Einführung des kontaktlosen Bezahlsystems „Girogo“
Die deutschen Sparkassen erproben derzeit in ausgewählten Regionen unter der Bezeichnung „Girogo“ ein NFC (Near Field Communication) – basiertes drahtloses Bezahlverfahren auf RFID (Radio Frequency Identification)-Basis. Zum Auslesen der im Chip gespeicherten Informationen genügt ein handelsüblicher Kartenleser, der bereits im Rahmen des neuen, elektronischen Bundespersonalsausweises kostenlos abgegeben wurde.
Die zum Auslesen der Informationen erforderliche Software ist im Internet frei verfügbar. Auch besteht die Möglichkeit, die auf den Chips gespeicherten Informationen vom Besitzer unbemerkt auf elektronischem Wege berührungslos abzuziehen.
Der neue elektronische Personalausweis
Auch ist offenbar der neue elektronische Personalausweis vor Manipulationen nicht sicher, wie die Presse bereits berichtet hat. Ebenso ausgelesen werden können die auf dem im neuen Personalausweis gespeicherten Daten des Ausweisinhabers. Die Update-Funktion des neuen elektronischen Personalausweises konnte bereits 24 Stunden nach seiner Einführung von Unbefugten manipuliert werden.Hierbei gelang es, mit Hilfe einer fehlerhaften Update-Funktion die Daten des Ausweises auf einen anderen Server umzuleiten.
Gegenwärtig werden weitere Schwachstellen des neuen elektronischen Bundespersonalausweises durch unabhängige Gremien untersucht, mit deren Veröffentlichung in Kürze gerechnet werden kann. Ob auch der elektronische Reisepass, auf dessen Chip biometrische und andere Daten des Inhabers abgelegt sind gegen Manipulationen ausreichend gesichert ist, wurde bereits 2006 untersucht.
Mögliche Sicherheitslücken bei den NFC/RFID-basierten Chip-Karten
Derartige Chip-Karten haben eine eindeutige Kennung. Die Kennung kann mit Hilfe handelsüblicher Erfassungsgeräte berührungslos abgegriffen werden. Dabei werden die auf der Karte gespeicherten letzten 15 Bezahlvorgänge und die letzten drei Ladevorgänge unverschlüsselt an das Empfangsgerät übermittelt.
Die zum Auslesen erforderliche Software ist im Internet frei verfügbar. Dies mag auch für die in Einführung begriffene Gesundheitskarte gelten, da auf diese sowohl Arztpraxen als auch Apotheken zugreifen können. Damit eröffnen sich auch Möglichkeiten der Manipulation der bereits auf den Karten (Girogo-Card, Gesundheitskarte, elektronischer Personalausweis und RFID-Reisepass) befindlichen Daten sowie das Klonen derartiger Karten, die dann missbräuchlich verwendet werden könnten.
Nutzung der Daten auf den Karten durch Dritte
Mit der fest zugewiesenen elektronischen Identität auf den Chip-Karten lassen sich, sofern entsprechende Vorrichtungen bei den Unternehmen vorhanden sind, individuelle Nutzungs- und Bewegungsprofile des Karteninhabers anlegen. Diese Profile können mit anderen Daten, wie sie beispielsweise bei der Nutzung von mobilen Kommunikationseinrichtungen (I-Phone, I-Pad, Mobiltelefon, Net-Book o.ä.) anfallen, zusammengeführt werden. Auch hier eröffnet sich eine umfassenden Überwachung.
Geplante Einführung der Smartphone Pay-Apps ab 2016
Nach den Vorstellungen der US-Finanz- und IT-Industrie sollen ab 2016 Smartphones mit einer Bezahlfunktion ausgestattet werden und langfristig Bargeld und Kreditkarten ablösen. Geplant ist, die bereits jetzt ansteigenden Umsätze des bargeldlosen Zahlungsverkehrs mit einem Umsatz von rund 105 Mrd.US-Dollar im Jahr 2011 in den USA auf 617 Mrd.US-Dollar für das Jahr 2016 anzuheben. Bereits jetzt hat das US-Unternehmen „Starbucks“ in seinen über 9.000 Filialen Zahlungen in Höhe von 45 Mio.USD bargeldlos mit Hilfe von Smartphone-Apps abgewickelt. Auch hier ergeben sich Möglichkeiten der Manipulation entsprechender Zahlungsvorgänge zu Lasten der Nutzer durch Kriminelle.
Praxishinweis
|
Quelle: Der neue Personalausweis: Interessante Sicherheitsaspekte für Informatiker, Jun.-Prof. Dr. Christoph Sorge, Universität Paderborn, Institut für Informatik, GI-Regionalgruppe OWL, 19.9.2011.