Der Biometrie-Pass kommt
Für die einen ist es ein Schritt zu mehr Sicherheit im Reiseverkehr, für die anderen ein weiterer in den Überwachungsstaat: Ab November sollen die ersten biometrischen Reisepässe mit Funkchip ausgegeben werden.
- Richard Sietmann
Außer dass sich die Passgebühr auf 59 Euro mehr als verdoppelt, wird sich ab dem 1. November für den Bürger zunächst wenig ändern. Die Antragsteller werden auf den Meldeämtern ein frontal aufgenommenes Foto vorlegen müssen, das die Bundesdruckerei in digitalisierter Form auf dem Chip speichert. Erst im zweiten Schritt sollen dann Anfang 2007 im Einklang mit der im Januar in Kraft getretenen EU-Verordnung 2254/2004 die Fingerabdrücke des rechten und linken Zeigefingers hinzukommen. „Als drittes Merkmal könnte der Iris-Scan auch noch in den Chip aufgenommen werden“, erläuterte Bundesinnenminister Otto Schily die zusätzlichen Optionen, als er den Fahrplan für den Einstieg in die biometrische Vermessung der Bevölkerung vorstellte. Bis 2008 sollen alle Flughäfen und Grenzkontrollpunkte flächendeckend mit Lesegeräten für den neuen „ePass“ ausgestattet sein.
Ungeachtet der Einwände von Abgeordneten aus den eigenen Reihen sowie von Datenschützern, die eine Verschiebung fordern, treibt Schily das Projekt voran. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder sieht die technische Reife, den Datenschutz sowie die technische und organisatorische Sicherheit der vorgesehenen Verfahren noch nicht gewährleistet. „Zu früh, zu teuer und zu unsicher“, fasst die SPD-Bundestagsabgeordnete Ulla Burchardt ihre Kritik an dem Vorhaben zusammen. „Europa wird mit Biometrie die sichersten Pässe haben“, spottet sie bitter, „heißt das, dass von Europäern die größte terroristische Bedrohung ausgeht?“
Teure Industriepolitik
Mit der „langfristig angelegten Biometrie-Strategie“, erklärt dagegen der Minister, verfolge die Bundesregierung vier Ziele: eine erhöhte Fälschungssicherheit, die verbesserte Identifizierung bei der Einreise, die Nutzung biometrischer Hilfsmittel bei der Personenfahndung sowie die Erleichterung des Reiseverkehrs durch schnellere biometriegestützte Kontrollen. Dass auch industriepolitische Ziele eine erhebliche Rolle spielen, verhehlt er nicht. Nach einem internen Argumentationspapier des Innenministeriums waren sie einer der wesentlichen Gründe, weshalb sich die Bundesregierung in Brüssel so vehement für die biometrische Erkennungstechnik einsetzte. „Alle wesentlichen Komponenten des neuen Reisepasses - Passbücher, Chips, Chip-Betriebssysteme, Kontrollgeräte - werden in Deutschland produziert“, heißt es darin. „Viele Länder, die biometriegestützte Dokumente herausgeben wollen, werden ein praktisches Anwendungsbeispiel für die Leistungsfähigkeit der deutschen Unternehmen vorfinden.“
Dank der staatlichen Unterstützung kann sich die Industrie auf einem neuen Geschäftsfeld positionieren. „Die schnelle Einführung des elektronischen Reisepasses erhöht die Chance, dass deutsche Sicherheitstechnologie auch ein Exporterfolg wird“, freut sich Bitkom-Geschäftsführer Peter Broß. Wie teuer das Vorhaben indes den Steuerzahler kommt, kann oder will Schily nach wie vor nicht beziffern; entsprechenden Fragen weicht er beharrlich aus.
Bei einer internen Anhörung der SPD-Bundestagsfraktion hatte der Parlamentarische Staatssekretär beim Bundesinnenministerium, Fritz Rudolf Körper, die in der Presse genannten Zahlen von 600 Millionen Euro Fixkosten sowie jährlichen Kosten in Höhe von 600 Millionen Euro kürzlich als „eindeutig zu hoch gegriffen“ bezeichnet. Zugleich erklärte er, dass die Produktionskosten für die Pässe in vollem Umfang auf die neue Passgebühr von 59 Euro umgelegt werden sollen. Damit lägen die laufenden Aufwendungen dann bei 120 Millionen Euro - die im Jahr 2000 privatisierte Bundesdruckerei rechnet als Generalunternehmer für das komplette „ePass“-System damit, jährlich rund zwei Millionen dieser Dokumente herzustellen. Die Biometrie soll die bisherigen Kontrollen nur unterstützen - den zusätzlichen Investitionskosten werden daher wohl keine Einsparungen im Kontrollbetrieb gegenüberstehen.
