Der Chaosknoten Chaos Computer Club e.V.

          suche

ist das Logo des CCC
Deutsch English


Auskunft des Bundesinnenministeriums

04. September 2005 (frankro)
Die Redaktion Datenschleuder hat anlässlich der bevorstehenden Einführung der Reisepässe die 'ePass-Hotline' der Bundesregierung um die Beantwortung einiger offener Fragen gebeten. Es antwortete die Pressestelle des BMI. Leider konnte sich das BMI scheinbar nicht mehr als ein Paar Copy&Paste-Textblöcke abringen, die meist nur wenig mit den Fragen zu tun haben. Die Redaktion Datenschleuder hat die Antworten kommentiert.

Frage:
Obwohl es bisher keine verabschiedete ICAO Spezifikation für den Zugriff auf die erweiterten biometrischen Daten (Finger, Iris) gibt, wird mit der Einführung der ersten Stufe bereits begonnen. Was passiert, wenn es keine zufriedenstellende Lösung gibt? Wird dann die Datenschutz-unfreundliche Variante (Vollzugriff auf alle Felder) gewählt? Oder der ePass in der ersten Stufe belassen?

Antwort:
Internationale Standards für die Pässe werden durch die ICAO definiert. Die EU hat sich bei Erlass der technischen Anhänge zur EG-Verordnung über Normen für Sicherheitsmerkmale und biometrische Daten in den von den Mitgliedsstaaten ausgestellten Pässen und Reisedokumenten daran orientiert. Die Standards der ICAO wurden insbesondere dort von der EU fortgeschrieben, wo die europäischen Grundsätze des Datenschutzes ein höheres Sicherheitsniveau erforderlich machen, so z.B. im Falle der Bestimmung der kryptographischen Verschlüsselung der Fingerabsdruckdaten (so genannte "Extended Acces Control").

Gemäß der EG-Verordnung sind als erstes biometrisches Merkmal das Gesichtsbild und als zweites Merkmal Fingerabdrücke zu speichern. In den ab November 2005 ausgestellten deutschen Reisepässen wird zunächst nur das Gesichtsbild, das auch als Lichtbild im Pass abgedruckt ist, im RF-Chip gespeichert. Für das Jahr 2007 ist vorgesehen, auch die Fingerabdrücke im RF-Chip abzuspeichern. Die Speicherung der biometrischen Merkmale erfolgt in einem zertifizierten Sicherheitschip mit kryptographischem Koprozessor und kontaktlosem Interface (RF-Chip), der in den Reisepass integriert wird.

Ein unbemerktes Auslesen der biometrischen Daten wird durch einen effektiven Zugriffschutz ausgeschlossen. Datenschutz und Datensicherheit sind damit gewährleistet. In der ersten Phase, also bei Integration des digitalen Gesichtsbilds in den ePass, wird der Zugang zu den Bild-Daten im Chip nur über das vorherige optische Auslesen der maschinenlesbaren Zone möglich sein. Für die zweite Phase, d.h. nach Integration der Fingerabdrücke, wird ein zusätzliches kryptographisches Protokoll für den Zugriff auf diese Daten verwendet. Durch die Integration von kryptographischen Sicherheitsmerkmalen, wie z.B. einer digitalen Signatur über die gespeicherten Daten, wird das Sicherheitsniveau der Reisepässe bedeutend erhöht. Gleichzeitig wird über kryptographische Mechanismen das unberechtigte Auslesen bzw. das Abhören der übertragenen Daten der RF-Chips wirkungsvoll verhindert (Basic Access Control und Extended Access Control). Wir arbeiten nicht mit "zufriedenstellenden Lösungen", sondern wir realisieren sichere und technisch perfekte Lösungen.

Kommentar:
"Technisch perfekte" Systeme hat die Bundesregierung ja schon bei der LKW-Maut und bei der Bundesanstalt für Arbeit realisiert.
"Technisch perfekt" bedeutet leider nicht zwingend "datenschutzfreundlich". Was bedeutet also 'technisch perfekt'? Welche Anforderungen werden seitens der Bundesregierung an die Technik gestellt?

Frage:
2. Welchen Ländern außerhalb Europa wird Deutschland die erweiterten biometrischen Daten anvertrauen und was genau sind die Kriterien für einen Lesezugriff auf die Rohdaten?

