Passbilder: AWS zwischenzeitlich einzige Möglichkeit für private Fotoanbieter
Private Fotoanbieter nutzen die AWS-Cloud für das Zwischenspeichern von Passbildern. Experten üben Kritik und sorgen für Diskussionen um digitale Souveränität.
(Bild: NicoElNino/Shutterstock.com)
Seit Mai sind digitale Passbilder für Dokumente wie den Personalausweis und den Reisepass verpflichtend – sofern die Kommune über ein zertifiziertes Fotoaufnahmesystem verfügt. Andernfalls kann ein Papierbild eingereicht werden. Eine weitere Alternative stellen private Anbieter dar. Sicherheitsexperten haben die ersten beiden Anbieter, die bereits an dem Verfahren teilnehmen, genauer analysiert. Sie kritisieren unter anderem, dass für das Zwischenspeichern der Bilder der Cloud-Anbieter Amazon Web Service (AWS) betraut wurde.
Noch listet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die beiden Anbieter Dm und Ringfoto nicht bei den zugelassenen Anbietern. Allerdings teilt ein Sprecher des BSI auf Nachfrage mit, dass "zwei Cloudanbieter eine vorläufige Betriebsgenehmigung" erhalten haben. Der Abschluss von Zertifizierungsverfahren der technisch arbeitsfähigen Systeme werde aber "zeitnah erwartet". "Die Erfüllung der Anforderungen aus der TR-03170 wird im Rahmen der Zertifizierung geprüft", heißt es vom BSI.
Nach der Richtlinie müssen die Anbieter "die Daten in einer Cloud in einem EU-Staat verarbeiten, sichern und speichern" und "der Gerichtsbarkeit eines Landes der europäischen Union unterliegen. Der Anbieter des Cloud-Dienstes MUSS erklären, dass die Verarbeitung, Sicherung und Speicherung von Daten zur Bereitstellung des Cloud-Dienstes auf Systemkomponenten in einem Land der europäischen Union erfolgt und ein Konzept vorlegen, wie er dies technisch sicherstellt", erklärt der BSI-Sprecher.
AWS kann sich C5-Testat leisten
Von Roman Melcher, als dm-Geschäftsführer verantwortlich für das Ressort IT und dmTECH, heißt es auf Nachfrage: "Wir folgen bei der Umsetzung des digitalen Passbildservices vollumfänglich den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI)". Dieses teilte dem Bundesministerium des Inneren und für Heimat habe bereits mitgeteilt, "dass der operative Prüfprozess der Zertifizierung weitgehend abgeschlossen ist [...] Die Entscheidung für AWS erfolgte basierend auf der Erfüllung der BSI-Vorgabe C5 Type 2. Zum Zeitpunkt unserer Umsetzung war AWS der einzige Anbieter, der die gesetzlichen Vorgaben und die Anforderungen an Sicherheit und Verfügbarkeit erfüllte."
"Verschlüsselung quantensicher"
Um die Bilder nach der Aufnahme zu speichern, werden sie zunächst Ende-zu-Ende-verschlüsselt in einer Zwischencloud gespeichert, wobei der Schlüssel zur Entschlüsselung im Data Matrix Code enthalten ist, den die Bürger in ihrer Behörde mitbringen. Cloudanbieter haben laut BSI-Sprecher "keine Möglichkeit, die Lichtbilder zu entschlüsseln. Die Verschlüsselung gilt zudem als angemessen quantensicher".
Zwar verfügt AWS über einen Standort in Luxemburg, gehört aber zum US-Konzern Amazon. Die Befürchtung ist daher, dass der Cloud Act dafür sorgen könnte, dass US-Behörden Zugriff auf die gespeicherten Daten erzwingen könnten. "Wir halten es für bedenklich, wenn millionenfach biometrische Passbilder auf Servern von US-Anbietern gespeichert werden. Selbst, wenn diese verschlüsselt werden – denn Verschlüsselung ist immer nur ein Schutz auf Zeit", so Tim Philipp Schäfers, Sicherheitsexperte bei Mint Secure.
Videos by heise
"Auch verschlüsselte Daten bleiben personenbezogen, solange sie prinzipiell einer Person zugeordnet werden können — zum Beispiel, wenn es eine Möglichkeit gibt, sie wieder zu entschlüsseln", sagt Mint Secure. Als Alternative empfehlen die Experten, die Bilder direkt in der Behörde aufnehmen zu lassen. Bisher sind nicht alle Behörden mit entsprechenden Fotoaufnahmesystemen ausgestattet. Im August soll es so weit sein, jedoch war zuletzt von Lieferverzögerungen die Rede, weshalb in den betroffenen Kommunen eine Ausnahmeregelung bis Ende Juli gilt. Dann werden weiterhin Papierlichtbilder akzeptiert.
Digitale Souveränität?
Aktuell wird viel über digitale Souveränität gesprochen. Daher sei für Schäfers nicht nachvollziehbar, dass die Anbieter "für eine nahezu hoheitliche Aufgabe derartige Hoster wählen". Das wirft die Frage zum Umgang mit US-Diensten auf, speziell in Behörden. Bisher wurden keine Statistiken veröffentlicht, die zeigen, wie viele Behörden in Deutschland US-Cloud-Dienste nutzen. Zumindest die Lizenzkosten für Microsoft-Produkte steigen von Jahr zu Jahr. Auch in vielen kritischen Bereichen kommen oft die Dienste von US-Anbietern zum Einsatz. Die Diskussion um den Einsatz von Palantir in Polizeibehörden reißt derzeit nicht ab, um nur ein weiteres Beispiel zu nennen. Kürzlich hat beispielsweise die Charité damit begonnen, KI-gestützte Software von Microsoft zur Dokumentation von Arzt-Patientengesprächen im klinischen Alltag zu erproben und zu trainieren – obwohl es verschiedene europäische Alternativen gibt.
Antwort von Dm ergänzt.
(mack)