Die Kosten für die Erkennungstechnik an den Grenzkontrollstellen werden wohl erst im Haushalt 2007 erkennbar werden. Bislang nicht beziffert sind auch die Summen, die für die biometrische Ersterfassung der Antragsteller in den Passämtern bei den Kommunen anfallen. Nach den aktuellen Plänen sollen die heute noch zu einem großen Teil per Briefpost an die Bundesdruckerei übermittelten Passdaten künftig über das geschlossene TESTA-Netz der Behörden oder mit dem kryptographisch gesicherten E-Government-Protokoll OSCI (Online Services Computer Interface) über das Internet versendet werden. Schätzungen zufolge verfügen jedoch höchstens zwei Drittel der Gemeinden über die entsprechenden Anschlüsse, sodass sie mit erheblichen Folgelasten rechnen müssen.
Fälschungssicherheit
Nach Meinung Schilys rechtfertigen der verbesserte Schutz vor Passfälschungen und die maschinelle Überprüfbarkeit, ob das Dokument dem Reisenden gehört oder nicht, den Aufwand allemal. „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gewährleistet dabei die technische Sicherheit der elektronischen Reisedokumente“, sekundiert die dem Bundesinnenministerium unterstellte Behörde. Die biometrischen Daten seien auf dem zertifizierten Sicherheitschip durch eine digitale Signatur gegen unerkanntes Verändern geschützt. „Dadurch heben wir die Fälschungssicherheit des Reisepasses auf ein qualitativ neues Niveau“, erklärt BSI-Präsident Udo Helmbrecht. Nur ist nicht recht klar, auf welches, denn mit Vergleichszahlen gibt sich der Bundesinnenminister sparsam. Im Jahre 2002, so Schily, habe der Bundesgrenzschutz in 7700 Untersuchungsfällen 290 total gefälschte EU-Pässe festgestellt und 394 Pässe waren inhaltlich gefälscht. Die Verringerung dieser Zahlen lässt sich die Bundesregierung mithin fast 200 000 Euro pro Einzelfall kosten. „Möglicherweise sehen wir da nur einen beschränkten Bereich“, argumentiert Schily mit dem „Dunkelfeld“ und den Folgerisiken - schließlich sei auch der 21. Attentäter des 11. September mit einem gefälschten Pass in die USA eingereist.
Der Datenschutz sei jedenfalls umfassend berücksichtigt worden, behauptet der Minister. Das unbemerkte Auslesen der im Chip gespeicherten Daten werde „durch einen sicherheitstechnisch erprobten Zugriffsschutz wirksam verhindert“, und dem unberechtigten Abhören der Kommunikaton zwischen Chip und Lesegerät stehe die Verschlüsselung entgegen. Des Weiteren sei eine zentrale Speicherung der Passdaten „weder geplant noch in den zugrundeliegenden Rechtsvorschriften vorgesehen“. In Übereinstimmung mit dem deutschen Passgesetz, das eine zentrale Datenbank der Passinhaber untersagt, würden die biometrischen Daten nur im Chip des Dokumentes gespeichert und stünden für zentrale Auswertungen nicht zur Verfügung. Der Zugang zu den Daten im Chip wird nur über das vorherige optische Auslesen der maschinenlesbaren Zone möglich sein. Deshalb sind zwei Willensbekundungen nötig, um den Chip lesen zu können: Der Passinhaber übergibt das Dokument dem berechtigten Kontrollbeamten und willigt damit in die Personenkontrolle ein; dieser legt dann das Dokument aufgeschlagen auf ein Lesegerät, das den Zugriffschlüssel aus der maschinenlesbaren Zone einliest und damit erst die Funkkommunikation mit dem RF-Chip im Pass freigibt.
PKZ durch die Hintertür
Am gleichen Tag, an dem der Bundesinnenminister seinen Biometriefahrplan präsentierte, forderte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in einer Entschließung, mit der Ausgabe von elektronisch lesbaren, biometrischen Ausweisdokumenten dürfe erst begonnen werden, wenn durch rechtliche, organisatorische und technische Maßnahmen gewährleistet sei, „dass die in Ausweisen gespeicherten Daten nicht als Referenzdaten genutzt werden, um Daten aus unterschiedlichen Systemen und Kontexten zusammenzuführen“. Dafür ist es wohl zu spät. Mit den biometrischen Pässen ist Europa im Begriff, nicht nur ein einheitliches Personenkennzeichen (PKZ) einzuführen, sondern auch die Kontrolle über seine Verwendung abzugeben.
