conIT Gesellschaft für Consulting, Software-Entwicklung und IT-Dienstleistungen mbH

Dieser Artikel darf unter Nennung von Verfasser und Quelle zitiert oder ganz oder in Auszügen weiter verbreitet werden.

Verfasser: Birger Holtermann

© 2006 by conIT GmbH, Offenbach am Main

Hinweis

Die Zitate stammen aus dem Artikel auf der Webseite des BMI, dessen Link im Einleitungsabsatz angegeben ist. Da es sich um eine direkte Verlinkung auf den Artikeltext handelt, kann dieser bei Verschieben, Archivieren oder Löschen des originalen Artikels ungültig werden. In diesem Fall bemühen Sie bitte die Suchfunktion auf der Startseite des BMI oder eine Suchmaschine Ihres Vertrauens.

Die Auslassungen beziehen sich auf Darstellungen von Fakten, die unstrittigerweise nachvollziehbar dargestellt sind und keines weiteren Kommentars bedürfen.

Aktualisierung 12.04.2007

Der Link auf die zitierte Seite wurde am 12.04.2007 angepaßt, da die Seite auf dem Server des BMI verlagert wurde. Auch optisch machte dieser Artikel einen anderen Eindruck als bei der ursprünglichen Begutachtung, was auf eine inhaltliche Überarbeitung schließen läßt. Die Zitate und Anmerkungen beziehen sich zur Zeit noch auf die ursprüngliche Version. Wir werden in Kürze eine neue, inhaltliche Prüfung auf Übereinstimmung vornehmen.

ePass mit RFID - wozu?

Unter http://www.bmi.bund.de/[...]/Biometrie__FAQ.html veröffentlicht das BMI (Bundesministerium des Inneren) eine Seite mit Fragen und Antworten zum ePass. Die werbemäßige Wiederholung von immer den gleichen Schlagworten ohne substantielle Begründung sowie die überhastete Einführung unter Verwendung von unausgereiften Technologien legen die Annahme nahe, daß den Betroffenen - uns Bürgern - nicht die kompletten Wahrheiten erzählt werden. Da das Thema RFID (Funkchips mit identifizierenden Merkmalen, die drahtlos und vom Träger unbemerkt ausgelesen werden können) in der breiten Öffentlichkeit noch nicht als so dringend erachtet wird, möchten wir hier einen Beitrag zur Klärung und zur Erhöhung des Datenschutzbewußtseins leisten. Wir zitieren diese Seite hier auszugsweise und kommentieren ausgewählte Punkte aus IT-fachlicher Sicht.

Die Texte in den unterlegten Kästen auf dieser Seite sind Zitate von dieser Quelle, ebenso wie die Abschnittsüberschriften. Die Erläuterungen von Abkürzungen und Acronymen in den Zitaten sind von uns zur Verdeutlichung und Verbesserung der barrierefreien Wahrnehmung hinzugefügt. Auslassungen sind durch [...] gekennzeichnet.

Eilige Naturen lesen zuerst das Fazit am Ende des Artikels.

zum Seitenanfang Hilfe

Was ist Biometrie?

[...] Ziel einer biometrischen Erkennung ist es, die Identität einer Person zu ermitteln bzw. die behauptete Identität zu bestätigen oder zu widerlegen. Biometrische Erkennung bietet sich in Ergänzung oder als Ersatz herkömmlicher Methoden wie PIN/Passwort und Karte deshalb an, weil die körperlichen Eigenschaften im Gegensatz zu Wissens- und Besitzelementen unmittelbar personengebunden sind. Erkannt wird der Nutzer hier anhand seiner Individualität. An ein körperliches Merkmal muss sich der Merkmalsträger nicht erinnern, er trägt es untrennbar stets bei sich. Es kann im Allgemeinen auch nicht geheim gehalten werden. Im Gegenteil liegen viele der für eine biometrische Erkennung verwendeten körperlichen Merkmale wie Gesicht und Finger offen. Biometrische Merkmale können nicht übertragen oder weitergegeben werden. Es kann mit Verwendung dieser Merkmale somit sichergestellt werden, dass es sich bei der vorhandenen Person tatsächlich um die angenommene bzw. behauptete Identität handelt. Bei der Verwendung biometrischer Merkmale in Dokumenten wird also die eindeutige Zuordnung von Dokument und Dokumentinhaber ermöglicht.

