Spiegel Online berichtet über einen Hack der peinlichen Art, der dem Chaos Computer Club kürzlich gelang. CCC-Hacktivisten führten für die ARD-Sendung „Kontraste“ vor, wie man mit einem programmierbaren RFID-Reader für etwa 200 € beim Umherwandern im Flughafen die Informationen aus RFID-Identkarten der dort Beschäftigten auf Distanz auslesen kann. Mit diesen „aus der Luft gegriffenen“ Identitätsdaten im Gerät (das wahlweise als Karte oder als Leser eingesetzt werden kann) ist es je nach Berechtigungsstufe des Karteninhabers möglich, sich Zugang über Zufahrtstore, Straßen, Terminals und Gates direkt aufs Vorfeld und natürlich auch in ein Flugzeug zu verschaffen, wie es auch ein Mitarbeiter des Flughafens Hamburg den Kontraste-Reportern bestätigte.
Betroffen sind Flughäfen, die das Zugangssystem „Legic Prime“ der Schweizer Firma Legic Identsystems AG einsetzen. Was bei zahlreichen Airports der Fall ist. Dessen bislang geheim gehaltene und daher wohl auch nicht durch Peer Review geprüfte Kryptoalgorithmen entsprechen dem Stand der Technik von 1992 und wurden vom CCC durch Reverse Engineering geknackt, wie Legic inzwischen einräumen musste.
Der CCC machte bereits im 26C3 Ende letzten Jahres auf die Schwäche der Legic-Karten aufmerksam. „Wir waren schlicht schockiert, überhaupt keine Hürden zu finden, die wir hätten überwinden müssen“ so ein daran beteiligtes CCC-Mitglied. Das “Security by Obscurity” bei Kryptoverfahren seine Grenzen hat, ist allerdings bereits seit langem Konsens in der Community der damit befassten Experten.
Die Betreiber der Flughäfen sind sich erstaunlicherweise der Löchrigkeit ihrer Sicherheitssysteme sogar bewusst, setzen aber darauf mehrere Sicherheitsverfahren zu koppeln. Die ID-Karten komplett durch ein System zu ersetzen, das zeitgemäßen technischen Standards entspricht, ist ihnen schlicht zu teuer.
Was die Gewerkschaft der Polizei einmal mehr in ihrer Forderung bestärkte, die Flughafensicherheit als originäre staatliche Aufgabe zu werten und durch Polizeibeamte anstatt private Sicherheitsleute wahrnehmen zu lassen. Allerdings beklagt auch die Polizei des öfteren Mängel in ihrer Sachausstattung. So gibt es bis heute keinen halbwegs abhörsicheren digitalen Polizeifunk für Deutschlands Ordnungshüter.
