Wer hat schon Erfahrung, welcher Fingerabdruck beim Personalausweis genommen wird. ?

[SomeUser]

Und welche großartigen Probleme bzw. Nachteile hat es da jetzt seit Einführung gegeben?

Das Problem ist doch, dass der Reisepass kaum von jemandem mitgeschleppt wird. Ich sehe das wie bei anderen Technologien, die auf politisches Drängen hin eingeführt werden: Sie werden mit wärmsten Worten, größten Versprechungen etc. eingeführt - und sollen natürlich niemals für andere Zwecke eingesetzt werden. Um dann ein Jahre später, eben doch auch für andere Zwecke genutzt zu werden. Werden Daten erst mal erfasst, wächst auch die Begehrlichkeit diese zu nutzen - resortbedingt sind da insbesondere die Innenministerien führend.

Der andere Aspekt ist, dass es heute noch gar keinen Sinn ergeben würde, dir einen RP zu klauen: AKTUELL(!) werden diese Daten ja noch nirgendwo genutzt. Wir erinnern uns aber an die Diskussionen hinsichtlich der digitalen Authentifizierung bei staatlichen Diensten.
Schau dir zudem mal die Bemühungen im Bereich der Geldwäsche an - die Frage, wann hier auch biometrische Erkennungsmerkmale zur Identifizierung der handelnden Personen genutzt werden, ist nur eine Frage der Zeit. Und hat erst mal jeder einen Ausweis mit den Merkmalen: Warum nicht z.B. aus Sicht von Amazon, Zalando & Co. nutzen - du kannst damit ja scheinbar einem Kontenmissbrauch vorbeugen.
Wenn ich mich aber ebenfalls als "dtp" ausgeben und bestellen kann und das sogar, per Definition, "sicher als dtp" - hast DU ein Problem.

Die Frage, ob etwas heute ein Angriffsvektor ist, richtet sich doch schlicht nach der Rentabilität. Es würde mich eher wundern, wenn die meisten Systeme solcher Art nicht schon längst geknackt sind - es bringt aber noch überschaubaren Nutzen, dieses Wissen anzuwenden.

 

[Rubber Duck]

@SomeUser,da stimme ich dir zu,
und wie von mir schon erwähnt, eine 100 % Sicherheit gibt es nicht, nur werden das immer wieder einige Personen, auf diesen wunderschönen blauen Planeten, nicht wahr haben wollen.
Der Böse ist meistens auf Augenhöhe mit der Technik, wenn nicht sogar zum Teil besser Ausgestattet.
Man kann zum Beispiel, dem Dieb sein Diebstahl, nur schwerer machen, aber unmöglich ist ein solcher Vorgang nicht.
Und in Filmen, ja es ist nur ein Film, aber ein Bisschen Wahrheit steckt bestimmt schon dahinter, und da wird vorgemacht, was möglich sein könnte oder schon möglich ist.🤪

 

[SomeUser]

Moin!

RFID Tags sind passive Chips, die zum Auslesen mit Energie versorgt werden müssen. Das geschieht durch das Lesegerät, das dazu relativ dicht an den RFID Tag gehalten werden muss. Im "Vorbeigehen" sollte ein Auslesen daher nicht so einfach möglich sein.

Also quasi auf jeder Rolltreppe, jedem Fahrstuhl, im Gedränge der Innenstadt... ist ein Auslesen möglich.

Dabei bitte zwei Dinge nicht verwechseln - die Möglichkeit an konkret deine Daten zu kommen oder die Möglichkeit an irgendwelche Daten zu kommen: Es mag, je nach Aufmerksamkeit, eventueller Schutzmaßnahmen (RFID-Leseschutzhüllen etc.) aufwändiger sein an konkret DEINE Daten zu kommen. Als Standard-Amazon-oder-was-auch-immer-Betrüger ist es mir aber doch vollkommen egal, ob ich deine Daten für meien Bestellungen nutze oder die von irgendwem anders.
Moin!

