Deutschland setzt internationale Standards bei Biometrie-Reisepässen

Das BSI konnte grundlegende Prinzipien der Datensicherheit und des Datenschutzes mit dem kryptografischen Prinzip des "Basic Access Control" bei der internationalen Standardisierungsbehörde für Reisepässe, ICAO, einbringen.

In Pocket speichern vorlesen Druckansicht 399 Kommentare lesen
Lesezeit: 6 Min.
Von
  • Christiane Schulzki-Haddouti

Die deutsche Industrie treibt gemeinsam mit Bundesbehörden die Entwicklung der neuen biometrischen EU-Pässe maßgeblich voran und setzt internationale Standards für Datensicherheit und Datenschutz. Auf einer Podiumsdiskussion des 9. Deutschen IT-Sicherheitskongresses des Bundesamts für Sicherheit in der Informationstechnik (BSI) heute in Bonn erklärte BSI-Präsident Udo Helmbrecht, dass das BSI in enger Zusammenarbeit mit der Industrie grundlegende Prinzipien der Datensicherheit und des Datenschutzes mit dem kryptografischen Prinzip des Basic Access Control über die internationale Standardisierungsbehörde für Reisepässe, ICAO, einbringen konnte.

Das BSI werde für die neuen Pässe auch die zentrale nationale Stelle für die Schlüsselverwaltung, die so genannte Country Signing CA, bilden. Als oberste Zertifizierungsstelle eines Landes hat sie die Kontrolle über das Schlüsselpaar des Dokumentenproduzenten, mit dessen Hilfe die digitalen Daten im Pass-Chip signiert und auf Integrität und Authentizität überprüft werden können. Bereits zur CeBIT hatte das BSI das erste ICAO-konforme Lesegerät für die neuen Pässe vorgestellt, das so genannte "Golden Reader Tool". Der Chip kann nur von zertifizierten Lesegeräten ausgelesen werden. Zudem lassen sich bestimmte Merkmale von bestimmten Ländern nur dann auslesen, wenn dies zwischen beiden Ländern so vereinbart ist. Dies ist jedoch nicht auf dem Pass vermerkt, sondern Bestandteil bilateraler, auf politischem Wege herbeigeführter Regelungen zwischen den Ländern. Vertraut etwa Deutschland dem Datenschutzstandard eines anderen Landes nicht, kann es das Auslesen der biometrischen Daten untersagen. Kontrolliert wird dies über den kryptografischen Schlüssel.

Detlef Houdeau, bei Infineon zuständig für die Geschäftsentwicklung von Sicherheitschips, wies darauf hin, dass im Sommer 2004 bereits der Prototyp für das kontaktlose Auslesen des Passes aus der Hosentasche in der ICAO präsentiert wurde -- dass dies jedoch aufgrund einer aktiven europäischen Arbeitsgruppe verhindert worden sei. Dass die Europäer es mit dem kryptografischen Ansatz des Basic Access Control schafften, sich auch international durchzusetzen, habe das Einlenken der USA vergangene Woche gezeigt, als diese verkündet hatten, den Ansatz zu übernehmen. Cord Bartels, Projektleiter für den deutschen Pass bei Philips Semiconductors, betonte ebenfalls, dass man gemeinsam mit Infineon die "Pole Position auf dem Markt erreicht" habe und diese als "Riesenchance" sehe, die eigenen Vorstellungen auf dem Markt durchzusetzen und die Diskussion zu leiten. Die Kryptochips von Philips werden in Hamburg hergestellt. Gemeinsam mit Infineon deckt Philipps 70 Prozent des Weltmarkts für Kryptochips ab.

Bettina Sokol, nordrhein-westfälische Landesbeauftragte für Datenschutz und Informationsfreiheit, warnte vor der Biometrie als sehr fehlerunfreundlicher Technologie: "Die Merkmale verbrauchen sich schnell." Die Biometrie sei Teil einer sich ausweitenden Kontrollinfrastruktur, die Einführung der biometrischen EU-Pässe sei angesichts der laut verschiedener Studien nicht ausgereiften biometrischen Technik ein "Großversuch an der europäischen Bevölkerung".

