![[Fotos: Giesecke & Devrient, LKA SH, Montage: <kes>]](05-2-006-0.jpg)
Konsequenzen der Pass-Biometrie Konsequenzen der Pass-BiometrieDie Reisepässe der Europäischen Union enthalten demnächst Fingerabdrücke und Fotos ihrer Besitzer in digitaler Form. Hintergrund ist eine Ende vergangenen Jahres verabschiedete EU-Verordnung über Normen für Sicherheitsmerkmale und biometrische Daten in Reisedokumenten, die Anfang 2005 in Kraft getreten ist. Nachdem die EU-Kommission im Februar auch die technische Umsetzung geregelt hat, haben die Mitgliedstaaten nun 18 Monate Zeit, um das Merkmal "Gesichtsfelderkennung" einzuführen; für Fingerabdrücke gilt eine dreijährige Übergangsfrist. In Deutschland ist eine entsprechende Änderung des Passgesetzes für den Sommer geplant; erste Biometrie-Pässe mit digitalisiertem Foto sollen hierzulande bereits im Herbst verfügbar sein.
Neben den unmittelbaren Auswirkungen auf Grenzkontrollen und die Sicherheit der Reisedokumente selbst, stellt sich die Frage, welche Konsequenzen der bislang wohl größte Einsatz von (computergestützter) Biometrie für die IT-Sicherheit im Allgemeinen haben wird: Erhöht die Aufnahme biometrischer Merkmale in Reisepässe zukünftig die Akzeptanz dieser Technologie insgesamt oder sorgt sie womöglich für weitere Vorbehalte? Wenn zudem jedermann Fingerabdruckdaten in einem maschinenlesbaren Dokument "mit sich herumträgt", hat das nicht auch Folgen für die Sicherheit und Eignung von Fingerprints in Zutritts- und Zugriffskontrolle? Die <kes> hat hierzu Ministerien, Datenschützer, Sicherheitsanbieter, Verbände und Berater um ihre Einschätzung gebeten.
Das Bundesministerium des Innern (BMI) geht davon aus, dass der neue biometriegestützte Reisepass "vor dem Hintergrund der getroffenen Datenschutzregelungen und technischen Sicherungsmaßnahmen in der Bevölkerung eine breite Akzeptanz finden wird. Mit der Biometrie ist eine neue Sicherheitstechnologie entstanden, die erhebliche Sicherheitsgewinne, aber auch vielfältige zusätzliche Serviceleistungen für die Bürgerinnen und Bürger ermöglichen wird." Maßgeblich für die Akzeptanz sei hierbei die Berücksichtigung aller datenschutzrechtlichen sowie sicherheitstechnischen Aspekte. Das BMI verweist hier auf eine Reihe getroffener Maßnahmen:
Als ungenügend beurteilt die Vorarbeiten hingegen Dr. Thilo Weichert, der Datenschutzbeauftragte des Landes Schleswig-Holstein (LfD SH): "Die Einführung von Biometrie bei Reisepässen ist ein Großversuch mit der gesamten europäischen Bevölkerung, ohne dass die Chancen und Risiken bisher ausreichend diskutiert worden sind. Dies kann die Methode als sinnvolles Authentifizierungsverfahren diskreditieren. Ärgerlich ist zudem die völlig undifferenzierte Gleichstellung von Biometrie mit Sicherheit, wie sie durch Politiker wie Innenminister Schily bei seiner Werbung für biometrische Ausweise erfolgt. Dies ist nicht nur falsch, sondern auch gefährlich, weil dadurch insbesondere auch die Datenschutzrisiken verdrängt werden."
Verteufeln will Weichert die Biometrie jedoch nicht – im Gegenteil befürwortet er eine zunehmend neutrale Einstellung zur Technik an sich: "In der Vergangenheit wurde Biometrie landläufig gleichgesetzt mit Fingerabdruck, und Fingerabdruck bedeutete Kriminalitätsbekämpfung. Diese 'Vorbelastung' der technischen Methode ist aber am Verschwinden. Und das ist auch gut so, weil damit das positive Potenzial von Biometrie ohne negativen Beigeschmack genutzt werden kann." Dennoch seien die Methoden für den Masseneinsatz noch nicht ausgereift.