Kommentar

Ein "körperliches Merkmal" trägt der Merkmalsträger tatsächlich bei sich, mehr oder minder offen. "Untrennbar" ist allerdings eine gewagte Behauptung. In dem Hollywood-Film "Demolition Man" wurde bereits im Jahre 1993 das Szenario dargestellt, wie eines dieser "untrennbaren biometrischen Merkmale" (im gezeigten Fall der Augapfel des Gefängniswärters) zur Überlistung der Iriskontrolle gewaltsam dem Merkmalsträger entrissen wurde. Es ist nicht auszuschließen, daß solche zugegebenermaßen extremen Methoden bei einem flächendeckenden Einsatz von Biometrie als Zugangskontrolle oder zur Authentisierung tatsächlich realisiert werden – bei entsprechend krimineller Energie ist heutzutage nichts mehr undenkbar. "Kampf gegen den Terrorismus" ist immerhin der Deckmantel, unter dem Pässe mit biometrischen Merkmalen eingeführt wurden. Bei diesem Personenkreis darf man eine entsprechende Skrupellosigkeit unterstellen.

Zwar verfügen moderne Erkennungsgeräte für biometrische Merkmale über Algorithmen zur sog. "Lebenderkennung", die genau ein solches Verwenden von einzelnen, dem originalen Träger entfernten Merkmalen verhindern sollen, aber diese lassen sich nach heutigem Stand der Technik in vielen Fällen auf die eine oder andere Art überlisten.

Die relative schwierige Trennmöglichkeit von biometrischen Merkmalen vom berechtigten Merkmalsträger, die in der Regel mindestens eine Verstümmelung, in extremeren Fällen aber auch das Ableben des Inhabers zur Folge haben kann, ist gleichzeitig auch einer der größten Nachteile und Schwachpunkte. Ist ein mentales Identifizierungsmerkmal, wie Paßwort oder PIN, kompromittiert, so wählt man eine neue Kennung, und die bisherige verliert damit ihre Gültigkeit. Wie verändert man aber Fingerabdruck, Gesichtsform, Irismuster oder -farbe, falls deren Daten in falsche Hände gelangt sind oder absichtlich als irreführende Spur am Ort eines Verbrechens hinterlegt wurden? Wie weist man nach, daß eben keine berechtigte Verwendung der eigenen, entwendeten biometrischen Merkmale vorlag? Wie gelangt man wieder an eine "saubere" Identität?

"Ergänzung oder Ersatz herkömmlicher Methoden" erscheint nach den vorstehenden Ausführungen sehr fraglich. Diese Aussage nimmt eine Schlußfolgerung vorweg, die durch Fakten nicht gedeckt ist.

So ist es schlichtweg eine Falschaussage und zeugt von einer gewissen Naivität oder Unwissenheit, daß biometrische Merkmale nicht übertragen oder weitergegeben werden können. Fingerabdrücke lassen sich mit einfachsten Methoden fälschen (siehe Link zum Chaos Computer Club am Ende dieser Seite), Eine Weitergabe oder Entwendung der eigenen biometrischen Merkmale kann man in den wenigsten Fällen verhindern; man müßte sich sonst stets mit Handschuhen und Gesichtsmaske in der Öffentlichkeit bewegen. Schon ein Fingerabdruck, wie er an einem Glas oder Geschirrteil in einem öffentlichen Restaurant zurückbleibt, kann als Vorlage zur Täuschung von Identifizierungsanlagen dienen.

