Академический Документы
Профессиональный Документы
Культура Документы
Bildquelle: http://www.bmi.bund.de/Internet/Content/Common/Bilder/Themen/Informationsgesellschaft/DatenundFakten/
Biometrie__ePass,property=poster.jpg
Dieses Sonderheft der Datenschleuder ist dem Daß es jetzt noch keine zentrale Biometrie-
neuen deutschen ePass gewidmet. Wir betrach- Datenbank gibt, bleibt kein Dauerzustand. Spä-
ten die technischen und politischen Details in testens nach dem nächsten Anschlag in Euro-
großer Ausführlichkeit, die wir angesichts die- pa wird die Legitimation da sein. Wer regt sich
ses ersten großen Schrittes hin zur Totalüber- schon über eine klitzekleine Datenbank auf,
wachung der Bevölkerung für geboten halten. wenn es denn der Sicherheit dient... Beson-
ders widerlich an der Angelegenheit ist der
Unter dem Deckmäntelchen der Terrorismus- Zusammenhang mit der fehlgeschlagenen
abwehr werden mit dem ePass gänzlich ande- Privatisierung der Bundesdruckerei und den
re Ziele verfolgt. Mit genügender Terrorfurcht “Bedürfnissen” der deutschen Biometrie- und
wurde die öffentliche Meinung so weichge- Chipkartenindustrie. Um schnöden finanziellen
kocht, daß alles, wo “Sicherheit” draufsteht, Interessen des Staates und der Industrie nach-
kritiklos hingenommen wird. Selbst die DDR- zukommen, wird sehenden Auges ein sicher-
Staatssicherheit hatte sich nicht getraut, eine heits- und technologiepolitisches Desaster ers-
flächendeckende Erfassung der Fingerabdrücke ter Ordnung in Kauf genommen, das obendrein
ihrer Bevölkerung vorzunehmen. Das Innenmi- die Grundfesten der Informationellen Selbstbe-
nisterium unseres demokratischen Rechtsstaats stimmung massiv unterminiert.
hat da weniger Skrupel.
Der Hang zu technischen Großabenteuern ist
Demokratie ist eine feine Sache - wenn sich den deutschen Politikern offenbar nicht aus-
denn die Regierenden daran halten. Die Ent- zutreiben. Die Redaktion ist, wie immer, sehr
scheidung zur Totalerfassung wurde nicht interessiert an technologischen Forschungen
demokratisch legitimiert. Über den Umweg unserer geneigten Leser, an Dokumenten, die
ICAO und EU drückte das Innenministerium das gemeine Volk eigentlich nicht in die Finger
ein Verfahren durch, das im Deutschen Bun- bekommen sollte, und natürlich an Erfahrun-
destag bei rationaler Diskussion kaum durchge- gen mit dem neuen Reisepaß. Zuwendungen
kommen wäre. Eine sachliche Begründung zur bitte wie immer an <ds@ccc.de> oder im braunen
Notwendigkeit fand selbst auf direkte Nachfra- Umschlag an die bekannte Postadresse.
ge von Abgeordneten nicht statt. Es gibt einfach
keine guten Argumente dafür, nur sehr viele Auch auf dem 22. Chaos Communication Con-
dagegen. gress vom 27. bis zum 30. Dezember 2005 wird
das Vorgehen gegen den Biometrie-Wahn eine
Der Überwachungsstaat ist nicht mehr nur ein große Rolle spielen, dann schon mit ersten
Schreckgespenst der fernen Zukunft. Er steht Erfahrungen und Ergebnissen aus der “Hands
direkt vor der Tür. Unsere Politiker haben eine On”-Forschung mit den neuen Pässen
Vision von einer Zukunft, die den dramatischen
Ausbau von Repressions- und Überwachungs- <Die Redaktion Datenschleuder>
möglichkeiten erfordert. Biometrie in allen Aus-
weisdokumenten ist nur ein Puzzlestein dabei.
Der Reisepaß ist nur der erste Schritt, die Perso-
nalausweise werden folgen.
Das zusätzliche Sicherheitsmerkmal, also der nach den Ergebnissen einer jüngst veröffent-
kontaktlose Funk-Mikrochip, soll außerdem lichten BSI-Studie (sog. BioP-II-Studie) zu den
die Fälschung erschweren und die Feststellung Erkennungsleistungen biometrischer Systeme
der Echtheit des Dokuments gewährleisten. (siehe auch den entsprechenden Artikel in die-
Der Bundesinnenminister Otto Schily behaup- ser Ausgabe) zumindest in naher Zukunft als
tet, Fälschungen von Pässen würden mit der ausgeschlossen gelten. Jörg Radek, ebenso wie
Speicherung biometrischer Daten “unmöglich die Pressestelle des BMI, betont, daß die Tech-
gemacht oder mindestens erschwert”. Daß die nik stets zusätzlich eingesetzt, eine Kontrolle
Bundespolizei (früher BGS), der Paßhersteller der Reisenden nach den Schengen-Standards
Bundesdruckerei wie auch das BSI bereits den jedoch weiterhin erfolgen wird. Von einer Effek-
bisherigen deutschen Paß als hochsicher ein- tivierung kann also keine Rede sein, die Viel-
stufen, wird gefl issentlich verschwiegen. Nach fl ieger und die Urlauber erwartet vielmehr ein
Angaben von Jörg Radek, Bundesvorstand der erhöhter Zeitaufwand.
Gewerkschaft der Polizei, sind Totalfälschun-
gen hierzulande eine seltene Ausnahme; sol- Zudem sind die biometrischen Verfahren noch
che in einer guten Qualität, die nicht schon von derart fehlerbehaftet, daß zu erwarten ist, daß
Grenzbeamten-Azubis erkannt werden, schlicht viele Paßbesitzer von den Geräten an den Gren-
nicht vorhanden. Der Gipfel des Widersinns ist zen fälschlich zurückgewiesen werden. Genau-
aber die Tatsache, daß der ePass vollständig gül- eres zu den aufgetretenen Unzulänglichkeiten
tig bleibt, wenn der Funk-Chip den Geist auf- der vier in der BSI-Studie getesteten biometri-
gibt. schen Systemen kann auf über 170 Seiten nach-
gelesen werden. Zu anderen schwerwiegenden
Die computergestützte biometrische Identifi ka- Problemen wie der Überwindungssicherheit
tion von Personen soll weiterhin zur Effektivie- der Verfahren findet der geneigte Leser der Stu-
rung der Grenzkontrollen dienen und somit für die jedoch keine Angaben. Eine Lebenderken-
eine Erleichterung des Reiseverkehrs mit dem nung etwa ist in den getesteten Verfahren ent-
entsprechenden Zeitgewinn für die Reisenden weder nicht implementiert oder wurde für die
und für die Bundespolizei sorgen. [1] Dies kann Testdauer deaktiviert, um die Erkennungsleis-
tungen zu verbessern. Ebenso waren die Kosten licht deutlich. Die Interpretation der Ergebnis-
der Systeme nach wie vor kein Thema. So rei- se unterlag offensichtlich einer politische Ein-
hen sich die ungelösten Schwierigkeiten mit der flußnahme, die eine unabhängige Beurteilung
übereilt eingeführten Technik aneinander. der Erkennungsleistungen verhinderte. Die
konkrete Datensammlung der Studie bleibt wei-
Wichtige Fragen danach, ob die für die Signa- ter unveröffentlicht. Die vom BSI ermittelten
tur und Authentisierung verwendeten krypto- Werte im niedrigen Prozentbereich erscheinen
graphischen Algorithmen zehn Jahre lang die auf den ersten Blick nicht problematisch, rech-
Integrität der Daten auf dem Chip garantieren net man diese aber auf die Gesamtbevölkerung
können, geraten so in den Hintergrund. Auch Deutschlands oder Europas hoch, erkennt man
die Frage nach der Ausgestaltung der benötig- schnell, daß es sich hier um mehrere Millionen
ten Public Key Infrastruktur (PKI) für die Zer- Problemfälle handelt.
