Kritik am ePass

Inhaltsverzeichnis

Ein kleiner stilisierter Chip auf der Vorderseite soll künftig darauf hinweisen, dass sich im Inneren des neuen deutschen Reisepasses [1] digitale Daten verbergen. Diese sollen das Reisen gemäß den Definitionen der internationalen Luftfahrtbehörde ICAO gleich doppelt sicherer machen. Zuvorderst steht dabei die Identifikationssicherheit: Das auf dem Chip gespeicherte Gesichtsbild sowie der ab 2007 hinzukommende Fingerabdruck werden die Überprüfung durch biometrische Identifikationssysteme gestatten, die zuverlässiger als menschliche Kontrolleure arbeiten sollen. An zweiter Stelle steht die Fälschungssicherheit: Der RFID-Chip fügt ab 2007 dem guten Dutzend verschiedener Sicherheitsmerkmale eines deutschen Passes ein weiteres Merkmal hinzu, das besonders schwierig zu fälschen sein soll: Wenn der digitale Fingerabdruck in den Pass wandert, ist er mit einem Zertfikat der ausstellenden Behörde gesichert.

Doch der neue Bio-RFID-Pass ist unter Fachleuten nicht unumstritten, schließlich gibt es zahlreiche Detailfragen, die bislang nur unzureichend geklärt sind. Beispielsweise kommt der Effekt des Alterns unter dem Aspekt der biometrischen Identifikationssicherheit deutlich zu kurz: Während sich der menschliche Fingerabdruck kaum ändert, kann ein Gesicht innerhalb der zehn Jahre, die der neue Pass gültig sein soll, starken Veränderungen unterliegen. Hinzu kommt, dass andere Details des elektronischen Reisepasses zwar wissenschaftlich erforscht, die Untersuchungsmethoden selbst aber umstritten sind. So hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene biometrische Systeme auf ihre Einsatztauglichkeit getestet und Teststudien veröffentlicht, die höchst kontrovers diskutiert werden.

Rot blinkende Bildschirme

Insbesondere die jüngste und aufwendigste BSI-Studie „Untersuchung der Leistungsfähigkeit von biometrischen Verifikationssystemen“ - auch als BioP II bekannt - sorgt für Diskussionsstoff. Die Studie befasst sich mit einem Langzeittest am Frankfurter Flughafen im Jahr 2004, an dem insgesamt 2081 Beschäftigte des Flughafenbetreibers Fraport AG, der Lufthansa und des Bundesgrenzschutzes teilnahmen, die verschiedene biometrische Systeme im Alltagseinsatz testeten. Die Tests waren als Machbarkeitsstudie für den ICAO-konformen Einsatz der Biometrie gedacht, sollten also das testen, was beim elektronischen Reisepass zum Zuge kommt. Die erwartete Bestätigung der Praxistauglichkeit lieferten die Ergebnisse indes nicht, denn die ICAO änderte noch im Verlauf der Tests eine Reihe von Standards, die nunmehr in einem weiteren BSI-Projekt mit dem Titel ILSE (ICAO Logical Data Structure and Security Evaluation) untersucht werden müssen.

Zudem fasst die BioPII-Studie den Frankfurter Test sehr vorsichtig zusammen. Als Ergebnis werden die Hersteller der biometrischen Systeme vor allem aufgefordert, das Design und die Nutzerführung „deutlich zu verbessern“. Wirklich zufriedenstellend funktionierten die Systeme offenbar nur bei Vielnutzern, die sich mit der Zeit an die Eigenheiten der Systeme anpassten - was die BioP-II-Berichterstatter zu der sehr allgemeinen Aussage veranlasste, der zunehmende Einsatz biometrischer Systeme im Alltag werde „zu einer Gewöhnung und Übung der Nutzer führen, die diesen Effekt der verbesserten Erkennungsleistung noch verstärken werden“.

Auf den elektronischen Pass bezogen bedeutet dies, dass zwar Vielflieger, die bis zu 120 Mal im Jahr eine biometrische Kontrolle passieren, mit den neuen Identifikationssystemen zurecht kommen dürften, der typische Reisende, der nur wenige Male im Jahr EU-Grenzen übertritt, an den Flughäfen aber häufig „rot blinkende Bildschirme“ sehen könnte, wie es der Chaos Computer Club (CCC) in seiner Antwort auf die Ergebnisse der BioP-II-Studie jüngst plakativ umschrieb.

Nicht repräsentativ

Auf einen anderen Mangel der Studie weisen Constanze Kurz und Jan Krissler vom Institut für Informatik der Humboldt-Universität Berlin hin: Sie kritisieren, dass die Auswahl des Panels am Frankfurter Flughafen „systembedingt“ nur aus berufstätigen Menschen bestand, davon 70 Prozent leichter zu erkennende Männer. Senioren hingegen, die in Deutschland inzwischen 30 Prozent der Bevölkerung repräsentieren, hatten lediglich ein Prozent der Testteilnehmer gestellt.

Als weiteren Fehler bemängeln die Doktoranden, dass das „Re-Enrolment“, also die nochmalige Erfassung der biometrischen Referenzdaten, nicht in der Statistik auftauchte - und das, obwohl rund fünf Prozent der Teilnehmer wegen Systemfehlern noch einmal registriert werden mussten. Bezogen auf den Reisepass würde dies bedeuten, dass für hunderttausende Bürger neue Reisedokumente ausgestellt werden müssten.

Doch nicht nur die Biometrie im Chip, auch der Chip im Pass selbst wird von Forschern kritisiert. Denn um die Daten des verwendeten RFID-Chips auslesen zu können, muss der Pass zuerst durch ein herkömmliches Lesegerät gezogen werden, das auf Basis der Daten der maschinenlesbaren Zone einen Schlüssel generiert, mit dem die Daten auf dem Chip anschließend per Nahfunk abgerufen werden können [2].

Dieses Verfahren sei unnötig kompliziert, weil zwei Reader gebraucht werden, erläutert Tobias Straub vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. Der Kryptographie-Fachmann, der an der Spezifikation der Sicherungsmechanismen für den deutschen elektronischen Reisepasses mitgearbeitet hat, hält kontaktbehaftete Smartcards für die bessere Lösung, weil diese mit dem gleichen Lesegerät ausgelesen werden könnten.

Der RFID-Einsatz werde bei Reisepässen deshalb wohl nicht die erhoffte Erleichterung in der Handhabung - etwa durch eine schnellere Datenverarbeitung - bringen, weil sich zwei Systeme mit einem ePass beschäftigen müssten, urteilte Straub jüngst auf einer Fachtagung über SmartCards und RFID-Systeme in Darmstadt.

Literatur

[1] www.epass.de

[2] Risiko Reisepass?, Schutz der biometrischen Daten im RF-Chip, Dr. Dennis Kügler, c't 5/2005, S. 84 (pmz)