@SomeUser,da stimme ich dir zu,
und wie von mir schon erwähnt, eine 100 % Sicherheit gibt es nicht, nur werden das immer wieder einige Personen, auf diesen blauen Planeten nicht wahr haben wollen.
Der Böse ist meistens auf Augenhöhe mit der Technik, wenn nicht sogar zum Teil besser Ausgestattet.
Man kann zum Beispiel, dem Dieb sein Diebstahl, nur schwerer machen, aber unmöglich ist ein solcher Vorgang nicht.

Das ist aber eher ein Contra-Argument gegen diese Technik: Wenn ich - wahrscheinlich zu recht - davon ausgehe, dass mir "die böse Seite" technisch voraus ist, ist der beste Schutz immer noch, Daten überhaupt nicht zu speichern, wenn diese nicht unbedingt(!) benötigt werden.

Aktuell fehlt es noch an validen Argumenten, warum es dieser Speicherung aber bedarf und dass es keine alternativen Möglichkeiten gibt, dieses Ziel zu erreichen (Verhältnismäßigkeit).

Bemüht wurde bei den Reisepässen ja z.B. das Argument, dass diese dadurch fälschungssicherer würden. Wenn ich es recht in Erinnerung habe, gab es aber gerade mal eine Hand voll(!) Fälschungen, die überhaupt erfasst wurden. Braucht es also eine solche Maßnahme, für eine Hand voll Fälle - wenn man zudem, deine Worte, davon ausgehen muss, dass die andere Seite die Technik ohnehin knackt und daher fälschen kann?

 

[Rubber Duck]

Man sollte halt nie nie sagen, und glauben, das es unmöglich ist, möglich ist alles.
Aber deshalb auf alles zu verzichten, wäre der Falsche weg.

 

[dtp]

Also quasi auf jeder Rolltreppe, jedem Fahrstuhl, im Gedränge der Innenstadt... ist ein Auslesen möglich.

Wenn derjenige Kenntnis darüber hat, wo ich meinen Perso bzw. RFID-Tag am Körper trage, schon. Aber erstens weiß er das nicht unbedingt und zweitens werden die Daten mit Sicherheit nicht unverschlüsselt abgelegt sein.

Missbrauch wird es in irgendeiner Form immer geben. Und entsprechende Schutzmaßnahmen werden immer auch Nachteile mit sich bringen. Eben auch die, dass sie Unbedarfte betreffen.

So ist es auch mit der Videoüberwachung. Vorteil: man kann Straftaten und Ordnungswidrigkeiten leicht erkennen und verfolgen. Nachteil: es werden auch "unbescholtene" Bürger mit überwacht. Das ist aber nur dann ein Nachteil, wenn die Daten zweckentfremdet genutzt werden. Also muss man abwägen, was wichtiger ist. Die leichtere und engmaschigere Verfolgung von Straftaten und Ordnungswidrigkeiten und damit auch die Abschreckung vor solchen Taten, oder der Schutz des Individuums vor vermeintlichem Datenmissbrauch. Ich persönlich tendiere da eher zu Ersterem.

 

[bitundbyte]

@SomeUser
Nun lass die Kirche mal im Dorf.

Du musst wissen:
1. Die Schweizer ID belegt, neben den sogenannten Heimatschein, das ich Schweizer Bürger bin.
2. Der Chip dient gegenüber einer staatlichen Stelle zu beweisen das ich auch ICH bin.
3. Die wenigen Leseterminals findet du fast nur an den Grenzübergangsstellen.
4. Jeder Terminal ist online mit der FedPol (Schweizer Bundespolizei) verbunden.

Kurzum: Die ID ist nicht für das elektronische signieren etc. geeignet.

Ja, es hat Bestrebungen gegeben eine E-ID einzuführen. Also z.B. für Zalando und Co.
Dieses wurde jedoch vom Stimmbürger an der Urne abgelehnt.

 

[dtp]

Ich persönlich tendiere da eher zu Ersterem.

Vielleicht noch ergänzend, dass ich trotz dieser Haltung selbstverständlich niemals STASI-Machenschaften oder dergleichen tolerieren würde. Ich habe aber irgendwie das zugegeben vielleicht auch etwas naive Vertrauen in unsere Demokratie, dass das nicht passiert.

 

[SomeUser]

Moin!

