FDP will Ausstellung der Biometrie-Pässe aussetzen
In einem Antrag meint die FDP, die Verschlüsselung der Daten auf den mit RFIDs ausgestatteten ePässen sei unzureichend und verweist auf das Beispiel der bereits geknackten niederländischen Biometrie-Pässe.
In einem Antrag (Bundestagsdrucksache 16/854) fordert die Bundestagsfraktion der FDP die Bundesregierung auf, die Ausstellung der neuen Reisepässe, bei denen auf RFID-Chips biometrische Daten elektronisch gespeichert werden, vorerst auszusetzen. Die Liberalen bezweifeln, dass die Verschlüsselung der Daten einen hinreichenden Schutz bietet; sie verweisen dabei auf das Beispiel der niederländischen ePässe, die bereits geknackt wurden.
Die Verschlüsselung der Daten basiere auf der "Basic Access Control", die den Richtlinien der EU und der Luftfahrtorganisation ICAO entspreche, führen die Liberalen in ihrem Antrag aus. "Der geheime Schlüssel für den Zugriff auf den Chip und die verschlüsselte Datenübertragung berechnen sich dabei aus einer Behördenkennzahl und einer fortlaufenden Nummer. Theoretisch liefern diese Zahlen zusammen genommen eine Verschlüsselungsstärke von rund 56 Bit – vorausgesetzt, sie lassen sich nicht zu genau abschätzen oder sogar aus anderen Quellen erschließen", schreiben die Liberalen. Dies sei im Vergleich zu der 128-Bit-Verschlüsselung, die etwa bei Internet-Anwendungen eingesetzt werde, ein verhältnismäßig schwacher Schlüssel, meint die FDP.
Zwar habe es auf eine kleine Anfrage der FDP-Fraktion geheißen, dass "ein unberechtigtes Entschlüsseln der abgehörten Daten nach derzeitigem Stand der Technik nicht möglich ist". Allerdings beruhe der Biometrie-Reisepass in den Niederlanden auf identischen Sicherheitsstandards. Und die Entschlüsselung der Daten auf den niederländischen ePässen sei schließlich bereits gelungen. Ein Auslesen der Daten sei durch die RFID-Technik mit bestimmten Hilfsmitteln auch auf eine Entfernung von bis zu 30 Metern möglich, ohne dass der Passinhaber dies bemerke, betont die FDP-Fraktion in einer Erklärung zu ihrem Antrag.
Daher müsse die Ausgabe der deutschen ePässe ausgesetzt werden, bis die Daten effektiv vor unauthorisierter Entschlüsselung geschützt werden könnten. Außerdem sollte das Sicherheitssystem der ePässe durch Updates auf den jeweils neuesten Sicherheitsstandard gebracht werden können. Inhaber der ePässe sollten solch ein Update durch Installation neuer Software im ePass oder durch neue Pässe kostenlos erhalten.
Die ePässe in Deutschland wurden im vergangenen Jahr eingeführt; anfangs haben nach Angaben aus dem Bundesinnenministerium rund 600.000 Bundesbürger die neuen Pässe beantragt. In der ersten Version enthält der biometrische Reisepass ein Bild des Ausweisinhabers, das auf einem Chip gespeichert ist. Dieser Chip wird per Funk kontaktiert und schickt die auf ihm gespeicherten Daten, das Gesichtsbild und eine digitale Signatur nur dann zurück, wenn der Zugriffsschlüssel bei der Abfrage stimmt. Im Jahre 2007 oder später soll zum Gesichtsbild der Fingerabdruck kommen. In dieser zweiten Version erfordert der biometrische Reisepass den Aufbau einer komplexen Infrastruktur, weil beim Fingerabdruck online überprüft werden soll, ob die begleitende digitale Signatur gültig ist. Ab April dieses Jahres sollen zudem alle Pass-Stellen im April einen ePass-Leser bekommen, mit dem jeder Bürger überprüfen kann, was auf dem Chip gespeichert ist.
Zur Einführung des ePasses und den Auseinandersetzungen um Ausweise mit digitalisierten biometrischen Merkmalen siehe den Artikel auf c't aktuell (mit Linkliste zu den wichtigsten Artikeln aus der Berichterstattung auf heise online sowie in c't, Technology Review und Telepolis): (jk)