tifi zierung der internationalen Lesegeräte ist
noch immer ungelöst. Die technische Spezifi ka- Und die Personen werden nicht nur einmal
tion wird erst für den Dezember 2005 erwartet. betroffen sein, sondern bei jeder Paßkontrol-
(Siehe dazu auch den Artikel zum Annex G der le erneut die Rückweisung durch die biometri-
ICAO-Spezifi kation in dieser Ausgabe.) schen Geräte erleben müssen. Die damit jeweils
verbundenen Extrakontrollen dürften klar gegen
Die traurige Wahrheit den Gleichheitsgrundsatz, verankert im Grund-
gesetz, verstoßen.
Es muß deutlich ausgesprochen werden: Die
Biometrie in Pässen löst keine Probleme. Wie Folgen für alle Paßbesitzer
aus der BioP-II-Studie hervorgeht, an der weni-
ger als 700 regelmäßig aktive Probanden teil- Im vielzitierten Volkszählungsurteil des Bun-
nahmen, ist die Technik bei weitem noch nicht desverfassungsgerichtes von 1984 wurde fest-
einsatzbereit. So werden auf absehbare Zeit die gestellt, daß jeder Bürger über die Preisgabe
ePässe nicht zur biometrischen Authentifi kati- und Verwendung seiner personenbezogenen
on verwendet. Daten selbst bestimmen darf. Ob die Abnah-
me biometrischer Merkmale und deren durch
Die ebenfalls vom BSI zuvor durchgeführte Stu- den Paßbesitzer nicht mehr kontrollierba-
die BioP I [2], die sich mit der Verwendung der re Speicherung in Datenbanken rund um die
automatischen Gesichtserkennung im Grenz- Welt diesem Urteil zuwiderläuft, ist unter Juris-
verkehr beschäftigte, ermittelte beispielswei- ten fraglich. Wünschenswert wäre ein bürger-
se Falschrückweisungsraten (FRR) von 24 bzw. freundliches Urteil des Bundesverfassungsge-
52 Prozent (bei Falschakzeptanzraten von 0,002 richt zur Frage der ePässe. Als Einzelperson
bzw. 0,005 Prozent). Das bedeutet, daß jede ist eine Klage gegen die Einführung der ePäs-
vierte bzw. sogar jede zweite Person bei einer se jedoch erst dann möglich, wenn man direkt
Grenzkontrolle fälschlicherweise zurückge- betroffen ist. Man muß sich erst durch die nati-
wiesen würde. Bei den Fingerabdrücken sah es onalen Instanzen klagen, bevor ein Urteil des
nicht besser aus. So konnten bei ca. zwei Pro- Bundesverfassungsgericht oder des europäi-
zent der Bevölkerung gar keine Abdrücke abge- schen Gerichtshof erwartet werden kann. Ein
nommen werden, da sie keine ausreichend aus- beträchtlich langer Zeitraum ginge ins Land,
geprägten Merkmale besaßen. [3] ehe entschieden würde. Die biometrische Tech-
nik wird dann längst alltäglich und unter erheb-
Die neue BioP-II-Studie läßt die Gesichts-, Fin- lichen Kosten eingeführt worden sein.
gerabdruck- und Iriserkennungssysteme wie-
derum nicht gut aussehen. Besonders bei [1] http://www.heise.de/newsticker/meldung/60149
der Gesichtserkennung wird erneut die star- [2] http://www.bsi.de/literat/studien/biop/index.htm
ke Abhängigkeit der Erkennungsleistungen [3] http://www.tab.fzk.de/de/projekt/zusammenfassung/
von Umwelteinflüssen wie dem Umgebungs- ab93.pdf
Wenn ihr euch für den ePass entscheidet, gibt es lität wird das aber sicherlich nicht der Fall sein.
hier ein paar Hinweise zum sicheren Umgang Der Präsident des Centralverbandes Deutscher
und für Spaß am Gerät. Wie ihr in diesem Heft Berufsfotografen, Hans Starosta, wirkt jeden-
schon gelesen habt oder noch lesen werdet, gibt falls bei seinem Vortrag auf einer Informations-
es ab dem 1. November diesen Jahres eine neue veranstaltung der Bundesdruckerei noch reich-
Generation des deutschen Passes. Er beinhaltet, lich unvorbereitet. Auf Nachfragen reagierte er
neben den bisher schon vorhandenen Daten und mit Schulterzucken. Und selbst wenn die Foto-
Sicherheitsmerkmalen, zusätzlich einen RFID- graphen es wissen, ist nicht davon auszugehen,
Chip, auf dem der Inhalt der Maschinenlesba- daß sie sich an jedes Detail halten werden, dafür
ren Zone (MRZ) und ein digitales Foto gespei- sind die Vorgaben einfach zu ungenau.
chert werden.
Aber es kostet euch ein Lächeln, ihn mit euren
Das Frontalfoto neuen Kenntnissen über Gesichtserkennung
etwas aufzuklären. Dieses Lächeln spart ihr
Das Foto ist dafür ausgelegt, von einer automa- euch aber bitte beim Shooting, die Software ist
tischen Gesichtsbilderkennung verwendet zu noch nicht so ganz ausgereift.
werden. Daher wird es nicht, wie bisher üblich,
im Halbprofi l im Paß erscheinen, sondern in Übrigens, Geld sparen am
der Frontalansicht. Deshalb nun einige Hinwei- Foto autom ate n i s t
se, was ihr beachten müßt, wenn ihr zum Pho- keine gute Idee. Die
tographen geht. Schminken solltet ihr dringend Fotos aus den Auto-
unterlassen, starke Lidstriche oder das Nachzie- maten entsprechen
hen der Augenbrauen verwirrt die Software und allein von der Grund-
könnte euch fälschliche Rückweisungen an der qualität der Kameras
Grenze bescheren. Eure Persönlichkeit kommt kaum den Vorgaben
auch ohne Farbe sicher gut zur Geltung. für die automatische
Gesichtserkennung.
Auch Piercings oder Tätowierungen im Gesicht Nac h neuesten
sollten gut überlegt sein, denn 10 Jahre sind eine Rechercheergebnis-
lange Zeit. Man möchte schließlich auch in vie- sen wurden zumin-
len Monaten noch erkannt werden. Frisuren mit dest einige der Auto-
vielen ins Gesicht hängenden Haaren, beson- maten aber schon mit
ders in der Stirn, sind out, zumindest wenn ihr den aktuellen Mus-
gern um den Globus reisen wollt. tertafeln ausgestattet.