Antwort:
Die gespeicherten Daten zum Gesichtsbild können weltweit unter den in Antwort 1) genannten Voraussetzungen gelesen werden. Die Daten der Fingerabdrücke sind durch ein zusätzliches kryptographisches Protokoll geschützt. Welche Länder außerhalb der EU auf die Daten der Fingerabdrücke zugreifen, kann deshalb vom ausstellenden Staat geregelt werden.

Kommentar:
Genau diese Regelung, welche Länder außerhalb der EU Zugriff auf die Daten bekommen, war Gegenstand der Frage. Offensichtlich gibt es hier noch keine Antworten. Alptraum der Datenschützer dürfte ein Zugriff auf die Daten durch Länder wie z.B. die USA sein, wo die gesetzlichen Regelungen oder die übliche Praxis stark von den EU-Standards abweichen.

Frage:
3. Warum sollte der "ePass" in Deutschland die Hälfte bzw. ein Drittel von dem kosten, was vergleichbare Pässe im Ausland kosten (Deutschland: 59 Euro, Schweiz: 250 SFr)? Wo kann ich nachlesen, wie hoch die jeweiligen Kosten für das Enrollment, den Pass selbst,die Geräte an den Grenzen und für den Betrieb der Infrastruktur (CA etc.) sind? Wie aufwändig ist die Schulung des Personals in den Meldestellen?

Antwort:
Um Ihre Annahmen richtig zu stellen, weise ich auf folgendes hin: Bei der Gebührenbemessung wurde darauf geachtet, dass sich Deutschland auch künftig im unteren Bereich vergleichbarer europäischer sowie internationaler Länder befindet. Sämtliche technische Anforderungen auf europäischer und internationaler Ebene, Datenschutz und -sicherheit, wurden und werden selbstverständlich berücksichtigt.

Die Gebühren setzen sich zusammen aus den Produktionskosten des Passes (Passbuch, die Herstellung und Integration der Chips sowie das Speichern der biometrischen Merkmale auf dem Chip), den Kosten der zur Erfassung und Qualitätssicherung der biometrischen Merkmale notwendigen Ausstattung in den Passbehörden (QS-Sicherung der Lichtbilder, Hard- und Software zur Erfassung und QS der Fingerabdruckdaten, ePass-Lesegeräte), den Schulungskosten für die Mitarbeiter in den Passbehörden sowie der Verwaltungsgebühr.

Die Lesegeräte an den 419 Grenzübergangsstellen werden im Rahmen von Ersatzbeschaffungen erneuert, die unabhängig von der Einführung des ePass sind. Diese Geräte verfügen auch über eine Funktion zum Auslesen von digital gespeicherten Fotografien auf RF-Chips. Bei der Ausstattung mit Lesegeräten entstehen keine zusätzliche Kosten.

Die Änderungen, die sich für die Passbehörden zum 1. November 2005 ergeben, sind gegenüber dem derzeitigen Verfahren minimal. Daher ist nur ein geringer Schulungsaufwand notwendig. Für die Einführung der 2. Stufe (Integration der Fingerabdrücke in den Chip) zum 1. März 2007 werden die Mitarbeiter in den Passbehörden im Zuge des Rollouts der Hard- und Software zur Erfassung und Qualitätsprüfung der Fingerabdruckdaten geschult werden.

Kommentar:
Das würde bedeuten, dass entweder die Technologie in Deutschland um ein Vielfaches preiswerter ist als in anderen Staaten oder dass die anderen Staaten ihre Bürger 'abzocken'.

Dass die Lesegeräte an den Grenzen im Rahmen von "Ersatzbeschaffungen" erneuert werden, würde entweder bedeuten, dass auf eine automatisierte Gesichtsbild- und Fingerabdruckverifikation verzichtet wird(!) oder hier absichtlich zu den wirklichen Kosten geschwiegen wird.
Ein bisherigen Lesegeräte für die MRZ in Reisedokumenten kostet je ca. 1500 Euro. Ein automatisches Gesichtsbild- und Fingerabdrucksystem dürfte pro Gerät ein Vielfaches kosten. Der TAB-Bericht spricht übrigens von Gesamtkosten in Höhe von einmalig 670 Millionen Euro und jährlich etwa 610 Millionen Euro an laufenden Kosten.

Frage:
4. Auf Ihrer Internetseite steht: "Für Fingerabdrücke als zweites Merkmal sprach die hohe Praxistauglichkeit der hierzu entwickelten Abnahme- und Erkennungssysteme." Welche Tests im realen Betrieb gibt es dazu und wo kann man diese Ergebnisse nachlesen? Wie wird der einfachen Fälschbarkeit von Fingerabdrücken sowohl beim Enrollment als auch bei der Kontrolle begegnet? Mit welchen Maßnahmen müssen Personen rechnen, deren Fingerabdruck nicht als der gespeicherte erkannt wird?