Alles in allem ist es unter diesen Umständen eine irreführende Schlußfolgerung, daß allein durch Verwendung von biometrischen Merkmalen eine angebliche oder behauptete Identität "sichergestellt werden" kann. Wie praktische Versuche selbst mit kleinen Nutzerkreisen gezeigt haben, lassen sich Gesichtserkenner bereits durch Fotografien täuschen; die sog. Lebenderkennung war in den gezeigten Fällen leicht zu überwinden. Noch unwahrscheinlicher ist eine hohe Erkennungsrate im Fall offener (d.h. unbeschränkter) Benutzergruppen, wenn kein gezieltes Erkennungstraining möglich ist.

zum Seitenanfang Hilfe

Welche Vorteile bringt der ePass?

Mit der neuen Generation europäischer Pässe wird die Sicherheit der Dokumente auf ein völlig neues Niveau gehoben. Deutschland wird auch weiterhin modernste und sicherste Pässe ausgeben, die alle internationalen Sicherheitsstandards erfüllen und für weltweite Reisen benutzt werden können.

Kommentar

Welche Fakten oder nachvollziehbaren Begründungen außer der gebetsmühlenhaften Wiederholung des Spruchs "Die ePässe sind sicher" sind in dieser Aussage enthalten?

Substanzlose Aussagen werden auch durch ständige Wiederholung nicht richtiger. Welche Maßnahmen führen zu der Erhöhung der Sicherheit, welche Algorithmen (Rechen- und Verarbeitungsverfahren) kommen zum Einsatz, welche Schlüssellängen – mit solchen Fakten könnten sich sachverständige, mündige Bürger ein fundiertes Urteil bilden.

Ansonsten blüht dieser plakativen Formel dasselbe Schicksal wie dem Blüm'schen Wort von "die Renten sind sicher."

zum Seitenanfang Hilfe

Warum wurden Gesicht und Finger zur Erhebung der biometrischen Merkmale ausgewählt?

Die Entscheidung auf europäischer Ebene für das Gesichtsbild beruhte auf der Empfehlung der UN-Zivilluftfahrt-Organisation (International Civil Aviation Organization, ICAO). Für Fingerabdrücke als zweites Merkmal sprach die hohe Praxistauglichkeit der hierzu entwickelten Abnahme- und Erkennungssysteme. Die Festlegung der EU auf zwei biometrische Merkmale war erforderlich, um Flexibilität bei der Kontrolle zu ermöglichen. An Stellen, an denen die Gesichtserkennung nicht praktikabel ist (z.B. bei schlechten Beleuchtungsverhältnissen oder bei Massenandrang), soll eine Verifikation durch Fingerabdrücke möglich sein.

Kommentar

Weder Gesichtserkennungssysteme noch Fingerabdruckscanner besitzen heutzutage praxistaugliche Erkennungsraten im Umgebungen mit Massenandrang. Selbst als normales Zutritts-Kontrollsystem für einen zoologischen Garten mußte ein System wieder abgeschaltet werden, weil die Fingerabdruckscanner zu viele berechtigte Besucher fälschlicherweise ablehnten.

Prinzipbedingt muß auch bezweifelt werden, ob sich hieran in absehbarer Zeit etwas ändern kann. Von daher ist mittelfristig nicht damit zu rechnen, daß ein sicherheitstechnisch kritischer Vorgang wie eine Paßkontrolle automatisiert werden kann, weder vollständig noch unterstützend.

Die Frage ist daher nur, auf welche Art und Weise und mit welchen technischen Hilfsmitteln das Kontrollpersonal den Vergleich der biometrischen Daten per Augenschein vornehmen kann.

Zum Vergleich des Gesichtsbildes muß der Kontrollbeamte das Paßbild, die elektronisch gespeicherte Version und das originale Erscheinungsbild des vor ihm stehenden Paßhalters vergleichen. Offenbar besteht hier der beschworene Sicherheitsgewinn darin, daß neben dem eingedruckten Paßbild noch die elektronische Variante angezeigt wird. Für eine Paßfälschung müßten dann Bild und Chipinhalt gleichzeitig geändert werden. Der Wert der elektronischen Bildkopie und der angestrebte Sicherheitsgewinn erscheinen aber zweifelhaft, weil der Paß ja auch bei defektem Chip weiterhin gültig sein wird. Wozu dann dieser Aufwand?