Peter Schaar, der Bundesbeauftragte für den Datenschutz (BfD), hält den forcierten Start für eine Vielzahl von Bürgern ebenfalls für verfrüht: "Die erkennbare Unreife der Verfahren macht aus meiner Sicht ein Moratorium bei der Einführung von biometriegestützten Massenverfahren notwendig. Dies wäre sowohl im Sinne der Sicherheit als auch des Datenschutzes und würde zudem das Risiko von riesigen Fehlinvestitionen verringern. Eine offene und breit geführte Diskussion über die Anwendung biometrischer Verfahren halte ich für unverzichtbar."
Zudem könne sich ein Fehlstart als fatal für die Meinungsbildung erweisen: "Durch die Einführung von Biometrie in Ausweisdokumente werden viele Bürger erstmals in direkten Kontakt mit dieser Technologie kommen. Die Akzeptanz wird davon abhängen, wie die Vergabe und die biometriegestützten Kontrollen ausgestaltet werden. Hohe Fehlerraten – sowohl Falschakzeptanz als auch fehlerhafte Rückweisung – würden sich sicherlich negativ auswirken", so Schaar weiter.
Ähnliche Stolpersteine auf dem Weg zu mehr Biometrie-Akzeptanz sieht auch Ingo Österreicher, Teamleiter Zutrittskontrolle bei der Kaba Benzing GmbH: Ein teurerer Pass und womöglich längere Abfertigungszeiten bei der Ein- oder Ausreise wären kaum hilfreich. Österreicher geht persönlich nicht davon aus, dass sich die Akzeptanz am Anfang der Einführung verbessert. Weitere Hürden: "Beim Fingerprint-Verfahren kann circa 1 % der Bevölkerung nicht erfasst werden. Wie geht die Bundesregierung mit diesem Personenkreis um?", fragt Österreicher und betont zudem die Wichtigkeit einer guten Datenaufnahme (Finger oder Gesicht): "Nur mit einem qualitativ hochwertigen Enrollment-Ergebnis kann anschließend eine gute Authentifizierung durchgeführt werden." Seine Prognose für die Zukunft fällt jedoch besser aus: "Sind die Anfangsschwierigkeiten überwunden, wird die Biometrie zur Routine im täglichen Leben und daraus resultiert dann im Laufe der Zeit eine natürliche Akzeptanz. Diese Erfahrung haben wir in all unseren Biometrie-Projekten gemacht. Teilweise ist die anfängliche Skepsis sogar in eine gewisse Begeisterung umgeschlagen, weil von einem Ausweissystem zu einem ausweislosen System gewechselt wurde. Dies ist jedoch im Falle eines Reisepasses nicht gegeben."
Erfolgserlebnisse und "gefühlte" Sicherheit hält Dr. Steffen Frischat, Mitglied des Vorstands der secunet Security Networks AG, ebenfalls für bedeutsam: "Im Bereich privater Anwender wird voraussichtlich nach einer kurzen Gewöhnungszeit unter dem Eindruck schneller und sicherer Grenzkontrollen die Zustimmung hoch sein. Dies gilt besonders dann, wenn die Steigerung der Sicherheit durch den Einsatz biometrischer Merkmale auch dokumentiert und kommuniziert werden kann." Frischat folgert hieraus eine mittelfristige Erhöhung der Akzeptanz.
Einen "deutlichen Schub" für die Technologie erwartet Christian Zipfel, Geschäftsfeldleiter Pass mit Chip bei Giesecke & Devrient (G&D): "Die Erfahrungen durch den Einsatz von Biometrie im großen Stil werden die Zuverlässigkeit noch einmal deutlich verbessern, sodass wir in 2–3 Jahren den Durchbruch auch in vielen anderen Sicherheitsbereichen erwarten." Mit der Umsetzung zuverlässiger Verfahren und einem zunehmend gewohnten Umgang mit den entsprechenden Geräten werde der biometrische Vergleich letztlich zu einem "ganz normalen Prozess".
