten im Netz veröffentlicht.
Von: deinedatendeinemacht.wordpress.com
27.4.2008. Datenpanne in spanischer Privatklinik. In einer spanischen Privatklinik ist eine umfangreiche Datenpanne passiert. Über 11′000 Patientendaten sind via eMule über das eDonkey2000-Netzwerk im Internet gelandet. Grund dafür war der leichtfertige Umgang eines Angestellten, der auf dem System, auf dem Patientendaten gespeichert waren, via P2P Daten getauscht hatte.
Von: deinedatendeinemacht.wordpress.com
1.3.2008. Erneut Datenpanne in Großbritannien. Das britische Innenministerium hat jüngst einen Laptop bei Ebay verkauft - inklusive vertraulicher Daten aus dem Ministerium. So fand der Techniker einer PC-Werkstatt schließlich zwischen Tastatur und Mainboard des Laptops eine CD mit der Aufschrift: “Home Office - highly confidential” [dt.: Innenministerium - streng vertraulich]. Der Mitarbeiter hat daraufhindie Polizei verständigt. Schon Ende letzten Jahres fiel die Administration in Großbritannien durch den laxen Umgang mit vertraulichen Daten auf: Im November gingen in der Hauspost zwischen Steuerbehörde und Rechnungsprüfungsbehörde zwei CDs verloren. Sie enthielten unverschlüsselte Daten von 25 Millionen Kindergeldempfängern inklusive deren Bankverbindungen. Im Dezember verschwanden dann Daten von 3 Millionen Führerscheinanwärtern. Sie wurden im Auftrag der britischen Führerscheinbehörde bei einer Privatfirma im US-Bundesstaat Iowa gespeichert. Des Weiteren verschwanden in der Post zwischen Nordirland und Wales die Daten von 7′500 Fahrzeugbesitzern.
Von: deinedatendeinemacht.wordpress.com
2.6.2008. US-Bank verliert Kundendaten. Die US-amerikanische “Bank of New York Mellon” bestätigte vergangene Woche den Verlust eines Magnetbandes, auf welchem 4,5 Millionen Kundendaten gespeichert waren. Nach Angaben der Bank ist das Band bei einem Transport auf bisher ungeklärte Weise abhanden gekommen, und war bisher unauffindbar. Besonders kritisch ist diese Situation, da die Daten in keiner Form verschlüsselt waren.
Von: deinedatendeinemacht.wordpress.com
30.4.2008. “Bank of Ireland” verliert 31′000 Kundendatensätze. Der “Bank of Ireland” wurden 2007 Firmenlaptops aus den Kofferräumen von Autos gestohlen. Wie jetzt bekannt wurde, enthielten sie Daten von 31′000 Kunden - darunter sind auch Kundendaten wie Kontoverbindungen oder medizinische Informationen. Die Daten auf den Laptops wurden nicht verschlüsselt gespeichert.
Von: Tages Anzeiger
18.4.2009. Vertrauliche Daten von EU-Politikern auf Hotelcomputer entdeckt. Persönliche Daten von ranghohen EU-Politikern sind nach finnischen Medieninformationen auf einem öffentlich zugänglichen Computer eines tschechischen Hotels entdeckt worden. Darunter sind laut einem Bericht der Nachrichtenagentur STT Angaben zu Passnummern, Flügen, Blutgruppen und Allergien von einigen der Teilnehmer des EU-USA-Gipfels Anfang April, darunter von europäischen Ministerpräsidenten und Präsidenten. Ein Finne habe die Daten auf einem PC in einem Computerraum für Hotelgäste gefunden. Angaben zum Finder oder zum Hotel wurden in dem Bericht der Agentur vom Freitag nicht gemacht. Eine Sprecherin der tschechischen Regierung, die gegenwärtig die EU-Ratspräsidentschaft innehat, habe die Panne eingeräumt.