Wenn derjenige Kenntnis darüber hat, wo ich meinen Perso bzw. RFID-Tag am Körper trage, schon. Aber erstens weiß er das nicht unbedingt und zweitens werden die Daten mit Sicherheit nicht unverschlüsselt abgelegt sein.

Nochmal: Es ist doch gar nicht relevant zu wissen, wo eine einzelne Person das hat - aber mal im Ernst: Wenn du ein Lesegerät bei 100 Leuten, z.B. auf einer Rolltreppe, von hinten ca. 30cm an den Hintern bekommst (bei Frauen wahlweise an die Handtasche), was glaubst du, wie viele Datensätze du dann wohl hättest?
Es spielt gar keine Rolle, ob es nachher wirklich 70, 80 oder 90 sind - schon 10 reichen dir ja locker aus.

Missbrauch wird es in irgendeiner Form immer geben.

Soll das ein Argument sein? Hey, gemordet wird auch bei Todesstrafe - also lasst uns die Strafen dafür einfach abschaffen, bringt ja eh nichts?!

Natürlich ist das polemisch dargestellt, aber es ändert nichts an dem Punkt: Ich habe bisher - auch hier in der Diskussion - noch kein(!) Argument gehört, warum es exakt diese Form der Datenerhebung geben muss und dass es kein milderes Mittel der Umsetzung gibt. Und dass, obwohl ihr da im Moment vehement für eintretet.

So ist es auch mit der Videoüberwachung. Vorteil: man kann Straftaten und Ordnungswidrigkeiten leicht erkennen und verfolgen. Nachteil: es werden auch "unbescholtene" Bürger mit überwacht.

... und deswegen darf auch in der Öffentlichkeit nicht frei überwacht werden. Nicht von Privaten und auch dem Staat sind enge Grenzen gesetzt. Hier aber wird pauschal bejubelt, wenn einfach alle Bürger, nicht anlassbezogen, in einen Topf geworfen werden?

Das ist aber nur dann ein Nachteil, wenn die Daten zweckentfremdet genutzt werden. Also muss man abwägen, was wichtiger ist. Die leichtere und engmaschigere Verfolgung von Straftaten und Ordnungswidrigkeiten und damit auch die Abschreckung vor solchen Taten, oder der Schutz des Individuums vor vermeintlichem Datenmissbrauch. Ich persönlich tendiere da eher zu Ersterem.

Nein, es ist schon ein Nachteil, wenn die Daten überhaupt erhoben werden. Das BVerfG hat nicht ohne Grund das Grundrecht der informationellen Selbstbestimmung ausgearbeitet. Schon die Erhebung von Daten, die nicht zwingend gebraucht werden, stellt erst mal grundsätzlich einen Grundrechtseingriff dar. Ich habe oben schon dargestellt, dass dieser in der Abwägung zwar anderen schutzwürdigen Rechten nachsteht, aber deswegen gehen diese Rechte nicht unter.
Moin!

@SomeUser
Nun lass die Kirche mal im Dorf.

1. Worauf bezogen denn bitte?
2. Anstatt mit einem "ollen Spruch" zu kommen: Setz dich doch bitte mal mit den Argumenten auseinander und widerlege diese. Ich bin ja für ein gutes Argument zu haben, aber außer einer "Da wird schon nichts passieren", "Das ist doch geschützt" oder "Mir doch egal" kommt da bisher nicht wirklich viel.

1. Die Schweizer ID belegt, neben den sogenannten Heimatschein, das ich Schweizer Bürger bin.
2. Der Chip dient gegenüber einer staatlichen Stelle zu beweisen das ich auch ICH bin.
3. Die wenigen Leseterminals findet du fast nur an den Grenzübergangsstellen.
4. Jeder Terminal ist online mit der FedPol (Schweizer Bundespolizei) verbunden.
Kurzum: Die ID ist nicht für das elektronische signieren etc. geeignet.
Ja, es hat Bestrebungen gegeben eine E-ID einzuführen. Also z.B. für Zalando und Co.
Dieses wurde jedoch vom Stimmbürger an der Urne abgelehnt.

