Die neuen Reisepässe

Die neuen Reisepässe
Vermessen und Verraten?

Hinweise von der Roten Hilfe 11/05

trend
onlinezeitung

Vorausgesetzt, der deutsche Bundesrat stimmt dem Beschluß des Kabinetts vom 22. Juni 2005 über die Einführung der neuen Reisepässe zu, werden ab dem 1. November diesen Jahres die Pässe mit biometrischen Merkmalen gegen eine Gebühr von 59 Euro, statt bisher 26 Euro, abgegeben.

Warum?

Für die Einführung der neuen Ausweise sind in erster Linie die USA mit ihrem Ruf nach biometrisch gesicherten Visadokumenten verantwortlich.
USA-Reisende müssen schon seit dem 26. Oktober 2004 ein Gesichtsbild und zwei Fingerabdrücke an der Grenze abgeben. Jedoch forcieren auch europäische Politiker die Etablierung der neuen Ausweisdokumente. Besonders tut sich der deutsche Innenminister Otto Schily dabei hervor.
Das vordergründige Argument, daß biometrische Ausweise zur wirkungsvollen Bekämpfung des internationalen Terrorismus unabdingbar seien, ist nicht wirklich stichhaltig. Mit dem "ePass" soll verhindert werden, daß Personen mit fremden Dokumenten nach Europa einreisen. Es kann vorausgeschickt werden, daß das ganze Unternehmen eine Sicherheitssimulation für die Bevölkerung darstellt. Die Verfahren und die Technik sind mangelhaft. Hinzu kommt, daß andere Bedarfsträger, z. B. Strafverfolgungsbehörden und Geheimdienste, zusätzliche Funktionen nutzen können, die über die eigentliche Identifikation der Dokumenteninhaberin hinausgehen. Diese Begehrlichkeiten werden wahrscheinlich nach Einführung schnell zu Tage treten. Denken wir nur an die Fremdnutzung des deutschen Mautsystems durch die Polizei, die damit ein Instrument zur großflächigen Personen- und Fahrzeugüberwachung zur Verfügung hat.

Wie sehen sie aus?

Der neue EU-Paß ist rot und hat ein außen erkennbares Symbol, das ersichtlich macht, daß es sich um einen elektronischen Paß handelt. In dem Paßdeckel auf der Vorderseite befinden sich unter dem Textilbezug ein Chip und eine Antenne. Ansonsten ist der neue Reisepaß wie der alte gestaltet und enthält die gleichen Daten in menschenlesbarer Form. Auf dem sogenannten RF-Chip (Radiofrequency) wird sich in der ersten Einführungsstufe ein digitales Bild des Gesichtes befinden. In der zweiten Stufe sollen auch Fingerabdrücke gespeichert werden. Weitere körperliche Merkmale können in Zukunft hinzukommen.

Wie funktionieren sie?

Die RF-Chips in den Ausweisen sind per Funk lesbar. Damit nicht jeder die personengebundenen Daten von den Chips abrufen kann, um dann womöglich eine Sprengfalle zu konstruieren, die nur hochgeht, wenn Herr Mustermann mit seinem Ausweis vorbei läuft, ist etwas Sicherheit eingebaut, allerdings nur ein wenig, denn das Ganze ist noch nicht ausführlich getestet.
Bei einer Grenzkontrolle übergibt man seinen Ausweis der Grenzbeamtin. Diese legt den Paß auf ein Lesegerät, das tatsächlich optischen Zugriff auf die Datenseite im aufgeschlagenen Ausweis haben muß. Um nun die biometrischen Daten aus dem RF-Chip zu bekommen, benötigt das Gerät, das per Funk die Abfrage durhführt, einen Zugriffsschlüssel. Dieser wird von dem Lesegerät errechnet, indem die optische Einheit einen Code liest und diesen über das Terminal per verschlüsseltem Protokoll an den RF-Chip schickt. Ein Prozessor auf dem RF-Chip überprüft die Richtigkeit und erzeugt einen Sitzungsschlüssel, mit dem fortan die Kommunikation zwischen Terminal und Chip verschlüsselt wird. Erst jetzt können die biometrischen Merkmale ausgelesen werden (das exakte kryptografische Procedere bitte in den weiterführenden Schriften nachlesen). Nun ist es bei Verschlüsselungsverfahren so, daß sie nur so sicher sind, wie die Implementierung und der Aufwand, den jemand betreibt, um die Verschlüsselung zu knacken, bzw. wie der verwendete Algorhythmus.