Fingerabdrücke können die Identität des Paßinhabers nur unterstützend verifizieren, wenn diese vor Ort von dem Paßinhaber nochmals abgenommen und mit dem gespeicherten Muster verglichen werden. Der CCC (siehe Links) hat bereits nachgewiesen, daß sich mit einfachen Mitteln "Fingerabdruckprothesen" von fremden Personen herstellen lassen, die ohne weiteres auch aktuelle Scanner überlisten können.

zum Seitenanfang Hilfe

Was wird der ePass kosten?

Der technische Aufwand für Sicherheit und Datenschutz führt dazu, dass die bisherige Gebühr für die Ausstellung eines Passes angehoben werden muss. Im Einzelnen entstehen Kosten für das Passbuch, den Speicherchip, die Erfassung der biometrischen Daten und ihre Aufnahme in den Pass. [...]

Kommentar

Es ist nachvollziehbar, daß ein Paßdokument mit diesen technischen Eigenschaften teurer ist als die bisherige, rein aus Papier und Kunststoff gefertigte Variante. Nur soll die bewußt irreführende Formulierung "... für Sicherheit und Datenschutz..." suggerieren, daß dieser unnötige Mehraufwand positiven Zielen dient.

Wie sich einem Bürger mit technischem Sachverstand und aus diesen Erläuterungen erschließt, steigert der ePass keinesfalls automatisch die Sicherheit, und der in dem Zitat beschriebene "technische Aufwand für Sicherheit und Datenschutz" fällt in die Kategorie: "Wir lösen Probleme, die wir ohne diesen Ansatz gar nicht hätten."

Die in dieser Aussage des BMI genannten Kosten sind ja auch nur ein Teil des insgesamt notwendigen Aufwands. Hinzu kommen ja noch die erforderlichen Lesegeräte an den Grenzstationen, in den Paßämtern, sowie entsprechende Vernetzung und Schulung des Bedienpersonals. Diese Aufwände werden ohne konkreten Nutzen für die vorgeblichen Ziele, den so oft beschworenen Sicherheitsgewinn, betrieben.

Bleibt die Frage, wer die eigentlichen Nutznießer dieser Maßnahmen sind: etwa die Hersteller der RFID-Infrastruktur oder die privatisierte Bundesdruckerei, die ihr Monopol für die Herstellung von Paßdokumenten ausnutzt? Honi soit qui mal y pense...

zum Seitenanfang Hilfe

Behalten die alten Pässe ihre Gültigkeit?

Bereits ausgegebene Pässe behalten auch nach dem 1. November 2005 ihre bis zu 10-jährige Gültigkeit. Das gilt auch für die zwischen Ende 2005 und Anfang 2007 ausgestellten Pässe, die nur das Foto enthalten. In einer Übergangszeit wird es also alte und neue Pässe parallel geben.

Kommentar

Wozu dann der Aufwand? In 10 Jahren, bis nach diesem Verfahren theoretisch alle alten Pässe vom Markt verschwunden sein müßten, gibt es bereits wieder neue Sicherheitstechnologien, und die heutigen Standards inklusive der jetzt festgeschriebenen Schlüssellängen sind obsolet.

zum Seitenanfang Hilfe

Was hat sich sich für Bürgerinnen und Bürger seit dem 1. November 2005 geändert?

[...] Mit dem allmählichen Ansteigen dieser Zahl werden die Grenzkontrollpunkte sukzessive mit entsprechenden Lesegeräten ausgestattet. 2008 wird eine flächendeckende Ausstattung erreicht sein. [...]

Kommentar

Unterstellt man eine Gleichverteilung des "Paßbedarfes" in Deutschland, besitzen 2008 rein rechnerisch erst zwischen 20 und 30% der Personen einen ePass. Dann soll bereits "flächendeckende Ausstattung" mit der notwendigen Infrastruktur erreicht sein?

zum Seitenanfang Hilfe

Werden die Kontrollbeamten an den Grenzen langfristig durch Pass-Automaten ersetzt?