Für Spaß in der Kabi-
Zwar sollten solche Hinweise inzwischen alle ne ist also auf jeden Fall
Photographen mitbekommen haben, in der Rea- gesorgt.
Und auch auf mehr oder weniger Spaß mit gründen bisher nur schleppend. Dafür ließ
den Grenzbeamten kann man sich einstellen, man eine Software schreiben, welche die Qua-
wenn man die sowieso kaum funktionieren- lität der abgegebenen Paßbilder überprüfen soll.
de Gesichtserkennung zusätzlich mit mani- Natürlich dauert es einige Zeit, bis alle Melde-
pulierten Bildern beglückt. Mit bloßem Auge ämter damit ausgestattet sein werden. Aus ano-
kaum sichtbare Veränderungen des Augenab- nymen Quellen ist auch leider schon bekannt,
stands oder der Nasenposition werden mit gro- daß diese derzeit noch weit von ihrer optimalen
ßer Sicherheit zum Nichterkennen führen. Das Funktionsfähigkeit entfernt ist. Sie fi ndet teil-
ist natürlich nur was für die Hartgesottenen weise nicht einmal die Augen in den Bildern,
unter euch, die normalerweise viel Zeit beim was eigentlich nur der erste Schritt zur Erken-
Verreisen haben. Zwar ist es nicht erlaubt, Bil- nung ist. Aber das wird sicher noch besser in
der in digitaler Form abzugeben, aber daß man Version 1.0.
heutzutage Paßbilder auch zuhause ausdrucken
kann, scheint nicht bekannt zu sein. Lustig wär Der RFID-Chip
auch, wenn ihr mal versucht, mit ausgedruck-
tem Foto und sogar mit einem Foto auf dem Trotz des stolzen Betrages von 59 Euro, den
Handy die biometrischen Systeme an der Gren- jeder bei der Ausstellung eines ePasses bezah-
ze zu überlisten. len muß, bleibt der Paß selbst weiterhin Eigen-
tum der Bundesrepublik Deutschland. Deshalb
Gesichtserkennungstechnisch kaum auswert- darf man ihn natürlich nicht absichtlich kaputt
bare Bilder erzielt man durch das Tragen einer machen. Was man also nicht machen darf, wer-
Brille. In der BioP-II-Studie des BSI beispiels- den wir sicherheitshalber mal auflisten:
weise trugen über 90 Prozent der fälschlicher-
weise erkannten Personen eine Brille mit dunk- Wer den Paß nach dem versehentlichen Mitwa-
lem Rand. Tja, die Algorithmen suchen sich schen in die Mikrowelle legen will, dem raten
eben sehr markante Punkte des Gesichts. Ein wir zur Vorsicht. Ein ungut aussehendes Brand-
schöner Bart tut es übrigens auch. loch könnte die Folge sein. Aber auch Leucht-
stoffröhrentester und elektrische Schweißgerä-
Allgemein ist anzunehmen, daß die ungenü- te arbeiten auf Basis von 13,56 MHz - hier kann
gende Information der Bevölkerung zu mas- man die in den Chip eingetragene Leistung
siven Spannungen auf den Meldeämtern füh- durch den Abstand zum Gerät sehr gut steuern.
ren wird. Also, bereitet euch auf etwas Streß Daher sollte der Chip kaputt gehen, ohne Spu-
vor, wenn ihr zum Beantragen geht. Es kann ren zu hinterlassen. Natürlich sollte man sowas
davon ausgegangen werden, daß alte Paßfotos vermeiden! Obwohl, der Paß bliebe ja weiterhin
schon ab dem 20. Oktober von den Angestell- gültig. Damit könnte man wahrscheinlich auch
ten zurückgewiesen werden, sollten diese schon mehrere Pässe, die sich um das Gerät herum
von der Neuerung erfahren und eine Schulung befinden, gleichzeitig zerstören. Also bitte
erhalten haben. Auch die dringend besondere Vorsicht walten lassen.
nötige Fortbildung
läuft wahrschein- Und wenn solch ein Gerät durch Zufall an
lich aus Geld- Grenzübergängen oder in den Meldeämtern
steht (da wo
die Antrag-
s t e l le r d ie
D at e n au f
i h rem Pa ß
überprüfen
können), wür-
den die Stö-
rungen den
Auslesevor-
gang unmög- ren mög-
lich machen. Und das will ja wirklich lich sein könnte. Aktiv hieße, daß
niemand. der Angreifer Energie erzeugt,
um den Chip zu aktivieren, ihn
Eine andere unbedingt zu vermeidende Mög- also selbst anspricht. Bis zu einer
lichkeit ist das häufi ge Knicken der Paßdecke Entfernung von 10 Metern ist dies möglich. Also
(die fälscherlicherweise immer als “Deckel” empfiehlt es sich, ab und an die Verhaltenswei-
bezeichnet wird). Die Stelle, an welcher der sen der Personen auf der anderen Straßensei-
Chip mit der Antenne verbunden wird, ist sehr te zu beachten. Passives Abhören bedeutet, daß
empfi ndlich und geht wahrscheinlich schon der Angreifer die offizielle Kommunikation zwi-
nach ein paar Biegungen kaputt. Also lieber gar schen dem Paß und dem Lesegerät (zum Bei-
nicht berühren. Selbst wenn man den Paß nur spiel an der Grenze) mithört. Dieses ist bis zu
normal mit sich führt, dürfte die Lebensdauer 30 Metern und unter Laborbedingungen sogar
unter 10 Jahren liegen, daher ist eine vorsichtige schon bis zu 50 Metern möglich. Es sollten also
Handhabung dringend anzuraten. auch die Personenkraftwagen, die vor dem Flug-
hafen warten, beobachtet werden.
Man kann sich nun die Fragen stellen: Was pas-
siert, wenn man einen Paß mit kaputtem Chip Natürlich hat das BSI vorgesorgt. Um das Ausle-
umtauschen will? Machen die das? Muß man sen der biometrischen Daten zu verhindern, gibt
das dann extra bezahlen? Wie oft kann man das es kryptographische Sicherungen. Für die digi-
denn machen? Für diese Fragen empfehlen wir talen Gesichtsbilder und alle Daten der maschi-
die Hotline beim Service-Center des BSI: 01805- nenlesbaren Zone (MRZ) genügt die sogenann-
274-300 (8-17 Uhr für 12 Cent pro Minute). te Basic Access Control. Diese ist keineswegs
sicher und kann gebrochen werden. (Siehe auch
Man braucht den Paß aber nicht kaputt zu den Artikel zum Annex G der ICAO-Spezifi ka-
machen, wenn man befürchtet, jemand will tion in dieser Ausgabe.) Sollte ein Angreifer die
ungefragt an die biometrischen Daten ran. Ein- verschlüsselten Daten erhalten haben, kann er
faches Mittel um das Auslesen zu verhindern, sich zuhause in Ruhe an die Brute-Force-Ent-
ist schlichte Alufolie. Dabei muß man diese schlüsselung machen. Hilfreich wäre, wenn
meist nicht mal komplett um das Dokument der Angreifer die Daten der MRZ in Kopie besä-
wickeln, eine Lage in das Paßbuch zu legen, ße. Dazu muß er nur einmal kurz den Paß in
sollte genügen. Für Verwirrung beim Lesege- die Hand bekommen. Man denke an die Paß-
rät sorgt auch das Einbringen von zusätzlichen kopie bei der Hotelanmeldung im Ausland oder
Chips in den Lesebereich. Deshalb sind sie übri- die Anmeldung für eine Karte der Fußball-WM
gens auch davon abgerückt, die Visa auf einem 2006.
separaten RFID-Chip auszustellen.