Auch der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien BITKOM prognostiziert eine erhöhte Akzeptanz und langfristig ein "Verschwinden von gesellschaftlichen Marktbarrieren wie Angst vor Überwachung, Technik- und Großprojektskepsis", wenn Bürger in ihrem täglichen Leben mit der für sie noch neuen Biometrie in Berührung kommen. Außerdem haben die Großprojekte der Bundesregierung zur Folge, dass die gesamte Branche höhere Stückzahlen umsetzt, was geringere Stückkosten sowie eine höhere Qualität der Produkte – zum Beispiel bei der Anwenderfreundlichkeit – bedinge, da den Unternehmen ein höheres Budget zur Verfügung steht.
Können Unberechtigte Fingerabdruckdaten und digitalisierte Fotos in Reisepässen ausspähen und für Angriffe auf Sicherheitssysteme einsetzen, die beispielsweise im Unternehmensumfeld arbeiten? Naheliegenderweise vertraut das Bundesministerium des Innern auf seine Vorsorge und erwartet mit Blick auf die eingesetzten technischen Sicherungsmaßnahmen "keine Auswirkungen auf den Einsatz der eingesetzten biometrischen Daten in Authentifizierungssystemen".
Auch der BITKOM sieht die Schutzmaßnahmen als wirksam an: "Die Daten in europäischen Reisepässen sind gegen Abhörangriffe unter anderem durch Verschlüsselung, gesicherte Identifikationsverfahren zwischen Karte und Kartenleser sowie ganzheitliche Sicherheitskonzepte geschützt. Maßnahmen seitens der Politik (bis hin zum BSI), Industrie sowie der internationalen Standardisierungsgremien und der Rahmengesetzgebung unterbinden ein Ausspähen beziehungsweise eine Nutzung der Daten durch Unberechtigte." Prinzipiell sei darauf zu achten, dass die aufgenommenen biometrischen Daten möglichst lokal gehalten werden und kein zentraler Abgleich möglich wird: "Auch aus diesen Gründen ist in Deutschland eine zentrale Biometriedatenbank verboten."
Mehrere Befragte wiesen zudem darauf hin, dass biometrische Merkmale auch ohne die neuen Pässe leicht erhältlich sind. Es sei davon auszugehen, dass es über "herkömmliche" Wege wesentlich leichter ist, an den Fingerabdruck einer speziellen Person zu kommen, als durch einen "Angriff" auf den Reisepass. Jeder von uns hinterlasse täglich Fingerabdrücke auf Türklinken, Gläsern und anderen Gegenständen. Christian Zipfel (G&D) betont zudem, dass sich bereits Sicherheitssysteme für den mittleren Schutzbedarf auch beim Vorliegen ausgespähter biometrischer Daten nicht aushebeln lassen, wenn sie beispielsweise zusätzlich eine Chipkarte oder PIN erfordern.
Ähnlich äußerte sich Henning Arendt von @bc – Arendt Business Consulting: "Fotos und Fingerprints sind bisher schon 'allgemein' verfügbar. Sicherheitssysteme sollten daher Verfahren einsetzen, die sich entsprechend schwer überwinden lassen." Als Beispiele für solche "harten" Verfahren nennt Arendt etwa 3D-Gesichtserkennung und hochauflösende Sensoren für Fingerabdruckverfahren.