Wo sind die Probleme?

Technisch gesehen
Die geplanten Verfahren sind nicht ausreichend getestet worden. Langzeitstudien gibt es schon gar nicht und ein Test mit 1000 oder weniger Probanden, wie in der BSI-tudie, sind nicht wirklich relevant und aussagekräftig.
Das bringt mit sich, daß die Implementierung der kryptografischen Sicherheitsmechanismen nicht als sicher bezeichnet werden kann.
Die Erkennung von biometrischen Merkmalen ist nicht zuverlässig. Bei dem einzigen deutschen Test eines biometrischen Grenzkontrollsystems beträgt beispielsweise bei der Iriserkennung am Frankfurter Flughafen die FRR (false rejection ratio; Abweisungsrate Berechtigter) etwa 30 Prozent.
Biometrische Systeme sind relativ einfach zu überwinden. Man kann technischen Authentifizierungssystemen z. B. fremde Fingerabdrücke oder Gesichtsbilder unterjubeln.
Die biometrischen Merkmale sind auch nicht konstant, denn der menschliche Körper unterliegt Veränderungen. Die Aufnahmebedingungen beim Fotografieren und Fingerabdrücke nehmen sind unterschiedlich und damit ist eine gleiche Qualität nicht möglich.
Es ist ungeklärt, ob die Chips in Bezug auf die geforderte Lebensdauer der Dokumente tauglich sind.
Für die Anschaffung von Hard- und Software, Produktion der Ausweise, Wartung der Systeme und Schulung des Personals entstehen hohe Kosten. Das Büro für Technikfolgeabschätzung des Bundestages rechnet mit bis zu 669 Millionen Euro einmaligen und 610 Millionen Euro jährlichen Kosten.

Sozial gesehen
Eine öffentliche Debatte über die Einführung der neuen Ausweise, auch mit ihren Konsequenzen, hat so gut wie nicht stattgefunden.
Das Verfügungsrecht über die personenbezogenen Daten ist für die Ausweisinhaberin nur begrenzt durchsetzbar, da schließlich die Datensätze per Funk übertragen werden. Auch gibt es für die Bürgerin keine Kontrolle darüber, daß die biometrischen Daten nach der Abnahme wirklich gelöscht werden.
Ein nicht unerheblicher Teil der Bevölkerung würde bei der Überprüfung diskriminiert werden, weil ihnen bestimmte Merkmale fehlen (z. B. Finger) oder weil diese zu wenig ausgeprägt sind. Etwa zwei Prozent der Menschen verfügen zum Beispiel nicht über ausreichend ausgeprägte Fingerabdrücke. Das wären in Europa etwa acht Millionen Leute, bei denen Probleme bei Grenzkontrollen vorprogrammiert sind.
Daten dürfen grundsätzlich nur für den Zweck genutzt werden, zu dem sie erhoben wurden. Diese Zweckbindung wurde vom Verfassungsgericht im Volkszählungsurteil von 1983 festgeschrieben. Momentan ist nicht gewährleistet, daß die Daten ausschließlich zur Feststellung der Identität der Dokumentenbesitzer verwendet werden können.
Rohdaten können schützenswerte Informationen über die Person enthalten, die für den Zweck der Authentifizierung nicht notwendig sind. So sagt ein Bild des Gesichtes beispielsweise etwas über das Geschlecht, die Ethnie oder das Alter aus. Aus Irisbildern können Rückschlüsse auf Augenkrankheiten und Medikamenteneinnahme gezogen werden.