Vielleicht sollte man doch überlegen, ob Mikro-
Warum sollte man sich aber mit Alufolie vor welle und Alufolie gegen diese Unterwande-
dem Auslesen schützen sollten? Der Grund ist, rung der Informationellen Selbstbestimmung
daß unberechtigtes aktives und passives Abhö- zu erwägen wären...
Offenkundig nutzte der scheidende Bundesin- zeptanz), zweitens die Abweisung einer geprüf-
nenminister Otto Schily die Gelegenheit, im ten Person, obwohl das gespeicherte Merkmal
Schatten der Anschläge der letzten vier Jahre zu dieser Person gehört (Falschrückweisung).
vorschnell eine Überwachungstechnologie ein- Beide Kategorien von Fehlern bedingen anei-
zuführen, die noch nicht einmal richtig funkti- nander und sind unakzeptabel, sobald sie
oniert. (Siehe dazu den Artikel zur BioP-II-Stu- gehäuft vorkommen. Fehler der ersten Katego-
die in dieser Ausgabe.) rie führen den angeblichen Sicherheitsgewinn
ad absurdum, die Fehler der zweiten Kategorie
Die biometrische Technologie kann in eini- stellen die betreffenden Personen unter unbe-
gen Jahren serienreif sein, doch dann könnte gründeten Verdacht. Für diesen Verdacht ist
sich die politische Landschaft bereits geändert es unerheblich, ob er nun 25, 10 oder 5 Prozent
haben. Vielleicht wird Osama bin Laden dann der Menschen betrifft. Für sie wird eine ange-
geschnappt sein. Vielleicht wird die Hysterie kündigte “verschärfte Kontrolle”, wie immer die
um den Terrorismus nicht mehr so frisch in den auch aussehen mag, nötig. Das ist für die Betrof-
Köpfen der Menschen sein. Vielleicht würden fenen erstens ungerecht, zweitens zeitaufwen-
gar biometrische Ausweise, eingeführt mit dem dig und drittens recht unangenehm, denn für
Argument der “Sicherheit”, auf Widerstand sto- einmal fälschlich zurückgewiesene Paßbesit-
ßen. Auch gegenwärtig scheint die Akzeptanz zer ist die Wahrscheinlichkeit hoch, daß sie von
begrenzt, schließlich mußte Schily sein Lieb- nun an öfter betroffen sein werden.
lingsprojekt über den Umweg des EU-Minister-
rats auf den Weg bringen und mit Rechtsverord- Sinnvoll gegen Terrorismus?
nungen am Bundestag vorbei umsetzen, da ihm
Vertrauen und Unterstützung der rot-grünen Was bringt nun der Einsatz biometrischer Aus-
Bundestagsfraktionen fehlten. Das ganze Vor- weispapiere im Kampf gegen den Terrorismus?
gehen ist nur ein weiterer Beleg für die schlei- Kurz gesagt: nichts. Es handelt sich vielmehr
chende Entmündigung der nationalen Par- um ein Sicherheitsplacebo, mit dem Aktivität
lamente durch die undemokratische EU. Die suggeriert wird. Die neuen Dokumente sollen
Bedenken und Einwände des EU-Parlamentes angeblich fälschungssicherer sein als bisherige
waren bereits zuvor per Erpressung aus dem und die Benutzung echter Papiere durch jeman-
Weg geräumt worden. den anderes als den Eigentümer verhindern.
Den ersten Punkt kann man getrost als schlech-
Die innewohnenden Probleme der biometri- ten Scherz verbuchen. Wie weithin bekannt,
schen Systeme lassen sich in zwei Kategorien zählen die deutschen Ausweispapiere heute
unterteilen; erstens die Verifi zierung vom rea- bereits zu den fälschungssichersten Dokumen-
len Menschen mit dem gespeichertem Merkmal, ten der Welt. In den letzten Jahren gab es nur
obwohl diese nicht übereinstimmen (Falschak- wenige Fälschungsversuche, und die waren alle-
samt reichlich erfolglos. Das Bundesinnenmi- und vieles mehr wäre gesamtgesellschaftlich
nisterium behauptet jedoch, es gäbe ein großes eine sinnvollere Investition als die Verschwen-
Gefälle innerhalb der EU, was die Fälschungs- dung für nicht funktionierende biometrische
sicherheit angeht. Das ist wahr, auch hinläng- Pässe oder Ausweise.
lich bekannt. Die Frage aber, warum dann nicht
einfach alle EU-Staaten den jetzigen deutschen Sollte die Technologie eines Tages doch funk-
Standard übernehmen, bleibt unbeantwortet. tionieren, drohen uns noch größere Schwie-
Wäre ja auch ein schönes Geschäft für die pro- rigkeiten. Biometrie und RFID bieten mannig-
tegierte Bundesdruckerei. Auch die Aussage faltige Möglichkeiten der Überwachung von
Schilys, daß der “21. Attentäter des 11. Septem- Menschen. Beides wird nun Schritt für Schritt
ber” monatelang mit einem gefälschten franzö- eingeführt. Erst das digitale Gesichtsbild, dann
sischen Paß durch Europa gereist sei, rechtfer- die Fingerabdrücke, erst im Reisepaß, dann im
tigt wohl kaum die Einführung biometrischer Personalausweis - die klassische Salami-Taktik.
Pässe. Der Kriminelle hatte nämlich schlicht
einen Meldebeamten bestochen und sich einen Gefahren für Freiheit und Demokratie
Paß ausstellen lassen. Warum Biometrie dies
in Zukunft verhindern soll, kann auch Schily Die RFID-Chips sind nicht umsonst auch als
nicht erklären. “Schnüffelchips” bekannt. Mit der entsprechen-
den Infrastruktur an Lesegeräten, etwa in jeder
Der Test auf Übereinstimmung zwischen Tür, in jeder Straßenlaterne oder unter Gehweg-
Paßinhaber und Paßbenutzer ist etwas inter- platten, kann man die Bewegungen eines Men-
essanter. Hierbei unterstellt man dem Inhaber schen, der einen solchen Chip bei sich trägt,
eines EU-Ausweisdokumentes, daß er seinen mühelos verfolgen und archivieren. Beliebige
Paß an einen Doppelgänger, der beispielsweise Orwellsche Szenarien kann man sich vorstel-
gesucht wird oder kein EU-Staatsbürger ist, wei- len. Ob die kryptographischen Sicherungen die
tergeben könnte, der damit umherreisen würde. Gefahr, die in den RFID-Chips steckt, dauerhaft
Dies zu unterbinden, könnte illegale Einrei- eindämmen kann, darf bezweifelt werden.
