Der Chaosknoten Chaos Computer Club e.V.

          suche

ist das Logo des CCC
Deutsch English


Forderungen des CCC

09. Oktober 2004 (starbug)
Forderungskatalog zum Einsatz zusätzlicher biometrischer Merkmale in Ausweisdokumenten (Stand Oktober 2004)

  • Nur Systeme zu verwenden, die eine aktive Teilnahme der Personen bei der Überprüfung gewährleisten. Systeme ohne aktive Beteiligung des Benutzers an dem Überprüfungsvorgang bieten die Möglichkeit der grossflächigen automatischen Überwachung. Hier ist besonders die Gesichtserkennung zu nennen, da sie auch über grössere Entfernungen funktioniert. Daher muss eine Überprüfung streng mit der Willensbekundung gekoppelt werden.
  • Den Verzicht der Speicherung in einer zentralen oder in vernetzten dezentralen Datenbanken. Eine zentrale Datenbank ist in vielerlei Hinsicht als kritisch zu bewerten. So muss diese bei jeder Abfrage und von jedem Ort aus erreichbar sein. Bei einem Ausfall des Datenbankrechners oder der Kommunikation zum Endgerät würde der Authentifizierungsvorgang fehl schlagen. Eine alternative Überprüfungsmoeglichkeit wäre unumgänglich. Auch das unerlaubte Auslesen oder Einspielen von Datensätzen stellt ein hohes Risiko dar. Für den Vergleich von Inhaber und Besitzer der Ausweisdokumente reicht die Speicherung des Merkmals auf dem Dokument selber völlig aus. So blieben die Daten in der Hand der Nutzer. Der informationellen Selbstbestimmung waere damit geüge getan. Die hierbei durchgeführte Verifikation (1:1 Vergleich) liefert ausserdem geringere Fehlerraten als ein Abgleich mit der Datenbank.
  • Keine Speicherung von Rohdaten. Rohdaten können schützenswerte Informationen über die Person enthalten, die für den Zweck der Authentifizierung nicht notwendig sind. So sagt ein Bild des Gesichtes beispielsweise etwas über das Geschlecht, die Ethnie oder das Alter aus. Aus Irisbildern können Rückschlüsse auf Augenkrankheiten und Medikamenteneinnahme gezogen werden. Die Speicherung von Templatedaten birgt dieses Risiko nicht. Allerdings ist anzumerken, dass Templates fest an die Auswertealgorithmen gebunden sind. Vor der Einführung müsste deshalb ein Standard definiert werden, der allerdings die Gefahr der Monopolisierung birgt. Ein alternativer Lösungsansatz wäre das "Match on Card" Verfahren. Da hier die biometrischen Daten das Speichermedium nicht verlassen, können auch die Rohdaten selbst gespeichert werden.
  • Keine Diskiminierung einzelner Personen bzw. Personengruppen. Eine dauerhafte fälschliche Rückweisung von Benutzern auf Grund von schwach oder gar nicht ausgeprägten Merkmalen widerspricht dem Gleichheitsgrundsatz. Bei der Fingerabdruckerkennung liegt der Anteil solcher Personen bei ca. 2%. Bei über 400 Mio europaeischen Bürgern wären das 8 Mio Problemfälle, die bei jeder Kontrolle extra überprüft werden müssten. Um derartige Diskriminierungen zu vermeiden müssten alternative Merkmale oder Kontrollmechanismen eingeführt werden, die allerdings den angestrebten Sicherheitsgewinn wieder zu nichte machen würden. Probleme, die Personen erwartet, wenn die fälschlicherweise für Straftäter gehalten werden sind bei Fehlerraten von > 1% auch nicht vernachlässigbar.
  • Den Test der eingesetzen Systeme durch unabhängige Organisationen sowie umfassende Feldtests vor der Einführung. Viele Aussagen zur Zuverlässigkeit und Fehleranfälligkeit von Herstellern biometrischer Systeme konnten in der Praxis nicht bestätigt werden. Das liegt teilweise an den zu geringen Nutzerzahlen bei den durchgeführten Tests. Für eine statistische Relavanz reichen keine 1000 oder gar noch weniger Testpersonen, wie es beispielsweise bei den BSI Studien der Fall war. Einige Grossversuche wurden sogar wegen totalem Versagen ganz abgebrochen. Um solche Probleme und die damit verbundene Verschwendung von Finanzmitteln (ein Szenario aus dem Bericht des Büros für Technikfolgeabschätzung des Bundestages rechnet mit bis zu 669 Millionen Euro einmaligen und 610 Millionen Euro jährlichen Kosten) zu verhindern sind unabhängige Tests im Vorfeld der Installation dringend notwendig.
  • Die strenge Zweckbindung der biometrischen Daten zu gewährleisten. Sollten biometrische Daten in Ausweisdokumente aufgenommen werden, muss die Zweckbindung vorher genau festgeschrieben sein. Die Daten dürfen ausschliesslich zur Feststellung der Identitaet des Dokumentenbesitzers verwendet werden und nicht als Grundlage für polizeiliche oder geheimdienstliche Verfahren, wie beispielsweise der Abgleich gegen Tatortspuren, dienen. Dies würde gegen den Verhältnismässigkeitsgrundsatz verstossen. Ferner müssen auch die Austeller der Dokumente alle erhobenen Daten sofort nach der Erstellung und für den Bürger überprüfbar vernichten.
  • Den Verzicht von RFID-Technologie zur Speicherung der biometrischen Daten. Die Radio Frequency Identification Technologie wird zur kontaktlosen Datenübertragung verwendet. Beim Einsatz in Ausweisdokumenten besteht die Gefahr, dass gespeicherte Daten auch noch über grosse Entfernungen hinweg ausgelesen werden können. Das ist vor allem im Zusammenhang mit der Speicherung von Rohdaten als problematisch anzusehen. Sollten RFID Chips in die Dokumente eingebracht werden, so muss die Kommunikation zwischen ihnen und dem Lesegerät kryptographisch gesichert werden. Die dabei verwendeten Algorithmen sollten öffentlicht bekannt und geprüft sein. Ebenfalls ungeklärt ist die Tauglichkeit der Chips im Bezug auf die geforderte Lebensdauer der Dokumente.
  • Eine öffentliche Debatte und die Aufklärung der Bevölkerung über die Risiken. Da die Einführung zusätzlicher biometrischer Merkmale in Ausweisdokumente ein erheblicher Eingriff in Bürgerrechte darstellt, müssen die Betroffen zumindest vorher über die möglichen Risiken und Kosten aufgeklärt werden. Vor allem die vorgebrachten Argumente des Schutzes vor Terroristen sind kaum haltbar und rechtfertigen den Aufwand sicher nicht.


"People want value for money. That's why we always insist on the principle of Information Retrieval charges. It's absolutely right and fair that those found guilty should pay for their periods of detention and for the Information Retrieval Procedures used in their interrogation." - Ministry of Information Deputy Minister Eugene Helpmann