Nein. Biometrische Abgleichmethoden sind ein Hilfsmittel für die herkömmliche Grenzkontrolle und werden diese nur ergänzen, nicht ersetzen. Der Zugewinn an Sicherheit ergibt sich auch aus der Kombinationsmöglichkeit bewährter herkömmlicher Verfahren mit den technischen Möglichkeiten der Biometrie.

Kommentar

Wozu dann der ePass? Warum RFID-Technologie?

Die herkömmlichen Kontrollverfahren werden also nur "ergänzt", nicht "ersetzt". Der Ablauf bei der Grenzkontrolle ist also genau so aufwendig wie bisher: der Paßinhaber muß das Paßdokument zur Kontrolle dem Kontrollbeamten aushändigen. Dieser führt das Dokument in ein optisches Lesegerät ein. Dort werden dann Paßnummer und Schlüsselcode für den Zugriff auf den Funkchip per OCR eingelesen. Erst anschließend können die biometrischen Daten drahtlos per RFID ausgelesen werden.

Wozu ist in diesem Szenario die Drahtlos-Technik RFID notwendig? Diese Antwort bleiben die Initiatoren dieser Regelung bislang leider schuldig. Dies würde (rein theoretisch) nur dann Sinn machen, wenn am Flughafen beispielsweise ein Großraumflugzeug mit 400 Passagieren landet und die Paßkontrolle "im Vorübergehen" durch das berührungslose Auslesen erfolgen könnte. Wobei dieses automatisierte Verfahren natürlich eine Reihe von Nachteilen mit sich ziehen würde, was den Datenschutz und Erkennungssicherheit beträfe. Zum einen kann ein Auslesen der Paßdaten vom Inhaber unbemerkt jederzeit und an jedem Ort stattfinden, was per se das Verfahren schon disqualifizieren würde, zum anderen wird bei diesem Verfahren nur der Paß selbst kontrolliert, aber nicht, ob dieser auch zu diesem Zeitpunkt von der dargestellten Person mitgeführt wird. Hierzu müßte entweder ein automatischer Abgleich mit Gesichtserkennungssystem oder Fingerabdruckscannern durchgeführt werden, wobei alle diese Verfahren für absehbare Zeit noch keine ausreichenden Erkennungsraten besitzen.

Also kann der ePass nicht der Beschleunigung der Abfertigung dienen. Wie in einer der folgenden Fragen erklärt, findet angeblich keine zentrale Speicherung der auf dem Chip enthaltenen Daten statt. Wozu dienen diese dann?

Da ohne zentrale Speicherung kein automatischer Abgleich mit einem hinterlegten Referenzmuster und eine Überprüfung der Konsistenz der Paßdaten möglich ist, bleibt nur die Erklärung übrig, daß die Grenzbeamten zusätzlich zu dem eingearbeiteten Paßfoto die digital abgespeicherte Version des Bildes angezeigt bekommen und diese nach Augenschein mit dem Foto im Paß und der vor ihnen stehenden Person vergleichen müssen.

Jetzt besitzen nach allen öffentlich verfügbaren Informationen die bisher verwendeten Paßdokumente bereits aufgrund der mechanischen Gestaltung schon eine hohe Fälschungssicherheit. Allen anderslautenden Behauptungen zum Trotz: in der jüngeren Vergangenheit haben sich die Fälschungsmöglichkeiten von elektronisch gespeicherten Daten immer als einfacher erwiesen als die von auf Papier oder anderen mechanischen Trägermaterialien aufgebrachten Informationen. Es ist also davon auszugehen, daß jemand, der das Paßdokument mechanisch fälschen kann, auch die elektronisch gespeicherten, biometrischen Daten anpassen kann - im einfachsten Fall wird der elektronische Speicherchip einfach zerstört. Das Paßdokument behält dadurch ja seine Gültigkeit. Damit bietet der ePass aber keinerlei zusätzliche "Sicherheit" mehr gegenüber dem bisher benutzten Modell.