sen verhindern. Hätte es jedoch die Anschläge
in den USA, in Madrid oder in London verhin- Neben der Gefahr durch die Schnüffelchips
dert? Sicher nicht, da die Täter nicht polizeilich birgt auch der Einsatz biometrischer Merkmale
gesucht wurden, legal einreisten und folglich enorme Risiken. Durch die Interventionen des
ihre echten Pässe benutzen konnten, biome- EU-Parlaments konnte gerade noch verhindert
trisch oder nicht. Das Argument, die neuen werden, daß alle biometrischen Daten in einer
Dokumente seien ein Werkzeug gegen den Ter- zentralen Datei gespeichert werden. Dies hatten
rorismus, ist somit in jeder Hinsicht unhaltbar. die Innenminister der EU in der ihnen eigenen
dreisten Selbstverständlichkeit gefordert. Doch
Gute Geldanlage bei knapper Kasse? auch ohne eine zentrale Referenzdatei besteht
die Möglichkeit, daß staatliche “Bedarfsträger”
Ein weiterer Aspekt sind die enormen finanziel- die biometrischen Daten jedes Menschen einse-
len Kosten der ganzen Maßnahme. Dabei findet hen können, wenn diese dezentral in den Mel-
eine gigantische Fehlallokation von Ressour- destellen gespeichert und beispielsweise über
cen statt. Denn die Milliarden für die Herstel- eine Suchmaschine abgefragt werden. Das wäre
lung der Pässe, die Herstellung und Wartung praktisch dasselbe wie eine zentrale Daten-
der Lesegeräte, die Schulung des Grenzperso- sammlung, es klingt nur nicht so nach Drittem
nals etc. fehlen an anderer Stelle. Die Bereitstel- Reich und Zentralkartei.
lung fi nanzieller Mittel für die Integration von
Menschen mit Migrationshintergrund, die Kon- Ein digitalisiertes Gesichtsbild kann mit der
trolle an Grenzen auf Waffen und Sprengstoffe, Gesichtserkennungssoftware von Überwa-
die Ausrüstung und das Training von Rettungs- chungskameras, die sich in Europa wie eine
kräften, die Resozialisierung von Straffälligen Plage ausbreiten, kombiniert werden. Bisher
werden Menschen vielerorts einfach anonym mente reiht sich ein in eine Folge von Verletzun-
gefilmt, man könnte mit den Kameras jedoch gen dieses Grundrechtes. Die sich immer weiter
an das Gesicht der Person auch heranzoomen, ausdehnende Videoüberwachung, die automa-
es mit biometrischen Daten abgleichen und die tische Kennzeichenerfassung, der große Lau-
Person identifizieren. Hiermit ließen sich die schangriff, die Jahr für Jahr steigenden Telefon-
Bewegungen von Menschen überwachen oder überwachungsmaßnahmen, die Speicherung
die Teilnehmer einer Demonstration identifizie- von genetischen Informationen in digitaler
ren. Daß der einmal bekanntgewordene Einsatz Form, die Auf hebung des Bankgeheimnisses,
solcher Techniken Menschen davon abhalten die noch immer diskutierte Vorratsdatenspei-
könnte, noch an Demonstrationen teilzuneh- cherung von Telefon- und Internetdaten; die
men, wäre ein Sündenfall der Demokratie. Liste auf dem Weg zum Überwachungsstaat
ließe sich noch fortsetzen. Das alles wird im
Neben dem Bild kommt ab 2007 die Aufnahme Namen der “Sicherheit” durchgeführt, und viele
des Fingerabdrucks hinzu. Plötzlich müssen Menschen akzeptieren das aufgrund der gestie-
gesetzestreue Menschen ihre Fingerabdrücke genen Angst vor Terrorismus oder Verbrechen.
abgeben wie gewöhnliche Kriminelle. Da jeder Wohlgemerkt, aus bloßer Angst, denn tatsäch-
Mensch seinen Fingerabdruck an vielen Stellen lich sinkt die Kriminalität real seit Jahren.
hinterläßt, öffnet dies der Kreativität von Krimi-
nellen, falsche Fährten am Tatort zu legen, Tür Durch immer mehr Überwachung in Kombi-
und Tor. So könnten aber auch zufällig die Fin- nation mit den Möglichkeiten durch biometri-
gerabdrücke eines Menschen an einem Gegen- sche Erfassung wird ein Datennetz gesponnen,
stand sein, der über irgendwelche Umwege am das die freie Entfaltung der Menschen nachhal-
Schauplatz eines Mordes oder einer Entfüh- tig verändert und zunehmend verhindert. Dies
rung landet. Obgleich diese Person nichts mit stellt eine Gefahr für die ohnehin durch die
der Tat zu tun hat, wird sie plötzlich zum Ver- Schleichwege über EU-Verordnungen gefährde-
dächtigen. te Demokratie dar. Wer sich immerzu überwacht
weiß, der wird alles tun, um nicht aufzufallen.
Der ePass wird das Recht auf Informationelle Die Demokratie lebt jedoch vom Mitmachen
Selbstbestimmung noch weiter aushöhlen. Die und von der Auseinandersetzung.
Einführung der biometrischen Ausweisdoku-
Schlagbaum am Bahnhof
Winsen an der Luhe
Der Begriff Biometrie setzt sich aus den griechi- FRR (False Rejection Rate): Die Falschrückwei-
schen Worten bio (das Leben) und metron (das sungsrate gibt die Wahrscheinlichkeit an, mit
Maß) zusammen und bedeutet “die Vermes- der der rechtmäßige Besitzer der biometrischen
sung des Lebens”. Heutzutage bezeichnet der Referenzdaten fälschlicherweise zurückgewie-
Begriff die Erfassung oder Erkennung von Per- sen wird.
sonen anhand von spezifischen Körpermerkma-
len. FAR (False Acception Rate): Die Falschakzep-
tanzrate gibt die Wahrscheinlichkeit an, mit der
EAC (Extended Access Control): ein fremdes Individuum bei der Präsentation
seines biometrischen Merkmals fälschlicher-
Die EAC ist ein kryptographisches Verfahren weise als der rechtmäßige Eigentümer der Refe-
zur zusätzlichen Verschlüsselung der Kommu- renzdaten erkannt wird.
nikation für sensitivere Daten des ePasses, wie
z.B. die Fingerabdruck- oder Irisbilder. Grund-
lage ist RSA/DSA mit elliptischen Kurven und
Hashes von 224 Bit (in Deutschland). Dabei
muß einzelnen Staaten der Zugriff auf die
Nun muß die Attrappe nur noch in Fingerab- Der Chaos Computer Club wünscht viel Spaß
druckgröße ausgeschnitten und mit ein wenig mit ihrer neuen Identität.
Kleber (am unbedenklichsten: Maskenkleber,
aber nicht in jedem Haushalt zu finden) fixiert
werden.
Electronic passports that are deployed arond the world (including Germany) will be based
on RFID technology. To understand its implication, knowledge about those technologies
is essential.
Technically speaking, ePassports are ICAO com- Data on the ePassport is organized according
pliant MRTD’s. ICAO is an international body to a specification called LDS (logical data struc-
that already specifies the current OCR readab- ture). LDS specifies a number of DG (Data
le lines on travel documents. The ICAO MRTD Groups), as well as the encoding of the data. The
specifications are publicly available from the most important data groups are:
ICAO homepage.
• DG1 (mandatory) contains the same data as
From a technical point of view, ePassports are printed on the cover page like name, date of
ISO 14443-1,2,3,4 compliant contactless smart birth, expiration date, document number, nati-
cards. On top of 14443-4 transport layer protocol, onality, etc.