Durch die über die ICAO-Spezifikationen gewährleistete weltweite Interoperabilität der Lesbarkeit dieses Personenkennzeichens im internationalen Grenzverkehr können Drittstaaten die biometrischen Merkmale auch für andere Zwecke verwenden, beispielsweise, um damit in beliebigen Datenbanken die das Data-Mining erschwerenden Namensgleichheiten oder Mehrdeutigkeiten infolge unterschiedlicher Namensschreibweisen aufzulösen. Ausländische Dienste bekommen so ein starkes Werkzeug an die Hand, mit dem sie zum Zwecke der Wirtschafts- und politischen Spionage Watch-Lists für die Rasterfahndung und gegebenenfalls die Überwachung von unbescholtenen Bürgern anlegen können. Und im Zweifel verfügen sie auch über die Mittel, die biometrischen Merkmale auf Versammlungen, Kongressen und Veranstaltungen unbemerkt zu erheben. An Otto Schulz oder Lieschen Müller aus Unterpfaffenhofen werden sie kaum interessiert sein; in erster Linie müssen wohl Politiker, Manager und Wissenschaftler damit rechnen, dass Nachrichtendienste Bewegungsprofile generieren und daraus Rückschlüsse ziehen.
„Wir haben es in Deutschland über die Ausgestaltung der Public-Key-Infrastruktur in der Hand, welche ausländischen Staaten Zugriff auf die Daten bekommen“, beruhigt BSI-Präsident Helmbrecht. Die Zugriffsregelung sei Sache zwischenstaatlicher Vereinbarungen. Ob sich über solche Vereinbarungen das deutsche Datenschutzniveau auf andere Jurisdiktionen übertragen, geschweige denn kontrollieren lässt, ist allerdings mehr als zweifelhaft. Schon die EU-Verordnung enthält, im Unterschied zur deutschen Gesetzeslage, kein klares Verbot einer zentralen Passdatei. Die in Deutschland vom Bundesverfassungsgericht verbotene Verwendung eines einheitlichen Personenkennzeichens wird Drittstaaten quasi auf dem silbernen Tablett geboten - zunächst nur für Passinhaber, aber die Planungen gehen schon weiter. „In der EU“, so Schily, „arbeiten wir gemeinsam an biometriegestützten Personalausweisen, um auch diese Dokumente ab 2007 umstellen zu können.“
Industriepolitik
„Ich möchte Ihnen ein weiteres Argument nennen, warum die planmäßige Einführung der biometrischen Verfahren im ureigenen deutschen Interesse liegt. Die Pässe sind auch ein Wirtschaftsfaktor. Passproduzenten wie die Bundesdruckerei, Giesecke & Devrient und Chiphersteller wie Philips und Infineon haben ein technisches Know-how, das in puncto Sicherheit und Zuverlässigkeit weltweit seinesgleichen sucht. Mit der Einführung der neuen Pässe bringen wir den Beweis, wie rasch sich deutsche Firmen auf die neue Sicherheitstechnik und auf den zukunftsorientierten Wachstumsmarkt der Biometrie eingestellt haben. Wir zeigen, dass Deutschland das Know-how und die Innovationskraft hat, um im jungen Sektor der Biometrie Standards zu setzen.“
Bundesinnenminister Otto Schily am 1. Juni vor der Presse in Berlin
Zweistufiger Zugriffschutz
In der ersten Stufe des Reisepasses speichert der Radio-Frequency-(RF-)Chip im Einband des Passes als personenbezogene Daten Namen, Geburtstag, Geschlecht und Gesichtsbild des Inhabers.
Basic Access Control
Der grundlegende Zugriffsschutz soll für die im RF-Chip abgelegten Daten die Eigenschaften des bisherigen Reisepasses nachbilden. Für das Funkauslesen der gespeicherten Daten benötigt das Lesegerät zunächst einen optischen Zugriff auf die Datenseite des Reisepasses: Aus der optisch maschinenlesbaren Zone berechnet es einen geheimen Zugriffsschlüssel, mit dem es sich gegenüber dem RF-Chip authentisiert. Die Stärke dieses Zugriffsschlüssels bewertet das BSI mit etwa 56 Bit, was der Stärke eines normalen DES-Schlüssels entspricht. Da das Ausprobieren aller 256 Schlüsselvarianten in kurzer Zeit unmöglich ist, gilt diese Stärke als ausreichend, das unberechtigte Auslesen des Gesichtsbildes zu verhindern.
Extended Access Control
In der zweiten Stufe des EU-Reisepasses soll der RF-Chip zusätzlich Fingerabdrücke speichern. Für diesen Fall spezifiziert der erweiterte Zugriffsschutz einen Public-Key-Authentisierungsmechanismus, mit dem sich das Lesegerät zusätzlich als zum Lesen von Fingerabdrücken berechtigt ausweist. Dazu muss es im Rahmen einer Public/Private-Key-Infrastructure (PKI) mit einem eigenen Schlüsselpaar und einem vom RF-Chip verifizierbaren Zertifikat ausgestattet sein, in dem die Rechte des Lesegerätes exakt festgelegt sind. Dabei bestimmt immer das Land, das den Reisepass herausgegeben hat, auf welche Daten ein ausländisches Lesegerät zugreifen darf. Auch die Lesegeräte der zweiten Generation sollen nicht in der Lage sein, Daten aus einem geschlossenen Pass auszulesen, da Basic Access Control weiterhin vom RF-Chip erzwungen wird. (anm)