Und jetzt?

Wir unterstützen die Forderungen, die der Chaos Computer Club (CCC) ausgearbeitet hat:

Öffentliche Debatte und die Aufklärung der Bevölkerung über die Risiken und Kosten.

Nur Systeme zu verwenden, die eine aktive Teilnahme der Personen bei der Überprüfung gewährleisten. Systeme ohne aktive Beteiligung des Benutzers an dem Überprüfungsvorgang beinhalten die Gefahr der großflächigen automatischen Überwachung. Hier ist besonders die Gesichtserkennung zu nennen, da sie auch über größere Entfernungen funktioniert. Daher muß eine Überprüfung streng am die Willensbekundung gekoppelt werden.

Keine Zentrale Datenbank oder länderübergreifende Vernetzung lokaler Register.

Keine Speicherung überschüssiger (Roh-)Daten, da diese Rückschlüsse auf Krankheiten, Ethnie, Drogenkonsum, etc. zulassen.

Verwendung von "Match on Card"-Verfahren. Dabei Hier verlassen die biometrischen Daten das Speichermedium nicht.

Strenge Zweckbindung der erhobenen Daten.

Einsatz fälschungssicherer Systeme und Klärung der Haftungsfrage bei Mißbrauch.

Test der Systeme durch unabhängige Organisationen.

Feldtests mit ausreichender Probandenzahl und Dauer vor der Einführung.

Öffentliche und wissenschaftliche Begleitung des Einsatzes.

Keine Speicherung der Daten in RFID Chips.

Verschlüsselung der im Paß gespeicherten biometrischen Daten.

Einsatz von starken und offenen Verschlüsselungsalgorithmen für den Kommunikationsweg.

Keine Verwendung von biometrischer Technologie, die zu einer Diskriminierung einzelner Personen bzw. Personengruppen führt (z. B. durch häufige Zurückweisung bei Kontrollen), denn das widerspräche dem Gleichheitsgrundsatz.

Manipulationssichere und haltbare Dokumente.

Keine Einführung in Personalausweise.

Verweise auf weiterführende Schriften:

die datenschleuder #86, S. 22, Analyse der BSI Studien BioP und BioFinger

die datenschleuder #83, S. 8, Biometrie & Ausweisdokumente - Eine Bestandsaufnahme

Datenschutz und Datensicherheit 6/2005, S. 340, Identitätskarten - sind Sicherheit und Datenschutz möglich?

KES Mai 2005, S. 6, Konsequenzen der Pass-Biometrie

TAB: Biometrie und Ausweisdokumente
http://www.tab.fzk.de/de/projekt/zusammenfassung/ab93.pdf

Verordnung Nr. 2252/2004 v. 13.12.2004 über Normen für Sicherheitsmerkmale und biometrische Daten in den von den Mitgliedstaaten ausgestellen Pässen und Reisedokumenten
http://europa.eu.int/eur-lex/lex/LexUriServ/site/de/oj/2004/l_385/l_38520041229de00010006.pdf

2. TAB-Bericht: Biometrie und Ausweispapiere
http://dip.bundestag.de/btd/15/040/1504000.pdf

Biometrie in offiziellen Ausweisen: Rechtliche Rahmenbedingungen
http://www.datenschutzzentrum.de/material/themen/divers/biometrie_ausweis.htm

ULD-Gutachten zum Einsatz biometrischer Verfahren in Ausweispapieren
http://www.datenschutzzentrum.de/download/Biometrie_Gutachten_Print.pdf

Das "Golden Reader Tool" des BSI
http://www.bsi.bund.de/literat/faltbl/F25GRT.htm

Biometrische Merkmale in Ausweisen erhöhen Sicherheit nicht
https://www.ccc.de/biometrie/

Kontakt: datenschutzgruppe@rotehilfe.de

Editorische Anmerkungen

Dieser Artikel befindet sich auf der Website der Roten Hilfe und wurde von dort gespiegelt.


