Biosig 2005: Ein Pass, der passt

Auf der gemeinsam vom CAST-Forum, der Biosig-Gruppe der GI und dem BSI veranstalten Biosig 2005 stand der von der Politik durchgedrückte Reisepass mit Funkchip und biometrischen Merkmalen im Mittelpunkt. Daneben wurden auf der Veranstaltung interessante Einblicke in die Zukunft der Biometrie geboten.

Der biometrische abgesicherte Reisepass, der ab dem 1. November 2005 in Deutschland ausgegeben wird, passt gut zur derzeitigen Politik. Die in ihm eingeführte Biometrie mit der digitalen Speicherung des Passbildes ist eher symbolischer Natur. Ernst wird es mit der Speicherung der Fingerabdrücke, die ab dem 1. März 2007 eingeführt wird und die mit der so genannten Extended Acess Control auf eine lückenlose Zertifikatskette zugreift, bei der die Grenzstelle die Echtheit eines Abdruckes wirklich überprüfen kann. Dies ist der Eindruck, den die Zuhörer der Biocast 2005 aus den Ausführungen der BSI-Vertreter gewinnen konnten. So lobte Gerhard Schabhüser vom BSI ausführlich den derzeitigen "analogen" Reisepass mit seinen 11 Sicherheitsmerkmalen, der ihn zu einem der "weltbesten Passpapiere" mache -- sodass sich die Zuhörer fragen durften, was der "sehr ehrgeizige Zeitrahmen" für den digitalen Pass anderes bezweckt, als Europa zu zeigen, dass Deutschland Passmarktführer ist. Schabhüser stellte denn auch klar: "Ich habe nicht gesagt, dass wir mit dem Pass Terroristen jagen können. Ich sage nur, dass der Pass im Zuge der Gesetze zur Terrorbekämpfung eingeführt wird."

Ab dem 1. November müssen die Bundesbürger ein Passbild abliefern, das frontal unter guten Lichtverhältnissen mit gutem Kontrast aufgenommen sein muss, damit biometrische Systeme eine Chance haben, eine Person mit ihrem Foto abzugleichen. Dieses Bild muss von umgeschulten Passfotografen (die aber nicht durch das BSI zertifiziert werden) mit hoher Auflösung geknippst und mit mindestens 600 dpi zur Vorlage bei den Meldebehörden ausgedruckt werden. Die Ablieferung von Bilddateien ist nicht gestattet, da diese womöglich manipuliert sein könnten. Eine Kontrolle des Bildes nach biometrischen Gesichtspunkten oder gar ein komplettes Enrolment findet nicht statt. Kommt der von der Bundesdruckerei gefertigte Pass zurück, können die Bürger über installierte "Visualisierungssysteme" in den Meldebehörden sehen, was auf dem RFID-Chip gespeichert ist. Dieser Vorgang erinnert an die öffentlichen Terminals in Apotheken, über die Bürger ihre Gesundheitsdaten einsehen können.

Mit dem Pass, der Chargennummer des RFID-Chips und der auf dem Chip gespeicherten digitalen Signatur kommen starke Elemente zum Einsatz, die den Pass an den Inhaber binden. Sie können nur dann via RF ausgelesen werden, wenn zuvor aus der Datengruppe 1 (DG 1) der maschinenlesbaren Daten (MRZ) der Zugangs-Schlüssel gebildet wird (siehe dazu: Risiko Reisepass? Schutz der biometrischen Daten im RF-Chip, c't 5/05, S. 84). Dann liegen die ca. 20 KByte großen Passbilder unverschlüsselt vor, ein Vorgang, der in der BSI-Demonstration rund sechs Sekunden benötigte. Für diese "Basic Access Control" wurden zur Demonstration die gleichen Lesegeräte von Thompson benutzt, die auch bei den amerikanischen Grenzbehörden im Einsatz sind. " Wir wollen den Amerikanern zeigen, dass unser Protokoll auch mit ihrem Equipment funktioniert", erklärte BSI-Mitarbeiter Markus Nuppeney in einem Vortrag zum Golden Reader Tool. Ob die Amerikaner die dann vorliegenden Bilder in ihren Homeland-Security-Datenbanken speichern dürfen, muss noch mit der EU verhandelt werden. In Europa bleiben die Daten vorerst nur auf dem Chip und sind in keiner zentralen Datenbank gespeichert.

Die Extended Access Control kommt mit den Fingerabdrücken zum Zuge, die ab dem Jahr 2007 auf den Meldebehörden abgegeben werden müssen. Viele Details dieser Extended Access Control werden erst in den nächsten 3 bis 4 Monaten entwickelt, doch sind die Grundzüge klar: Damit die verschlüsselten Abdrücke ausgelesen werden können, bedarf es eines geheimen Authentisierungsschlüssels, der über eine Zertifikatskette bestätigt werden muss, die im ausstellenden Land endet. Erst wenn diese Kette online verifiziert ist, soll der RFID-Chip den Zugriff gestatten. Zweckentsprechend sind die Fingerabdrücke der beiden Zeigefinger zentral gespeichert. Welch wichtige Rolle die Fingerabdrücke spielen, machte Schabhüser in einem zweiten Vortrag deutlich, der erste Ergebnisse aus dem Projekt Bio P II vorstellte. Bei diesem Projekt spielten insgesamt 2081 Beschäftigte am Frankfurter Flughafen Versuchskaninchen für die Fingerabdruck- und Gesichts-Identifizierungssysteme von vier verschiedenen Herstellern/Anbietern (Cognitec, Bundesdruckerei/NEC, Dermalog und SD Industries). Dabei sollte ermittelt werden, ob die von den Herstellern bevorzugten speichersparenden Templates oder die von der ICAO bevorzugten kompletten Dateien bessere Erkennungsraten liefern. Offensichtlich -- die genauen Ergebnisse sollen in 2 bis 3 Wochen auf der Website des BSI veröffentlicht werden -- produzierten die Verfahren zur Identifizierung per Iriserkennung mangelhafte Ergebnisse, die der Referent damit umschrieb, dass die Hersteller ihre Hausaufgaben bei der Benutzerführung noch machen müssten. Industrietauglich im großen Maßstab nutzbar scheint demnach nur der Fingerabdruck zu sein.

Wie sich die Einsatztauglichkeit des neuen Reisepasses im internationalen Maßstab darstellt, erklärte BSI-Mitarbeiter Markus Nuppeney in einem Referat über die Umsetzung der ICAO-Spezifikationen mit dem Golden Reader Tool. Nuppeney berichtete von dem Projekt ILSE (ICAO Logical Data Structure and Security Evaluation) und der Arbeit der "Essen Group", in der Großbritannien, die Niederlande und Deutschland gemeinsam den neuen Reisepass entwickelten. Hinter all den Gruppen und Standards steht schließlich das Bemühen, dass die neuen Pässe überall gelesen werden können. Nuppeney berichtete vom letzten Feldtest im japanischen Tsukuba, bei der Basic Access Control von 86 verschiedenen in der Entwicklung befindlichen ePässen aus 22 Staaten mit den unterschiedlichsten Lesegeräten geprüft wurde. Die Resultate des Tests, bei dem 81 Prozent der Pässe fehlerfrei oder nur mit leichten Problemen ausgelesen werden konnten, bezeichnete Nuppeney als "gigantischen Fortschritt, der aber noch nicht auf das Szenario einer Grenzkontrolle übertragbar ist." An der Grenze seien erheblich robustere Verfahren nötig. (Detlef Borchers) / (jk)