EU will Lücke bei automatischen Grenzkontrollen schließen
Durch automatische Grenzkontrollen in der EU kommt man unter Umständen auch mit manipulierten E-Pässen. Ein zentraler Austausch der Zertifikate soll diese Lücke schließen.
Ohne eine Echtehitsüberprüfung der Chips im Pass lassen sich automatische Grenzkontrollen umgehen.
(Bild: EU-Kommission)
Im Zuge der "Smart Borders Initiative" sollen automatische Passkontrollsysteme im Schengen-Raum mit einer neuen zentralen Datenbank arbeiten, der "Schengen Master Control List". Sie soll Fälschungen mit aufgeklebten Chips in den Pässen verhindern, indem sie die aufgebrachten Zertifikate überprüft. Bürger von insgesamt 17 Staaten außerhalb der EU – unter ihnen Türkei, Russland, China und die USA – sollen im Rahmen des europäischen Smart Boders-Programms bei der Einreise in den Schengen-Raum auch die automatischen Grenzkontrollsysteme nutzen, die an den wichtigsten deutschen Flughäfen in Betrieb sind oder derzeit installiert werden.
Selbstbedienungs-Einreise mit Lücke
Diese Selbstbedienungs-Einreise hat nach jüngsten EU-Erkenntnissen eine Lücke, die Passfälscher ausnutzen können: Nicht alle Systeme prüfen, ob die im Reisepass gespeicherten Zertifikate, mit denen die Daten signiert sind, korrekt sind. Die "Schengen Master Control List" soll diese Lücke schließen. In ihr sollen die Zertifikate aller Country Signing Certification Authorities (CSCA) gespeichert und dann von den Grenzkontrollsystemen abgerufen werden.
(Bild: EU-Kommission)
Die EU-Kommission hat mit den 24 Mitgliedsstaaten, der europäischen Grenzschutzorganisation Frontex und den technischen Experten von EU-LISA überlegt, wie die "Smart Border Initiative" auf Drittstaaten ausgeweitet werden kann. Laut Kommission sind die CSCA-Zertifikate, die für eine automatisierte Überprüfung von elektronischen Reisepässen von Drittstaatsangehörigen benötigt werden, "nicht vollständig an den Grenzkontrollstellen verfügbar". Allein Deutschland habe den unvollständigen Versuch gemacht, eine eigene Liste zu erstellen. Deshalb schlägt die EU-Kommission die Einrichtung einer Sammelstelle für Zertifikate vor, die die "Schengen Master Control List" allen Mitgliedsstaaten zur Verfügung stellen soll. Die Datensammlung soll beim gemeinsamen Europäischen Forschungszentrum im italienischen Ispra gehostet werden.
Falschen Chip einkleben
Nach Darstellung des ePass-Experten Richard Rinkens (PDF-Datei) von der EU-Kommission gibt es erfolgreiche Versuche, automatische Grenzkontrollschleusen damit zu überwinden, dass der originale RFID-Chip eines ePasses deaktiviert und durch einen aufgeklebten Chip ersetzt wird. Dieser enthält ein biometrisches Foto, welches vor dem Betreten der Schleuse ausgelesen und mit aktuellen Kameraaufnahmen automatisch verglichen wird. Dabei werde "das Live-Bild der Kamera nur mit dem gespeicherten Bild des ePass-Chips verglichen, eine Kontrolle des aufgedruckten Bildes findet nicht statt", erläutert Rinkens. Daher reiche es aus, einen gefälschten Chip mit den echten biometrischen Daten eines Grenzgängers einzukleben. Problematisch sei, wenn beim Auslesen des Chips nicht geprüft werde, ob die Daten von der jeweiligen Zertifizierungsstelle korrekt signiert sind.
Im November jährt sich der zehnjährige Geburtstag des deutschen elektronischen Reisepasses. Auf dem ePass 1.0 war zunächst nur ein biometrisches Foto gespeichert, mit dem Version 2.0 kamen im November 2007 die Fingerabdrücke hinzu. Aktuell arbeitet die Bundesdruckerei nach der Auftragsvergabe durch den Bund am ePass 3.0, der zum Jahresende eingeführt wird und Speicher für weitere biometrische Sicherheitsmerkmale enthalten soll. Seit 2008 forscht die Bundesdruckerei an 3D-Pässen mit der Möglichkeit, ein "bewegliches Passbild" im ePass zu integrieren, das das biometrische Foto ergänzen kann. (vbr)