Der eigentliche Fehler ist, dass wir hier anfangen unterschiedliche Dinge miteinander zu vermengen: Nämlich die EU-/DE-Lösung und die CH-Lösung. Das entkräftet jedoch ebenso wenig irgendeine der berechtigten Kritikpunkte an einem der Systeme.

 

[dtp]

...was glaubst du, wie viele Datensätze du dann wohl hättest?

Wenn die RFID-Tags entsprechend ausgebildet sind, keinen. Ähnlich der NFC-Funktion der Watch ist ein Abstand von wenigen Zentimetern erforderlich, um den Tag mit Energie zu versorgen und auszulesen. Ein RFID-Sniffer würde daher nicht viel bringen.

...obwohl ihr da im Moment vehement für eintretet

Also die Vehemenz sehe ich da aber eher auf deiner Seite. Ich wollte eigentlich nur deutlich machen, dass es mich persönlich nicht unbedingt stört und dass ich es eigentlich sogar ganz gut finde, die Fingerabdrücke zusätzlich im Perso digital zu hinterlegen. Ich hätte aber auch kein Problem damit, wenn es nicht so käme.

Sagen wir's mal so. Ein hinterlegter Fingerabdruck im Perso hat durchaus Parallelitäten zu einer flächendeckenden Impfung von Kindern gegen Corona. Beides soll primär dem Schutz der Gesellschaft und eher sekundär dem Schutz des Einzelnen dienen. Und ja, ich weiß, dass der Vergleich hinkt.

 

[bitundbyte]

... Nämlich die EU-/DE-Lösung und die CH-Lösung. ...

Irrtum. Das ist keine CH-Lösung.
Das ist vielmehr Schengenkonform und genau so wie es andere Schengenstaaten ebenfalls umgesetzt haben.
Ich nehme für mich mal in Anspruch, das ich sehr genau weiss wo von ich rede.

Nur Deutschland oder einige Politkomiker meinen mal wieder alles anders und besser machen zu müssen.
Aber lassen wir das ... es führt zu nichts.

 

[Sequoia]

Das Problem ist doch, dass der Reisepass kaum von jemandem mitgeschleppt wird

Den Perso muss genau so wenig jemand mitschleppen.

Nur Deutschland oder einige Politkomiker meinen mal wieder alles anders und besser machen zu müssen.
Aber lassen wir das ... es führt zu nichts.

In wie fern?


Generell: Der Aufschrei war damals beim Reisepass da.
Die Skepsis bzgl. RFID Sniffer und Bank- / Kreditkarten war auch da.
Jetzt dann der Perso. Wie wahrscheinlich ist es, dass es möglich ist, die Daten via RFID Sniffer abzugreifen, und dazu Diese noch zu entschlüsseln?

Und btw.: Ich bin für Videoüberwachung zur Strafverfolgung, analog zu London.

In den o.g. Dingen bin ich nun kein Experte, aber mir ist auch bisher nicht bekannt, dass sowohl das RFID Sniffing, als auch die Videoüberwachung von fremden Stellen angegriffen und ausgenutzt wurde.

Ich finde, die Diskussion spiegelt wieder das Groß wider.
Vom Staat: "Ne, das geht so nicht, unmöglich"
Von privaten Firmen: "ach, ich habe doch nichts zu verbergen" Hier werden freiwillig alle Daten hin geworfen.

Aktuell habe ich vermehrt den Eindruck, dass wir in einer Gesellschaft leben, in der dem Staat kein Stück vertraut wird. Das sehe ich auch genau so in der Schweiz. Was hier über den Bundesrat geschimpft wird... Bald noch mehr als über die Schwaben 😉

 

[tjp]

RFID Tags sind passive Chips, die zum Auslesen mit Energie versorgt werden müssen. Das geschieht durch das Lesegerät, das dazu relativ dicht an den RFID Tag gehalten werden muss. Im "Vorbeigehen" sollte ein Auslesen daher nicht so einfach möglich sein.

Man sieht an solchen Sätzen wieder wie wenig naturwissenschaftliche Bildung sich in Deutschland verbreitet hat. Nein, das Lesegerät muss überhaupt nicht in der Nähe sein, es muss lediglich ausreichend Strahlungsdichte der Radiowellen am Ziel haben und über eine Richtantenne für den Empfang der gesendeten Daten verfügen. Mit entsprechender Ausrüstung kann man aus mehreren Kilometern Entfernung die RFID Chips auslesen.