Die neuen Reisepässe Vermessen und Verraten? Hinweise von der Roten Hilfe	11/05 trend onlinezeitung
Vorausgesetzt, der deutsche Bundesrat stimmt dem Beschluß des Kabinetts vom 22. Juni 2005 über die Einführung der neuen Reisepässe zu, werden ab dem 1. November diesen Jahres die Pässe mit biometrischen Merkmalen gegen eine Gebühr von 59 Euro, statt bisher 26 Euro, abgegeben. Warum? Für die Einführung der neuen Ausweise sind in erster Linie die USA mit ihrem Ruf nach biometrisch gesicherten Visadokumenten verantwortlich. USA-Reisende müssen schon seit dem 26. Oktober 2004 ein Gesichtsbild und zwei Fingerabdrücke an der Grenze abgeben. Jedoch forcieren auch europäische Politiker die Etablierung der neuen Ausweisdokumente. Besonders tut sich der deutsche Innenminister Otto Schily dabei hervor. Das vordergründige Argument, daß biometrische Ausweise zur wirkungsvollen Bekämpfung des internationalen Terrorismus unabdingbar seien, ist nicht wirklich stichhaltig. Mit dem "ePass" soll verhindert werden, daß Personen mit fremden Dokumenten nach Europa einreisen. Es kann vorausgeschickt werden, daß das ganze Unternehmen eine Sicherheitssimulation für die Bevölkerung darstellt. Die Verfahren und die Technik sind mangelhaft. Hinzu kommt, daß andere Bedarfsträger, z. B. Strafverfolgungsbehörden und Geheimdienste, zusätzliche Funktionen nutzen können, die über die eigentliche Identifikation der Dokumenteninhaberin hinausgehen. Diese Begehrlichkeiten werden wahrscheinlich nach Einführung schnell zu Tage treten. Denken wir nur an die Fremdnutzung des deutschen Mautsystems durch die Polizei, die damit ein Instrument zur großflächigen Personen- und Fahrzeugüberwachung zur Verfügung hat. Wie sehen sie aus? Der neue EU-Paß ist rot und hat ein außen erkennbares Symbol, das ersichtlich macht, daß es sich um einen elektronischen Paß handelt. In dem Paßdeckel auf der Vorderseite befinden sich unter dem Textilbezug ein Chip und eine Antenne. Ansonsten ist der neue Reisepaß wie der alte gestaltet und enthält die gleichen Daten in menschenlesbarer Form. Auf dem sogenannten RF-Chip (Radiofrequency) wird sich in der ersten Einführungsstufe ein digitales Bild des Gesichtes befinden. In der zweiten Stufe sollen auch Fingerabdrücke gespeichert werden. Weitere körperliche Merkmale können in Zukunft hinzukommen. Wie funktionieren sie? Die RF-Chips in den Ausweisen sind per Funk lesbar. Damit nicht jeder die personengebundenen Daten von den Chips abrufen kann, um dann womöglich eine Sprengfalle zu konstruieren, die nur hochgeht, wenn Herr Mustermann mit seinem Ausweis vorbei läuft, ist etwas Sicherheit eingebaut, allerdings nur ein wenig, denn das Ganze ist noch nicht ausführlich getestet. Bei einer Grenzkontrolle übergibt man seinen Ausweis der Grenzbeamtin. Diese legt den Paß auf ein Lesegerät, das tatsächlich optischen Zugriff auf die Datenseite im aufgeschlagenen Ausweis haben muß. Um nun die biometrischen Daten aus dem RF-Chip zu bekommen, benötigt das Gerät, das per Funk die Abfrage durhführt, einen Zugriffsschlüssel. Dieser wird von dem Lesegerät errechnet, indem die optische Einheit einen Code liest und diesen über das Terminal per verschlüsseltem Protokoll an den RF-Chip schickt. Ein Prozessor auf dem RF-Chip überprüft die Richtigkeit und erzeugt einen