Befürchtungen, der Pass könne dazu genutzt werden, Menschen eine ID-Nummer zu verleihen, die dann mit weiteren personenbezogenen Daten verknüpft werden kann, trat Thomas Löer, Gesamtprojektleiter für den EU-Biometriepass der Bundesdruckerei, entgegen, indem er darauf hinwies, dass der Chip der "kontaktlosen Smartcard-Schnittstelle" bei jedem Lesevorgang jeweils andere Seriennummern herausgibt. Auf diese Weise wird eine Rückverfolgbarkeit ausgeschlossen. Außerdem speichert die Bundesdruckerei alle personenbezogenen Daten nur für den Produktionszeitraum. Die Löschung der Daten kontrolliert der Bundesdatenschutzbeauftragte. Software-Updates für die Chips beziehungsweise Manipulationen anderer Art sind nach Angaben der Bundesdruckerei nicht möglich. "Chips, die die Bundesdruckerei verlassen, lassen sich nicht mehr verändern, sondern nur auslesen", verdeutlichte Löer.

Christoph Busch vom Fraunhofer-Institut für Graphische Datenverarbeitung (FhG-IGD) hob den Komfortaspekt der Biometriepässe als prozessbeschleunigendes Mittel hervor. Um das Problem doppelter Identitäten ohne Datenbanken in den Griff zu bekommen, wies er auf den von dem niederländischen Professor Willem Jonker ebenfalls auf dem Kongress vorgestellten Abgleich mit zentralen Hash-Tabellen hin. Er beurteilte die zweidimensionale Gesichtserkennung als "nicht überwindungssicher" und hielt sie daher nur in überwachten Szenarien für einsetzbar, räumte jedoch der dreidimensionalen Gesichtserkennung Potenzial ein. Hinsichtlich der Haltbarkeit der neuen Chip-Ausweise zeigte er sich skeptisch. In den vergangenen sieben Jahren habe er innerhalb des Instituts vier Proximity-Karten verbraucht.

Stefan Hauber, Geschäftsführer der Berliner Firma HSH, die Verfahren für das Meldewesen entwickelt, erläuterte, dass die Erfassung der biometrischen Daten vor Ort in den 6300 Passstellen in Deutschland stattfinden soll. In der Praxis sollen die Antragsteller Bilder einreichen, die Sachbearbeiter auf ihre Tauglichkeit für biometrisch gesicherte Pässe hin überprüfen. Später sollen diese Stellen mit Erfassungsgeräten für dreidimensionale Gesichtserkennung sowie den digitalen Fingerabdruck ausgestattet werden. Rund 35.000 Personen, die mit der Erfassung betraut sind, müssen hierfür noch geschult werden. Hauber betonte, dass eine Prozesssicherheit von Beantragung bis Aushändigung der Ausweise gegeben sein müsse, auch der Umgang mit abgelaufenen und vernichteten Pässen müsse geklärt werden. Allerdings vermisst er eine ausreichende "Klarheit, wie diese Prozesse dargestellt werden sollen".

"Mit dem digitalen Merkmal des Gesichts soll die Bindung zwischen Person und Dokument erhöht werden", erklärte Helmbrecht. Auch nach der Ausgabe der neuen Pässe werden die alten Pässe weiterhin gültig bleiben. Erleidet der Chip, auf dem die biometrischen Daten gespeichert sind, einen Defekt, so bleibt der Reisepass weiterhin gültig, da das digitale biometrische Merkmal lediglich einen Mehrwert darstellen soll. Der Pass enthält heute mit Geburtsdatum, Augenfarbe, Körpergröße, Foto, Unterschrift bereits fünf personenspezifische Merkmale. Die Fingerabdrücke der beiden Zeigefinger, die ab 2007 digital erfasst werden sollen, wird dann das sechste personenspezifische Merkmal darstellen. Diese Daten sollen mit Hilfe einer zur Zeit auf EU-Ebene diskutierten BSI-Spezifikation der Extended Access Control geschützt werden, die mit einem neuen, stärkeren Sitzungsschlüssel arbeitet.

Die neuen Reisepässe sollen voraussichtlich ab November ausgegeben werden, da die USA ab Ende Oktober von Einreisenden ein biometrisches Visum verlangen, wenn sie keinen biometrischen Reisepass vorlegen können. Eine frühzeitige Einführung des biometrischen Passes soll aber auch dazu führen, dass sich die von der deutschen Industrie entwickelten Standards innerhalb der Europäischen Union durchsetzen. USA-Reisende wird der Kryptoschutz ihrer Fingerprints jedoch wenig nutzen -- die USA sehen nämlich vor, alle Finger der Hand künftig unabhängig vom biometrischen Reisepass zu erfassen und in eigenen Datenbanken zu speichern. Für die Techniker ist dies ein Fall, den sie eingestandenermaßen nicht mehr lösen können. Hier ist die Politik gefragt. (Christiane Schulzki-Haddouti) / (pmz)