 

[dtp]

Man sieht an solchen Sätzen wieder wie wenig naturwissenschaftliche Bildung sich in Deutschland verbreitet hat.

Bevor du mit mehr solch oberschlauen Sätzen daher kommst, überlege doch mal bitte, ob man in einem Personalausweis oder anderen Scheckkarten großen Gegenständen aktive RFID Tags einsetzen würde und ob man diese dann überhaupt per Sniffer aus mehreren Kilometern Entfernung ausgelesen bekäme. Aber ja, ich gebe dir Recht, es gibt neben passiven RFID Tags auch aktive.

Übrigens steht bei mir das kleine "d" für einen akademischen Ingenieursgrad. Ist aber zugegebenermaßen schon ein paar Jahre her.

 

[Janelle]

das Lesegerät muss überhaupt nicht in der Nähe sein

Heise schreibt ebenfalls, dass der neue Personalausweis "auf rund zwei Meter Abstand auslesbar sein" soll. 🔭
"Die Informationen sind natürlich verschlüsselt. Dennoch: Auslesen kann die Informationen erstmal jeder - wird die Verschlüsselung irgendwann mal geknackt, sieht es düster aus."


Aber das Auslesen des Chips soll ja nicht das einzige Problem sein, wie sogar das ZDF berichtet.
Es dürften zwar nur Sicherheitsbehörden der EU auslesen, aber "rein technisch gesehen ist es ausgesprochen schwierig zu verhindern, dass auch andere Sicherheitsbehörden und unbefugte Dritte auf die Fingerabdrücke zugreifen können."
"Wer einen Personalausweis beantragt, dem werden im Einwohnermeldeamt mit einem Scanner die Abdrücke des linken und rechten Zeigefingers abgenommen. Die Fingerabdrücke werden auf einer Festplatte zwischengespeichert und per Datenleitung an die Bundesdruckerei geschickt, die die Fingerprints dann auf dem Chip speichern soll." Anschließend werden die Fingerabdrücke wieder gelöscht.
Jedoch: "Beim Reisepass, für den seit 2007 Fingerabdrücke genommen werden, hat sich gezeigt, dass diese manchmal länger als nötig bei der Meldebehörde gespeichert bleiben. Dieses Risiko gibt es nun auch beim Personalausweis.

Auch beim Transport der Fingerabdruckdaten von den Meldebehörden an die Bundesdruckerei können die Daten abgegriffen werden.

Die dritte Angriffsstelle bildet der Chip auf dem Ausweis selbst."

 

[dtp]

Nun ja, zwei Meter sind ja schon mal etwas weniger als mehrere Kilometer, wie @tjp noch so oberschlau anmerkte. Zudem beziehen sich diese zwei Meter auf eine LOS-Verbindung (line of sight). Sobald da etwas dazwischen kommt, sinkt die Reichweite deutlich.

Jeder, der schon mal mit seiner Apple Watch per Apple Pay bezahlen wollte, wird sich sicherlich gelegentlich darüber ärgern, dass es nicht immer beim ersten Mal klappt und man seinen Arm verdrehen muss. Und die Apple Watch und das entsprechende Kartenlesegerät verwenden eine aktive NFC-Technik (Near Field Communication), die mit der von aktiven RFID Tags vergleichbar ist. Mit passiven RFID Tags wird's also nicht unbedingt einfacher, sie auf größere Entfernungen auszulesen. Ich will damit aber natürlich nicht sagen, dass es unmöglich ist.

 

[tjp]

Bevor du mit mehr solch oberschlauen Sätzen daher kommst, überlege doch mal bitte, ob man in einem Personalausweis oder anderen Scheckkarten großen Gegenständen aktive RFID Tags einsetzen würde und ob man diese dann überhaupt per Sniffer aus mehreren Kilometern Entfernung ausgelesen bekäme. Aber ja, ich gebe dir Recht, es gibt neben passiven RFID Tags auch aktive.