Sitzungsschlüssel, mit dem fortan die Kommunikation zwischen Terminal und Chip verschlüsselt wird. Erst jetzt können die biometrischen Merkmale ausgelesen werden (das exakte kryptografische Procedere bitte in den weiterführenden Schriften nachlesen). Nun ist es bei Verschlüsselungsverfahren so, daß sie nur so sicher sind, wie die Implementierung und der Aufwand, den jemand betreibt, um die Verschlüsselung zu knacken, bzw. wie der verwendete Algorhythmus. Wo sind die Probleme? Technisch gesehen Die geplanten Verfahren sind nicht ausreichend getestet worden. Langzeitstudien gibt es schon gar nicht und ein Test mit 1000 oder weniger Probanden, wie in der BSI-tudie, sind nicht wirklich relevant und aussagekräftig. Das bringt mit sich, daß die Implementierung der kryptografischen Sicherheitsmechanismen nicht als sicher bezeichnet werden kann. Die Erkennung von biometrischen Merkmalen ist nicht zuverlässig. Bei dem einzigen deutschen Test eines biometrischen Grenzkontrollsystems beträgt beispielsweise bei der Iriserkennung am Frankfurter Flughafen die FRR (false rejection ratio; Abweisungsrate Berechtigter) etwa 30 Prozent. Biometrische Systeme sind relativ einfach zu überwinden. Man kann technischen Authentifizierungssystemen z. B. fremde Fingerabdrücke oder Gesichtsbilder unterjubeln. Die biometrischen Merkmale sind auch nicht konstant, denn der menschliche Körper unterliegt Veränderungen. Die Aufnahmebedingungen beim Fotografieren und Fingerabdrücke nehmen sind unterschiedlich und damit ist eine gleiche Qualität nicht möglich. Es ist ungeklärt, ob die Chips in Bezug auf die geforderte Lebensdauer der Dokumente tauglich sind. Für die Anschaffung von Hard- und Software, Produktion der Ausweise, Wartung der Systeme und Schulung des Personals entstehen hohe Kosten. Das Büro für Technikfolgeabschätzung des Bundestages rechnet mit bis zu 669 Millionen Euro einmaligen und 610 Millionen Euro jährlichen Kosten. Sozial gesehen Eine öffentliche Debatte über die Einführung der neuen Ausweise, auch mit ihren Konsequenzen, hat so gut wie nicht stattgefunden. Das Verfügungsrecht über die personenbezogenen Daten ist für die Ausweisinhaberin nur begrenzt durchsetzbar, da schließlich die Datensätze per Funk übertragen werden. Auch gibt es für die Bürgerin keine Kontrolle darüber, daß die biometrischen Daten nach der Abnahme wirklich gelöscht werden. Ein nicht unerheblicher Teil der Bevölkerung würde bei der Überprüfung diskriminiert werden, weil ihnen bestimmte Merkmale fehlen (z. B. Finger) oder weil diese zu wenig ausgeprägt sind. Etwa zwei Prozent der Menschen verfügen zum Beispiel nicht über ausreichend ausgeprägte Fingerabdrücke. Das wären in Europa etwa acht Millionen Leute, bei denen Probleme bei Grenzkontrollen vorprogrammiert sind. Daten dürfen grundsätzlich nur für den Zweck genutzt werden, zu dem sie erhoben wurden. Diese Zweckbindung wurde vom Verfassungsgericht im Volkszählungsurteil von 1983 festgeschrieben. Momentan ist nicht gewährleistet, daß die Daten ausschließlich zur Feststellung der Identität der Dokumentenbesitzer verwendet werden können. Rohdaten können schützenswerte Informationen über die Person enthalten, die für den Zweck der Authentifizierung nicht notwendig sind. So sagt ein Bild des Gesichtes beispielsweise etwas