Die Frage bleibt: weshalb ist RFID-Technologie in diesem Szenario notwendig? Würde man die biometrischen Daten mit optischen Verfahren auf dem Paßdokument hinterlegen (2D-Barcode-Matrix o.ä.), würde sich an der praktischen Handhabung nichts ändern - im Gegenteil: die biometrischen Daten lägen sogar schneller, nämlich direkt nach dem optischen Scannen vor und nicht erst nach dem zusätzlichen Verarbeitungsschritt mit Abfrage des Funkchips. Niemand müßte sich Sorgen machen, ob die gespeicherten Daten zu irgendeinem Zeitpunkt ohne Zustimmung (sprich: Aushändigen des Passes) durch den Inhaber ausgelesen werden könnten.

Aber das wäre wohl zu einfach gewesen. Weshalb also RFID?

zum Seitenanfang Hilfe

Wie können Bürgerinnen und Bürger überprüfen, welche Daten auf ihrem Pass gespeichert sind?

Die Passbehörden werden mit ePass-Lesern ausgestattet, an denen Bürgerinnen und Bürger ihre auf dem Chip gespeicherten persönlichen Daten einsehen können.

Kommentar

Wer oder was garantiert die Korrektheit und Unversehrtheit dieses Lesegerätes? Wer oder was garantiert, daß wirklich die enthaltenen Daten zur Anzeige kommen und nicht irgendwelche Zufallsdaten, die im Gerät selbst erzeugt werden? Wer oder was garantiert, daß wirklich alle enthaltenen Daten angezeigt werden, nichts weggelassen, ergänzt, verändert oder verfälscht wird?

Bei schriftlichen Informationen in einem gedruckten Werk kann man sich durch Augenschein von allen diesen Aspekten überzeugen, sofern man der verwendeten Schrift und Sprache mächtig ist. Wie bei allen elektronischen Darstellungsformen ist man bei den Daten auf dem Chip aber auf wiederum elektronische Umwandlungsgeräte angewiesen, welche die internen Codierungen in menschenlesbare Darstellung umwandeln. Sind wir schon so weit, daß wir elektronischen Geräten ohne kritisches Hinterfragen uneingeschränkt vertrauen? Die einzige Information, die diese Geräte relativ zuverlässig bestätigen können, ist, daß die Informationen auf dem Chip nicht mehr auslesbar sind.

Hier bleibt also letztendlich für den mißtrauischen Bürger wieder nur das blanke Vertrauen in die Korrektheit, Vollständigkeit und Ehrlichkeit der Realisierung der eingesetzten Verfahren.

Aber genau darum geht es doch: "Vertrauen ist gut - Kontrolle ist besser!"

zum Seitenanfang Hilfe

Können die Daten im Chip verändert werden?

Nein. Die auf dem Chip gespeicherten Daten werden durch die ausstellende Behörde elektronisch unterschrieben und der Chip wird nach der Herstellung gegen Löschen oder Ändern der Daten versiegelt.

Kommentar

Doch, die Daten können verändert werden.

Da das Paßdokument seine Gültigkeit behält, auch wenn dieser Chip defekt oder zerstört ist (Zerstörung ist die radikalste Art der Datenveränderung!), sind die Daten darin nicht sicher gespeichert.

Wieso sollte sich ein Paßfälscher also die Mühe machen, die ganzen "Sicherheitsmechanismen" zu umgehen oder zu knacken? Personen mit üblen Absichten haben die Tendenz, immer den Weg des geringsten Widerstandes zu gehen. Weshalb muß man wirkungsvolle Verschlüsselungssysteme knacken, wenn man durch das inzwischen verbreitete Phishing einfach und schnell an die benutzten Schlüssel gelangen kann?

Ein Paßfälscher wählt sicher den einfachen, herkömmlichen Weg: mechanisches Fälschen des Dokumentes, Zerstören des Chips. Fertig.

Wo bleibt der versprochene Sicherheitsgewinn?

zum Seitenanfang Hilfe

Können die Daten unberechtigt ausgelesen werden?