APDU’s according to ISO 7816-4 are exchanged. • DG2 (mandatory) contains the JPEG2000
For those readers who are not familiar with encoded facial image and corresponding biome-
smart card technology: ISO 7816-4 tries to spe- tric data
cify interindustry commands for interchange • DG3 (optional) contains biometric fingerprint
with ID cards. data - not in German passports
• DG4 (optional) contains biometric iris data -
The ISO 7816-4 smartcard provides a fi lesys- not in German passports
tem based interface to the information stored on
the ePassport. The application software issues ICAO requires data in DG1 and DG2 to be stored
high-level commands such as “SELECT FILE”, unencrypted, since it only resembles the data
“READ BINARY” to the
MRTD. The ICAO recom-
mends a minimum memo-
ry size of 32kBytes. Howe-
ver, it recommends as much
memory as possible, and
indicates 512kBytes as a tar-
get. As of now, the MRTD
chip has to operate in a write
once, read many fashion.
After the document is issu-
ed, it must not be allowed
to change any data. Future
standards may include the
possibility to store electro-
nic visa data. Passport-Sample (14443-B) and CM5121 Reader PCB
that is human-readable on the printed pages of the EF.SOD signature(s). This assures that the
the passport. Additional biometric data such content of the data groups is signed by the issu-
as iris and/or fi ngerprint information may be ing country. However, passive authentication
stored in an encrypted format. As of now, this is does not prevent copying of a MRTD.
up to the issuing country. Any form of encryp-
tion is outside the ICAO MRTD specifications Active Authentication (optional)
and will thus not work interoperable on an inter- Active authentication can be employed to verify
national level. that the chip has not been substituted. It is
based on a challenge response protocol. The
All biometric information stored within LDS MRTD chip contains an active authentication
is further encoded according to CBEFF (Com- public key pair (KPrAA and KPuAA). A hash
mon Biometric Exchange File Format, NISTIR representation of KPuAA is stored in EF.SOD
6529-A), a common fi le format that facilita- and therefore authenticated by the issuing
tes exchange and interoperablity of biometric country certifiate. KPrAA is stored in on-chip
data. Each data group is cryptographically sig- secure memory.
ned. The signature is stored in EF.SOD (Securi-
ty Object Data). Basic Access Control (optional, implemented
in Geman ePassports)
Security Features Basic access control denies access to the MRTD
Randomization of unique serial number chip until the inspection system proves that it
All ISO14443 compatible RFID chips disclose a is authorized to access the chip. This proof of
unique serial number during the anticollision authorization is done by deriving a pair of keys
procedure. This poses the potential threat of (Kmac and Kenc) from the OCR-read machine
pseudonymised tracking. The German BSI readable zone (MRZ). BAC can therefore pre-
therefore requires this randomization of the vent unauthorized “harvesting” of passport
serial number. data without being noticed by the passport hol-
der. BAC also mandates that any communica-
Passive Authentication (mandatory) tion following-up to BAC has to be encrypted
Passive authentication performs verification of via ISO 7816-7/8 secure messaging (SM). This
The PKI hierarchy is obviously nothing that ECDSA 160 224 256
directly affects the passport itself. However, it
is integral to the security of the system, so this Security threats
paper provides a quick overview: Small Keyspace of basic access control
The entropy of the MRZ data used to derive
All keys are issued in the familiar form of X.509 Kenc and Kmac for basic access control is very
certificates. Each issuing state operates its own limited. The nine digit document number is
“Country Singing CA”. There is no supernati- concatenated with the date of birth and the
onal Root CA. This is neccessary, since every expiration date of the document.
country decides on its own if it recognizes a par-
ticular other country. This also means that every Since ICAO MRTD specifications recommend
reader (“inspection system”) has to store the ePassports not to be valid for more than five
Document Signer Certificate of every recogni- years, the expiration date can only be one out of
zed issuing country. (365*5 = 1325) values.
The individual ePassports are signed using The date of birth can realistically assume only
Document Signer Keys. The Document Signer values between 18 and 90 years old (365*72 =
Keys are in turn signed by the Country Signing 26280). Also, in case of a specific person, the
CA. Document Signer keys have limited lifeti- range of the DOB can often be estimated to a
me, and it is recommended that issuing coun- certain range.
tries delete the private key after the last passport
for that key has been issued. Issuing coun- Document Numbers are issued sequentially in
tries have to provide certificate revocation lists some countries, and can therefore be reduced to
(CRLs) at least every 90 days, but not more often certain ranges. In Germany, the first four digits
than every 48 hours. specify the issuing department, and the follo-
wing five digits increment sequentially.
The ICAO operates a “public key directory”
which will be set up as X.500 directory, updates Grandmaster Chess Attack
are performed over LDAP. All communication
with the PKD is SSL authenticated. The PKD The Active Authentication mechanism is meant
stores Document Signer Certificates, but not to prevemt chip substitution (e.g. carbon copy-
Country signing CA certificates. ICAO veri- ing). However, it cannot prevent a “grandmaster
fies signatures of all incoming Certificates and chess attack”, where the inspection system talks
CRL’s before making them available. The PKD to a “proxy” chip that would temporarily com-
has public read access on the internet. Coun- municate with the original MRTD.
try signing CA certificates will be provided bila-
terally between countries.
Auf die 170-seitige Studie BioP II, die vom BSI beauftragt wurde, um die Praxistauglich-
keit biometrischer Systeme zu testen, lohnt ein etwas längerer Blick. Wir haben ihn gewagt
und wollen euch die Ergebnisse nicht vorenthalten.
Vor dem Gesetzemachen sollte die Sachkunde jahr 2005 Teilergebnisse auf Symposien und
kommen. So wäre es zumindest idealerweise. Informationsveranstaltungen herum.
Biometrie ist ein recht neues und unerforsch-
tes Feld. Also, dachte sich der Gesetzgeber, wäre Das BSI, eine deutsche Behörde mit allen Vor-
es eine gute Idee, vor der massenweisen Ein- und Nachteilen, publizierte mit mehrmonatiger
führung von biometrischen Merkmalen in Per- Verspätung dann das Ergebnis mit dem lapida-
sonaldokumenten erstmal zu prüfen, ob das ren Hinweis, daß die politischen Gegebenhei-
Ganze überhaupt funktioniert. Da das Ergebnis ten die Zielsetzung der Studie leider überholt
der ersten Studie des Bundesamtes für Sicher- hätten. Nun ist aber das BSI eine nachgeord-
heit in der Informationstechnik (BSI) dazu nicht nete und damit weisungsgebundene Behörde
so ganz praxisnah war, wurde nunmehr ein grö- des Innenministeriums. Dies schlug sich dann
ßer angelegter Feldtest angesetzt, die BioP-II- auch deutlich in der Interpretation der Studi-
Studie. Durchgeführt von der Secunet Securi- enresultate und der Fülle der nicht publizier-
ty Networks AG, dem Dienstleister für (fast) alle ten Details nieder. Das Amt stellte die Version
Fälle des BSI. 1.8 der Studie für einige Stunden online, zog sie
dann wieder zurück und publizierte Tage später
Nun interessiert sich aber der dazumalige die Version 2.0.