Mit naturwissenschaftlicher Bildung sollte Dir bewusst sein, dass nur die Strahlungsdichte am Ziel eine Rolle spielt, und ob man dann in der Lage ist die Abstrahlung des Senders im RFID Chip zu erfassen. In der Radioastronomie werden sehr viel schwächere Signale erfasst. Was hier notwendig ist, ist eine Richtantenne und ein schmalbandiger Empfänger. Letzteres ist aber kein Problem, weil das zu empfangende Frequenzband vorher schon bekannt ist.

Die kurzen Empfangsreichweiten beziehen sich immer auf die RFID Sender und Empfänger die man im Laden kaufen kann. Die sind zum Beispiel wegen des Gesundheitsschutzes so schwach. Nur ein Angreifer wird keine Standardtechnik für die sachgerechte Verwendung nutzen, sondern spezielle Hochleistungssysteme, um gefahrlos (nur für sich) Daten erfassen zu können.

Woher weißt Du, dass im am Straßenrand geparkten Van nicht jemand sitzt und RFID Informationen snifft?

Übrigens steht bei mir das kleine "d" für einen akademischen Ingenieursgrad. Ist aber zugegebenermaßen schon ein paar Jahre her.

Das „schon ein paar Jahre her“ dürfte das Problem sein.

 

[SomeUser]

Moin!

Nun ja, zwei Meter sind ja schon mal etwas weniger als mehrere Kilometer, wie @tjp noch so oberschlau anmerkte. Zudem beziehen sich diese zwei Meter auf eine LOS-Verbindung (line of sight). Sobald da etwas dazwischen kommt, sinkt die Reichweite deutlich.

Der Punkt, auf dem der Mitschreiber wohl hinaus wollte, ist die Darlegung, dass ein Auslesen aus geringer Entfernung (<2m) jedenfalls möglich ist, wenn es technisch sogar aus mehreren Kilometern möglich ist. Damit ist das Argument hinfällig, dass man dem anderen ja am Hintern befummeln müsste.

 

[dtp]

Das „schon ein paar Jahre her“ dürfte das Problem sein.

Wenn du meinst. Ich geb mich geschlagen und du hast Recht.

Und wenn die Bösen dann doch nicht unsere im RFID Tag hinterlegten Daten ausgelesen bekommen, dann haben sie uns wenigstens alle verstrahlt und wir gehen elend am Krebs zugrunde. Ist doch auch was Schönes.

Ich sag's ja schon immer. Datenschutz vernichtet Leben.

 

[tjp]

Wenn du meinst. Ich geb mich geschlagen und du hast Recht.

Vielleicht hilft eine simple Analogie.

Mit einer 3W LED (ca. 1W Strahlleistung) kann man einen Raum halbwegs ausleuchten und man sieht direkt das Licht mit dem bloßen Auge. Das entspricht einer ungerichteten RFID-Antenne. Nimmt man nun einen 1W Laser kann man ein Haus in mehrere Kilometern Entfernung anstrahlen. Den Laserfleck auf dem Gebäude sieht man nur mit einem Teleskop/Fernglas, aber er ist sichtbar. Man kann sogar mit einem etwas stärkerem Laser den Retroreflektor der Apollo 15 Mission auf dem Mond anstrahlen und dann die Reflektion mit einem kleinem Teleskop beobachten und über die Laufzeit den Abstand Erde-Mond bestimmen.

Analog funktioniert das mit RFID-Technik, denn Funk ist nichts anderes als Licht aus einem anderen Frequenzbereich.

 

[dtp]

Analog funktioniert das mit RFID-Technik, denn Funk ist nichts anderes als Licht aus einem anderen Frequenzbereich.

Okay, damit hast du dann ja wenigstens deine Behauptung über die mangelnde naturwissenschaftliche Bildung in Deutschland untermauert. Schon mal was von analogen und digitalen Modulations- und Demodulationsverfahren gehört? Oder von digitalen Kodier- und Dekodierverfahren? Von Reflexionen, Dämpfungen, Streuungen, Klirrgraden, Trägerfequenzen, Oberwellen, etc.?

Was nützt dir in dem Fall die Information über die Laufzeit und die Entfernung zwischen Sender und Empfänger?