Dr. Steffen Frischat (secunet) hält eine Ausspähen der biometrischen Daten aus einem deutschen Reisepass für sehr unwahrscheinlich: "Für die Speicherung von Fingerabdrücken auf den Pässen sind Verschlüsselung sowie erweiterte Authentisierung vorgesehen. Das Risiko der Ausspähung der Daten aus dem Ausweisdokument kann somit stark reduziert werden." Auch Frischat betont, dass selbst bei erfolgreichem Spähangriff mit nachmodellierten "Fingern" bei Nutzung sensitiver biometrischer Sensoren und "intelligenter Einbindung in eine angemessene prozessuale Umgebung" eine hinreichende Überwindungssicherheit gegeben bleibt.
Technische Schwierigkeiten für den Angreifer sieht Ingo Österreicher (Kaba Benzing): "Da die Speicherung der biometrischen Daten im Reisepass als Bilddaten erfolgen soll, ist eine Rückrechnung in so genannte Templates sehr schwierig. Biometrische Systeme arbeiten mit komprimierten Daten und der hierfür erforderliche Algorithmus ist nicht vereinheitlicht. Aus diesem Grund sehe ich keine große Gefahr, dass die Daten des Reisepasses zum Angriff auf biometrische Sicherheitssysteme verwendet werden können."
Dr. Manfred Bromba, Geschäftsführer der Bromba GmbH, hält es zwar prinzipiell für möglich, Replikate der Merkmale zu erstellen, die zumindest einfache Anwendungen nicht als nachgemacht erkennen würden, aber: "Da die biometrischen Referenzdaten im Pass verschlüsselt sind, ist ein Missbrauch erst dann möglich, wenn der Schlüssel in unberechtigte Hände fällt oder wenn die Passkontrollapplikation ungesichert wäre. Aber selbst im Fall der Schlüsselkompromittierung würden ja deshalb noch keine Listen im Internet auftauchen, aus denen man sich anhand eines Namens die Merkmalsdaten aussuchen könnte." Gelingt es, den Kreis der Berechtigten klein zu halten, sei somit kein negativer Einfluss auf die Sicherheit von Applikationen Dritter zu erwarten. "Leider schließt das aber auch die an sich sehr wünschenswerte Nutzung der biometrischen Passmerkmale in privaten Anwendungen aus, jedenfalls solange der Pass nur als Merkmalspeicher konzipiert ist", folgert Bromba.
Dr. Thilo Weichert (LfD SH) sieht die Nutzung der Biometrie durch Unternehmen nicht beeinträchtigt, solange in der Privatwirtschaft andere technische Verfahren als im hoheitlichen Bereich verwendet werden. Eine potenzielle Gefahr, dass Fingerabdruck- und Gesichtsdaten unberechtigt oder unkontrollierbar elektronisch gespeichert und missbraucht werden, bestehe aber dennoch: "Dies muss nicht durch kriminelle Aktivitäten, sondern kann auch durch autoritäre Staaten erfolgen, die zum Auslesen der Ausweisdaten berechtigt sind und diese zur Erstellung von Datenbanken nutzen, etwa zu Diskriminierungszwecken", erläutert Weichert. Die Bildung derartiger Datensammlungen lässt sich mit technischen Mitteln nicht verhindern.
Beim Schutz der RFID-Chips setzt auch Peter Schaar (BfD) ein Fragezeichen: "Dabei sollen bekanntlich Daten aus der (optischen) Lesezone des Passes verwendet werden, um den Sendevorgang im Chip auszulösen. Mir ist allerdings nicht klar, wie Personen oder Stellen, die (etwa über eine Passkopie) Kenntnis der Lesezone bekommen haben, damit an einem heimlichen Auslesen gehindert werden können." Für die Vertrauenswürdigkeit sei letztlich die tatsächliche Sicherheit des gesamten Systems entscheidend: "Ich bedaure es deshalb, dass die Normierung der biometrischen Merkmale in Ausweisdokumenten durch die ICAO Sicherheits- und Datenschutzaspekte nur geringfügig berücksichtigt. Besonders ärgerlich ist es in diesem Zusammenhang, dass die kompletten Rohdaten in den Ausweisen gespeichert werden sollen und nicht nur Templates", fasst Schaar seine Kritik zusammen.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#2, Seite 6
| 