Innenminister, der allseits beliebte und bekann-
te Otto Schily, nicht allzusehr für Fakten. Daß Durch diesen Zufall ist ein gewisser Einblick
die ganze hochgelobte Biometrie nicht funkti- in den Prozeß der Bearbeitung möglich. Leider
onieren könnte, war keine in Frage kommen- gehen die daraus zu gewinnenden Erkenntnis-
de Möglichkeit. Es ging ja schließlich um die se nicht über die Bestätigung des Verdachts der
Sicherheit des Abendlandes vor den Gefahren dramatischen politischen Einflußnahme hin-
des internationalen Terrors und die Förderung aus. Eine Version 1.0 oder so mit allen Anhän-
der darniederliegenden deutschen Industrie. gen wäre sehr interessant (falls die jemand
Also drückten seine Ministerialen unter Schilys rumliegen hat: email an ds@ccc.de oder im vor-
Ägide über den Umweg EU und ICAO am Bun- geschriebenen neutralen braunen Umschlag an
destag vorbei durch, daß Fingerabdrücke und die bekannte Adresse aus dem Impressum).
Gesichtserkennung in die Reisepässe kommen.
Wohlgemerkt, bevor die Ergebnisse der BioP-II- Hier nun eine Auswertung der Studie unter
Studie offi ziell vorlagen, die doch “Hilfestel- Berücksichtigung beider Versionen. Der
lung für die Art und Weise der Einführung der geneigten Leser kann die Studie als Referenz
neuen ePässe geben” sollten. Nicht, daß Schily hinzuziehen, da wir für einige Anmerkun-
die Ergebnisse der Studie nicht schon gekannt gen die Seitenzahlen der Version 2.0 angeben:
hat; Mitarbeiter des BSI zeigten bereits ab Früh- http://www.bsi.de/literat/studien/biop/biopabschluss2.pdf
Da war ihnen wohl die null Prozent FTE bei fenträger konnten schlicht die Positionierungs-
der Gesichtserkennung selbst unheimlich. Das markierungen ohne Brille nicht sehen).
unrealistische Enrolment-Setup (speziell von
Experten angefertigte Bilder, Nachbearbeitung In der Studie klingt das dann so: Bei SD Indus-
mit Adobe Photoshop) dürfte aber der eigentli- tries “traten Positionierungsschwierigkeiten
che Grund für die unrealistisch niedrige FTE- gehäuft auf, da Teilnehmer gleichzeitig den
Rate sein. richtigen Abstand zum Gerät und den Fokus-
punkt (Positionierung des Auges in der Mitte
Doch nicht nur das, denn die Messung der FTE des Spiegels der Sensoreinheit) finden mußten.
in der Studie schließt Fehler, die durch falsche Teilnehmer mußten sich oft ein Auge zuhal-
Bedienung der Systeme beim Enrolment ent- ten, um zu fokussieren. Die Kopplung mit einer
standen sind, explizit aus. Sie werden gar nicht trägen akustischen Rückmeldung bzgl. des
als Fehlversuch ausgewiesen. In der Praxis ist Abstands führte zu ‘Schaukel’-Bewegungen.
daher natürlich eine höhere FTE zu erwarten. Außerdem wurde von einer Reihe von Teilneh-
Hinzu kommt, daß die Ergebnisse der FTE mern die Sensoreinheit nicht auf die der Kör-
nochmals dadurch geschönt wurden, daß ein pergröße angemessene Position eingestellt.
Re-Enrolment vorgenommen wurde. Man mach- Viele größere Teilnehmer bückten sich, anstatt
te kurzen Prozeß und erfaßte bis zu 5 Prozent die Einstellung zu verändern.” Wenn man das
der Teilnehmer einfach nochmals. Die Begrün- mal vor seinem inneren Auge ablaufen läßt, so
dung ist so einfach, wie sie vermutlich gelo- scheint es an der Grenze in Zukunft auch lusti-
gen ist: “Systemfehler”. Behauptet wird, daß ge Momente zu geben.
während des ersten Enrolments teilweise keine
Templates in der Datenbank gespeichert wor- Personen, die kleiner als 1,55 m waren, konn-
den wären. Dies erscheint ziemlich zweifelhaft, ten gar nicht oder nur unter großen Mühen am
da jeweils nach einem Enrolment immer eine Test teilnehmen. Warum auch, der Bürger kann
Testverifikation stattfindet. Diese kann ohne schließlich seine Körpergröße oder Sehstärke
ein Template aber nicht funktioniert haben. Es den Geräten anpassen, und nicht umgekehrt.
bleibt also der Verdacht, daß die in der Einfüh-
rungsphase besonders häufig zurückgewiese- Überwindungssicherheit
nen Personen re-enrolt wurden, um die Ergeb-
nisse der FTE zu verbessern. Günstig ist dabei Der geneigte Hacker fragt sich bei biometri-
auch der Mitnahmeeffekt - die Falschrückwei- schen Systemen natürlich als erstes: Kommt
sungsrate sinkt ebenfalls. Praktisch bedeute- man da durch? So ging es offenbar auch den
te dieses Vorgehen jedoch, daß 5 Prozent der Studienbetreuern beim BSI und den Durchfüh-
Personen jeweils einen neuen Paß bekommen rern bei Secunet. In den Kriterien zur Bewer-
würden. Der geneigte Leser darf sich die auf die tung der getesten Systeme heißt es denn auch:
Gesamtbevölkerung hochgerechneten Zahlen “Fake-Resistenz: Biometrische Systeme müs-
selbst überlegen. sen insbesondere bei unüberwachtem Betrieb
eine ausreichende Resistenz gegen Kopien des
Weitere Probleme zeigten sich bei der Aufnah- betreffenden Merkmals aufweisen. In Abhän-
me der biometrischen Merkmale in die Daten- gigkeit des verwendeten Verfahrens kann aber
banken. Die Positionierung vor dem Iriserken- auch bei überwachtem Betrieb eine ausrei-
nungssystem erwies sich für die Probanden chende Fake-Resistenz erforderlich sein. Des-
als außerordentliche Schwierigkeit. Besonders halb stellt die Fake-Resistenz ein wichtiges
bei den Brillenträgern (42 Prozent der Popula- Bewertungskriterium dar.” Deswegen fließt die-
tion), die ihre Brille zur Präsentation der Iris ses Kriterium dann auch mit atemberauben-
abnehmen mußten, zeigte das System von SD den 4 Prozent in die Gewichtung der Gesamt-
Industries während des Enrolments sowie im bewertung ein. Eine höhere Gewichtung hätte
gesamten Feldtest seine Schwächen. Die Benut- wohl sonst die Auswertung nachhaltig versaut.
zerführung war einfach untauglich (die Sehhil- Die Ergebnisse der Versuche waren offenbar
ähnlich erschreckend wie jene aus den (bereits tet. Die Erläuterung auf Seite 158 gibt die Note 4
hinlänglich in der Datenschleuder publizierten) wie folgt an: “Überwindung mit mittlerem Auf-
Forschungen des CCC. wand erfolgreich (mit Zugriff auf das Merkmal
eines Berechtigten)”. Um das etwas besser ein-
“Bei den hier erfolgten Überwindungsversu- ordnen zu können, hier der Klartext der nächst-
chen handelt es sich ganz überwiegend um besseren Note 3: “Überwindung mit mittlerem
Labortests, die nur vorläufige Aussagen zulas- Aufwand sowie Spezialwissen und/oder spezi-
sen. Auf eine detaillierte Darstellung wird in ellen Hilfsmitteln erfolgreich”.
