Sicherheitsexperte Lukas Grunwald hat binnen 2 Wochen herausgefunden, wie die neuen elektronischen Pässe 1:1 zu klonen sind. Geholfen haben ihm dabei die offiziellen Datenblätter und der momentane Schwachpunkt, dass die Daten in den e-Pässen nicht verschlüsselt sind. Die Inhalte sind aber nicht änderbar, da die Daten mittels einer kryptographischer Hashfunktion integritätsgeschützt sind. Denkbar sind hingegen Manipulationen von Pässen mittels ausgetauschtem Chip. So würde die visuelle Kontrolle des Passes auf einen selbst passen, die elektronische Erkennung würde jedoch jmd. anderen erkennen. Sicher kein Horror-Szenario und eine leicht zu behebende Sicherheitslücke, aber mich stört, dass die e-Pässe eingeführt wurden ohne jegliche Verschlüsselung. Dass dahinter eine nicht zu unterschätzende benötigte Infrastruktur steht ist klar, aber wieso führt man die neuen Pässe nicht erst dann ein, wenn sie wirklich sicher sind?