Antwort:
a) Die Ergebnisse der Labor- und Feldtests der Studie BioP II werden vom BSI veröffentlicht (www.bsi.bund.de).
b) und c) Die Aufnahme biometrischer Merkmale in Reisepässen dient dazu, die sichere Identififizierung von Personen durch das Grenzkontrollpersonal zu "unterstützen". Davon unabhängig kontrolliert die Bundespolizei stets nach Schengenstandard.

Kommentar:
Die BioP II Studie wurde zwischenzeitlich tatsächlich veröffentlicht - und nach kürzester Zeit wieder von der BSI-Webseite entfernt. Einige Tage später wurde veränderte Version veröffentlicht, die teilweise erhebliche Veränderungen aufweist. Weiterhin geheim gehalten wird allerdings die Studie zur Überwindungssicherheit der biometrischen Systeme. Damit ist eine öffentliche Diskussion über den Sicherheitsgewinn unmöglich.

Frage:
5. Worauf beruht die Annahme, dass Systeme zur Gesichtsbild-Verifikation ausgereift und vor allem praxistauglich sind? Die BioFace-Studie des BSI kommt dabei ausdrücklich nicht zu dem Ergebnis, dass die getesten Verfahren praxistauglich sind (vgl. http://www.heise.de/newsticker/meldung/41289 )

Antwort:
Die Studie BioP II weist für den Bereich der Gesichtserkennung erheblich bessere Erkennungswerte auf. Diese Ergebnisse konnten mittlerweite durch neue Algorithmen nochmals verbessert werden. Die Nutzungsqualität des Gesamtsystems wurde damit deutlich erhöht.

Kommentar:
Tatsächlich hat sich die Erkennungsleistung im Laufe der Zeit verbessert. Von einem "technisch perfekten System" sind aber alle Systeme meilenweit entfernt. Eine der Hauptforderungen der BioP II Studie ist, dass die Benutzbarkeit der System deutlich verbessert werden muss.

Frage:
6. Wird der Pass kostenlos umgetauscht bzw. ersetzt, wenn der RFID-Chip zum Beispiel durch mechanische Belastung unbrauchbar geworden ist?

Ein Pass mit unbrauchbarem/defektem RF-Chip ist weiter ein gültiges Reisedokument.

Frage:
7. Welchen Nutzen hat der elektronische Pass, wenn jeder potentielle Terrorist seinen Chip im Pass unbrauchbar macht?

Antwort:
Die Aufnahme biometrischer Merkmale in Reisepässen dient dazu, die sichere Identififizierung von Personen durch das Grenzkontrollpersonal zu "unterstützen". Davon unabhängig kontrolliert die Bundespolizei stets nach Schengenstandard. Wenn der Chip "unbrauchbar ist, wird mit den klassischen Verfahren die Identität geprüft, wobei dies sicher Anlass zu besonders internsiver Prüfung wäre.

Kommentar:
Eben darum sollte es die Möglichkeit geben, defekte Pässe umtauschen zu können. Wer möchte schon ständig einer "besonders intensiver Prüfung" bei der Grenzkontrolle ausgesetzt sein, nur weil der Chip versagt? Wie könnte eine 'besonders intensive Prüfung' aussehen, die über den Vergleich von Foto, Augenfarbe und Größe hinausgeht?

Frage:
8. Können Sie eine gesundheitliche Gefährdung von Grenzbeamten vollständig ausschließen, wenn diese tagtäglich der Funkstrahlung, die ja auch gepulst moduliert ist, ausgesetzt sind? Durch welche Studie wird das belegt, welche Geräte sind auf ihre Abstrahlung hin getestet worden?

Antwort:
Die gesetzlich vorgegebenen Richtwerte für den Strahlenschutz werden von allen im Einsatz befindlichen RFID-Systemen eingehalten.

Kommentar:
Eine konkrete Studie oder Messwerte gibt es also nicht. Davon abgesehen sind noch keinerlei RFID-System 'im Einsatz befindlich'. Höchstens im Labor- oder Testbetrieb. Die Beschaffung der Geräte dürfte noch nicht abgeschlossen sein.