über das Geschlecht, die Ethnie oder das Alter aus. Aus Irisbildern können Rückschlüsse auf Augenkrankheiten und Medikamenteneinnahme gezogen werden. Und jetzt? Wir unterstützen die Forderungen, die der Chaos Computer Club (CCC) ausgearbeitet hat: Öffentliche Debatte und die Aufklärung der Bevölkerung über die Risiken und Kosten. Nur Systeme zu verwenden, die eine aktive Teilnahme der Personen bei der Überprüfung gewährleisten. Systeme ohne aktive Beteiligung des Benutzers an dem Überprüfungsvorgang beinhalten die Gefahr der großflächigen automatischen Überwachung. Hier ist besonders die Gesichtserkennung zu nennen, da sie auch über größere Entfernungen funktioniert. Daher muß eine Überprüfung streng am die Willensbekundung gekoppelt werden. Keine Zentrale Datenbank oder länderübergreifende Vernetzung lokaler Register. Keine Speicherung überschüssiger (Roh-)Daten, da diese Rückschlüsse auf Krankheiten, Ethnie, Drogenkonsum, etc. zulassen. Verwendung von "Match on Card"-Verfahren. Dabei Hier verlassen die biometrischen Daten das Speichermedium nicht. Strenge Zweckbindung der erhobenen Daten. Einsatz fälschungssicherer Systeme und Klärung der Haftungsfrage bei Mißbrauch. Test der Systeme durch unabhängige Organisationen. Feldtests mit ausreichender Probandenzahl und Dauer vor der Einführung. Öffentliche und wissenschaftliche Begleitung des Einsatzes. Keine Speicherung der Daten in RFID Chips. Verschlüsselung der im Paß gespeicherten biometrischen Daten. Einsatz von starken und offenen Verschlüsselungsalgorithmen für den Kommunikationsweg. Keine Verwendung von biometrischer Technologie, die zu einer Diskriminierung einzelner Personen bzw. Personengruppen führt (z. B. durch häufige Zurückweisung bei Kontrollen), denn das widerspräche dem Gleichheitsgrundsatz. Manipulationssichere und haltbare Dokumente. Keine Einführung in Personalausweise. Verweise auf weiterführende Schriften: die datenschleuder #86, S. 22, Analyse der BSI Studien BioP und BioFinger die datenschleuder #83, S. 8, Biometrie & Ausweisdokumente - Eine Bestandsaufnahme Datenschutz und Datensicherheit 6/2005, S. 340, Identitätskarten - sind Sicherheit und Datenschutz möglich? KES Mai 2005, S. 6, Konsequenzen der Pass-Biometrie TAB: Biometrie und Ausweisdokumente http://www.tab.fzk.de/de/projekt/zusammenfassung/ab93.pdf Verordnung Nr. 2252/2004 v. 13.12.2004 über Normen für Sicherheitsmerkmale und biometrische Daten in den von den Mitgliedstaaten ausgestellen Pässen und Reisedokumenten http://europa.eu.int/eur-lex/lex/LexUriServ/site/de/oj/2004/l_385/l_38520041229de00010006.pdf 2. TAB-Bericht: Biometrie und Ausweispapiere http://dip.bundestag.de/btd/15/040/1504000.pdf Biometrie in offiziellen Ausweisen: Rechtliche Rahmenbedingungen http://www.datenschutzzentrum.de/material/themen/divers/biometrie_ausweis.htm ULD-Gutachten zum Einsatz biometrischer Verfahren in Ausweispapieren http://www.datenschutzzentrum.de/download/Biometrie_Gutachten_Print.pdf Das "Golden Reader Tool" des BSI http://www.bsi.bund.de/literat/faltbl/F25GRT.htm Biometrische Merkmale in Ausweisen erhöhen Sicherheit nicht https://www.ccc.de/biometrie/ Kontakt: datenschutzgruppe@rotehilfe.de Editorische Anmerkungen Dieser Artikel befindet sich auf der Website der Roten Hilfe und wurde von dort gespiegelt.