Nein. Ein unbemerktes Auslesen der biometrischen Daten wird durch einen effektiven Zugriffschutz ausgeschlossen. In der ersten Phase, also bei Integration des digitalen Gesichtsbilds in den ePass, wird der Zugang zu den Bild-Daten im Chip wird nur über das vorherige optische Auslesen der maschinenlesbaren Zone möglich sein. Für die zweite Phase, d.h. nach Integration der Fingerabdrücke, wird ein zusätzliches kryptographisches Protokoll für den Zugriff auf diese Daten verwendet. Der Zugriff kann dann nur von explizit von Deutschland dazu autorisierten Lesesystemen erfolgen. Das unberechtigte Abhören der Biometriedaten während der Kommunikation zwischen Chip und Lesesystem wird durch Verschlüsselung verhindert. Dazu wird im Rahmen des Verbindungsaufbaus zwischen Lesesystem und Chip ein sicherer Kanal aufgebaut.

Kommentar

Der "effektive Zugriffsschutz" bezieht sich auf das Auslesen der Dateninhalte. Der Chip selbst kann nicht unterscheiden, ob ein eintreffender Leseauftrag über die Funkschnittstelle autorisiert ist oder nicht - er liefert drahtlos die Rohdaten. Ohne Kenntnis des Schlüssels erhält der Empfänger natürlich erst einmal einen wirren Zahlensalat. Aber hat ein unberechtigter Angreifer die Daten erst einmal in seinem Zugriffsbereich abgespeichert, kann er sich später in Ruhe und mit beliebig hohem Aufwand der Entschlüsselung widmen. Dazu ist kein Zugriff mehr auf den Chip notwendig.

Wie das "kryptographische Protokoll" der zweiten Phase aussehen soll, dazu schweigen die offiziellen Stellen noch. Ob dies das Auslesen des Chips ohne Zustimmung des Paßinhabers wirkungsvoll verhindert, darf in jedem Fall bezweifelt werden - solange keine manuelle Interaktion des Paßhalters erforderlich ist, kann man davon ausgehen, daß zumindest die Rohdaten auslesbar sind. Ob diese erfolgreich entschlüsselt werden können, ist eine andere Frage.

In Holland ist das Zugriffsverfahren übrigens bereits "geknackt" worden – durchgeführte Auslesevorgänge konnten belauscht werden. Fachleute sagen auch voraus, daß dies in Deutschland genau so einfach möglich sei, da das eingesetzte Zugriffsverfahren vergleichbar ist.

Der Grund liegt darin, daß die Paßnummer mit in die Berechnung des Zugriffsschlüssels eingeht. Da in Holland die Paßnummern strikt nach Reihenfolge ausgegeben werden und auch in Deutschland weite Teile der Paßnummer nach vorhersehbaren Schemata erzeugt werden, kann diese Schwachstelle für Angriffe ausgenutzt werden. Dadurch sinkt die nach heutigen Verhältnissen ohnehin schon lächerlich geringe effektive Schlüssellänge von 56Bit auf etwa 30Bit ab - und damit gelangt man in den Bereich, daß die ausgelesenen Daten mittels simplem Ausprobieren ("brute force") aller verbliebenen Schlüsselmöglichkeiten in der Praxis ermittelt werden können.

Ein zuverlässiger Schutz gegen unberechtigtes Auslesen ist nur dadurch gegeben, daß der Zugriff auf die Funkschnittstelle des integrierten Chips unterbunden wird, solange keine berechtigten Zugriffe stattfinden sollen. Hierzu ist der Chip in einem Faraday'schen Käfig aufzubewahren, also irgendeiner metallischen Umhüllung. Metallfolie oder metallisierte Kunststoffolien erfüllen diesen Zweck in hervorragender Weise. Auf der ganz sicheren Seite ist man natürlich nur bei defektem oder zerstörtem Chip, aber dies verhindert auch die bestimmungsgemäße Nutzung.

zum Seitenanfang Hilfe

Werden die Daten der neuen Reisepässe zentral gespeichert?