Frage:
9. Außer Herrn Schily ist eigentlich allen Behörden die Tatsache bekannt, dass wirkliche Passfälschungen nicht praxisrelevant sind - vielmehr sind Schwachstellen beim Personal in den Meldestellen das Problem. Warum hat Deutschland auf EU-Ebene die elektronischen Pässe durchgepeitscht, obwohl die Technik alles andere als ausgereift ist, die Kosten unklar sind und zum derzeitigen Stand kein Sicherheitsgewinn bringen?

Antwort:
Passfälschungen sind entgegen Ihrer Annahme durchaus praxisrelevant. Zwar verfügt Deutschland schon heute über einen der fälschungssichersten Dokumententypen der Welt, doch bereits innerhalb der Europäischen Union existiert ein starkes Gefälle der Sicherheitsstandards. Mit der Einführung biometriegestützter Pässe wird eine hohe Fälschungssicherheit in allen EU-Staaten erzielt.

Die technische Lösung ist ausreichend getestet. Die Kosten sind bekannt. Der Sicherheitsgewinn besteht neben der erhöhten Fälschungssicherheit der Reisedokumente in einer erhöhten Sicherheit vor dem Missbrauch der neuen Pässe durch andere Personen als den eigentlichen Passinhaber: Der Chip erlaubt eine elektronische Überprüfung, ob der Nutzer des Dokuments tatsächlich der Passinhaber ist.

Kommentar:
Die EU-Verordnung für die neuen Pässe beschreibt vor allem herstellungstechnische Sicherheitsmerkmale. Offensichtlich auch aus wirtschaftlichen Interessen wurde die Entwicklung elektronischer Dokumente vorangetrieben (Empfehlung der European Commission, "Biometrics at the Frontiers: Assessing the Impact on Society" ftp://ftp.jrc.es/pub/EURdoc/eur21585en.pdf), in Deutschland profitiert die authentos Gruppe und ihre Tochter, die Bundesdruckerei GmbH von den biometrischen Pässen, da keine neuerliche Ausschreibung für die Herstellung gemacht wurde.

Dass die Kosten nicht "bekannt" sind, lässt sich erkennen aus der Entschließung des Bundesrates, sich von der Bundesregierung eine detaillierte Kalkulation der Kosten der "Zweiten Verordnung zur Änderung passrechtlicher Vorschriften" vorlegen zu lassen. (Bundesrat Drucksache 510/1/05, beschlossen in der 813. Plenarsitzung)

Der Chip selbst erlaubt übrigens keine elektronische Überprüfung, ob der Nutzer des Dokuments tatsächlich der Passinhaber ist. Dies kann einzig allein nur der Grenzbeamte machen (wie ja mehrfach hier erwähnt).

Frage:
10. Könnte es sein, dass durch die vermeintlich "100% sicheren Pässe" die Grenzbeamte ihr persönliches Gespür zurückfahren und nur noch der Technik vertrauen? Wird dadurch die Gefahr nicht viel größer? Die Argumentation, dass die Technik 'nur unterstützend' sein soll, ist dabei nicht hilfreich, da der Gewöhnungseffekt ja trotzdem eintritt.

Antwort:
Die Aufnahme biometrischer Merkmale in Reisepässen dient dazu, die sichere Identififizierung von Personen durch das Grenzkontrollpersonal zu "unterstützen". Davon unabhängig kontrolliert die Bundespolizei stets nach Schengenstandard.

Frage:
11. Funktioniert das Auslesen per Funk auch noch zuverlässig, wenn ich - wie zukünftig geplant - RFID-gestützte Sichtvermerke (Visa) in meinem Reisepass habe?

Antwort:
Über die Einführung biometriegestützter Visa ist auf europäischer Ebene noch keine Entscheidung getroffen worden. Die EU wird ein zentrales Visum-Informationssystem einrichten, in dem die Lichtbilder und Fingerabdrücke aller Visa-Antragsteller gespeichert werden.

Kommentar:
Dass ich als deutscher Bürger ein EU-Visum in meinem Reisepass habe, ist eher unwahrscheinlich. Völlig unklar ist, ob der RF-Chip im Pass mit RF-Visa außereuropäischer Länder harmoniert.


"Sie [man spricht zu "Hackern"] kommen doch alle an die ["verbotenen"] Seiten ran, das ist mir doch klar. Also wieso regen sie sich denn auf?" Regierungspräsident (Düsseldorf) Jürgen Büssow am 06.04.02 auf einer Demonstration des CCC