Nein. Die biometrischen Merkmale werden nur im Chip des Dokuments gespeichert, das der Bürger bei sich trägt. Eine zentrale Speicherung der Passdaten ist nicht geplant. Eine solche Speicherung ist in der EU-Verordnung nicht vorgesehen. Das nationale Passgesetz sieht darüber hinaus ein klares Verbot einer zentralen Passdatei vor.

Kommentar

Es ist wie mit dem offiziell zur Verfügung gestellten, offiziellen Lesegerät: zunächst einmal hat man seine Daten aus der Hand gegeben, der Rest ist blankes Vertrauen in die korrekte und verantwortungsvolle Handhabung durch die beteiligten Stellen.

Beachten Sie auch die Formulierung "... ist nicht geplant." Pläne können sich schnell ändern... Und da die biometrischen Daten in vollelektronischer Form von der ausstellenden Behörde zum Hersteller (der Bundesdruckerei) gelangen müssen, sind sie während ihrer Lebensdauer an diverse Speicher- und Übertragungsmedien gebunden. Elektronisch vorliegende Daten sollen und müssen als Sicherung gegen Datenverlust durch technische Probleme regelmäßig gesichert und damit kopiert werden, um gegen Fehlfunktionen und Systemausfälle gewappnet zu sein. Wenn diese Daten auch zunächst nicht zentral abgelegt werden sollen, so liegen sie trotzdem an diversen Stellen (wenigstens zeitweise) gespeichert vor, so daß auch später noch eine Zusammenführung möglich ist.

zum Seitenanfang Hilfe

Fazit

Der ePass bietet in der Praxis keinen objektiv nachvollziehbaren Sicherheitsgewinn, beschleunigt weder die Grenzabfertigung noch erleichtert er das Kontrollverfahren für die durchführenden Beamten. Die offiziell genannten Ziele werden also grundlegend verfehlt. Statt dessen werden fragwürdige Technologien in einem zu frühen Stadium eingesetzt, in dem noch keine Erfahrungen für einen Massenbetrieb über die genannten, längeren Zeiträume bestehen. Das Gegenteil ist der Fall - es liegen sogar Untersuchungsergebnisse vor, die dieser Technologie die Untauglichkeit bescheinigen. Trotzdem werden mit der Einführung von biometrischen Daten in Pässen (und später auch Personalausweisen) im Kielwasser der "Terrorismusbekämpfung" unbescholtene Bürger bereits präventiv erkennungsdienstlich behandelt - ein Privileg, zu dem man bisher straffällig werden mußte.

Entgegen anderslautenden Behauptungen sollten die Bürger in diesem Zusammenhang nicht die parallel laufenden Diskussionen über Kameraüberwachung öffentlicher Plätze, der Erweiterung des Mautsystems zur Verkehrsüberwachung und die Telekommunikationsüberwachungsverordnung aus den Augen verlieren; alles Symptome einer grassierenden Datensammelwut der sog. "Träger öffentlicher Gewalt" in bislang ungekanntem Ausmaß.

Die Notwendigkeit, drahtlose RFID-Technik einzusetzen, ist aus technischer Sicht in diesem Szenario an keiner Stelle gegeben. Dies stärkt nicht das Vertrauen mündiger Bürger in die Verfahren, da mit diesem unnötigen Einsatz von RFID mehr Risiken als Nutzen verbunden sind. Optische Speicherverfahren wären ohne Komfort-, Funktionalitäts- und Geschwindigkeitsverlust in der Handhabung möglich gewesen und stärken den Eindruck, daß diese Technologie aufgrund von massivem Lobbydruck durchgeboxt worden ist, zumal die Einführung in Deutschland, wesentlich schneller als von der EU gefordert, überhastet durchgeführt wurde.

zum Seitenanfang Hilfe

Links

zum Seitenanfang Hilfe

[Startseite] - [Kontakt] - [Profil] - [Produkte] - [Artikel] - [Sonstiges]

Letzte Änderung: 16.04.2007