diesem Bericht daher verzichtet.” So lautet der
peinlich dürre Kommentar zum Thema Über- Zu deutsch: eine Note 4 bedeutet, daß ohne Spe-
windungssicherheit in der Studie, in verschiede- zialwissen und spezielle Hilfsmittel eine Über-
nen Formulierungsvarianten. Daß die Systeme windung problemlos möglich ist. Das deckt sich
überwindungssicher sind, konnte also wieder- mit unseren Erkenntnissen, auch wenn das BSI
einmal nicht gezeigt werden. Der IT-Direktor vermutlich die in der Datenschleuder beschrie-
des BMI, Martin Schallbruch, merkte auf einer bene Vorgehensweise zum Nachbau eines Fin-
Informationsveranstaltung an, man wolle gerabdrucks als “Spezialwissen” sowie Holz-
schließlich den Fälschern keinen Vorschub leis- kaltleim, Digitalkamera und Sekundenkleber
ten. Warum deshalb aber nicht mal die Ergeb- als “spezielle Hilfsmittel” einstufen würde.
nisse der Überwindungssicherheitstests publi-
ziert werden, bleibt sein Geheimnis. Er wollte es Der Kommentar des Innenministeriums, daß
auch auf Nachfrage nicht lüften. Aufmerksames Details zur Überwindungssicherheit nicht
Lesen der Studie fördert jedoch ein paar Hin- publiziert würden, “um Fälschern keine Anlei-
�
weise zu Tage. tung zu geben”, ist also absolut wörtlich zu
nehmen. Die getesteten Fingerabdruck- und
�������
Die beiden Fingerabdrucksysteme und das Gesichtserkennungssysteme sind allesamt als
Gesichtserkennungssystem wurden in der so unsicher einzustufen, daß sogar nur moderat
�
Abschlußauswertung (Seite 161) in der Rubrik clevere Übeltäter kein Problem beim Überwin-
“Fake-Resistenz”
� jeweils mit der Note 4 bewer- den haben werden. Beide Fingerabdrucksyste-
� � � �� � � � � � �� � � � � � � �� � � � � �� � � � � � � �� � � ���
� � �� � � ��� � � � �� � � � �� � � � �� � � ��� � � � �� � � ��� �
� � ��� � � � �� ��� � �� � � ���� �� � � �� � ��
�� �� ����� ���� ����� ����� ����� ����� ����� ����� �����
� ������� ����� ���� ����� ����� ����� ����� ����� ����� �����
��� ����� �� � � � � � �
���������� ���������������� ���� � ���� � ���� � ����� � �����
������������ ���� � ���� � ���� � ���� � ����
���������������� ���� � ���� � ���� � ���� � ����
���������������������� ���� � ����� � ���� � ����� � ����
��������������������������������� ���� � ���� � ���� � ���� � ����
� �� � �� �� ��� ����� �
� ���������������� ���� � ���� � ���� � ���� � ����
���������� ���� � ���� � ���� � ���� � ����
������������� ���� � ���� � ���� � ���� � ����
� ���������� ���� � ���� � ���� � ���� � ����
�������������� ���� � ���� � ���� � ���� � ����
� � � � �� � �� � � � �
���������� ���� � ���� � ���� � ���� � ����
�������������� �������� ���� � ���� � ���� � ���� � ����
� �� � �� � ���
� ��������������� ���� � ���� � ���� ��� ����� ��� �����
� ������������� ���� � ���� � ���� � ���� � ����
� � � � �� ���
�������������� ���� � ���� � ���� � ���� � ����
��������������� ���� � ���� � ���� � ���� � ����
� � ��� ���� �� �� �� �� �� �� �� �� �� �
�����������������������������������
die datenschleuder. #87 / 2005 23
23
BSI ÜBERRASCHT: BIOMETRIE FUNKTIONIERT NICHT!
Die Masterreferenz zur Messung der Erken- die ermittelten Werte noch weiter verschönert
nungsleistungen blieb dennoch entgegen der haben. In der Studie wird hier von einer gewis-
Zielsetzung der Studie das jeweilige Systemtem- sen “Bereinigung” gesprochen. Zunächst gin-
plate des Herstellers. Die Gesichtserkennung gen keine Messungen in die FRR ein, die durch
von Cognitec in Testzyklus 2 ist hier die einzi- “signifikant variierte Testbedingungen” beein-
ge Ausnahme. Das Systemtemplate schneidet flußt worden waren. An den Grenzübergängen
natürlich gegenüber dem ICAO-Bild bei allen müßten demnach also recht homogene Bedin-
anderen Verfahren hinsichtlich der FRR besser gungen herrschen - eine reichlich praxisferne
ab. Es ist daher nicht schwer zu erraten, warum Annahme.
bei der Ermittlung der Erkennungsleistungen
vom eigentlich zu untersuchenden ICAO-Stan- Außerdem präsentierten viele Teilnehmer den
dard abgewichen wurde. Es ist offenbar jedes falschen Finger (5 bis 7 Prozent) oder das fal-
Mittel recht, die Ergebnisse zu verschönern. sche Auge (23 Prozent). Sicher ein Verhalten,
das auch in der Praxis oft vorkommen wird.
Dennoch ergab die Auswertung der Ergebnisse Dieses verschlechtert aber natürlich die Erken-
noch einiges erstaunliches: Bei allen Systemen nungsleistungen weiter. Also wurde die FRR-
wurde ein Teil der Wenignutzer einfach immer Ermittlung sowohl bei dem Fingerabdruck- als
zurückgewiesen. Bei der Iriserkennung betraf auch bei den Iriserkennungssystemen kurzer-
dies sogar über 50 Personen, bei denen die FRR hand auf Basis eines 1:2-Vergleiches vorgenom-
bei 100 Prozent lag. Diese Teilnehmer hatten men. Das heißt, der Vergleich des aktuell prä-
sicher wenig zu lachen. In der Studie wird daher sentierten Merkmals wurde mit dem primären
vermutet, daß besonders bei der Fingerabdruck- und dem sekundären Referenzmerkmal (bei-
und Iriserkennung das Training für die Merk- spielsweise das andere Auge) durchgeführt.
malspräsentation “schwieriger und langwieri- Dies senkt wie gewünscht die FRR, führt jedoch
ger” sein wird als für die Gesichtserkennung. gleichzeitig zu einer höheren Falschakzeptanz-
Bis zum Ende des achtwöchigen Testzyklus rate (False Acceptance Rate, FAR).
ist jedoch ein Sinken der FRR in allen Nutzer-
klassen zu beobachten. Das läßt doch hoffen. In die Auswertung gingen außerdem die Ergeb-
Offenbar auch die Macher der Studie, denn sie nisse der Startphase nicht mit ein. Im Testzyk-
behaupten bei der Gelegenheit, daß mit einer lus 1 war die Dauer dieses sogenannten Teach-
“erhöhten Kooperationsbereitschaft” sei- Ins immerhin sieben Tage. Die “signifikant
tens der Bürger sowie mit Gewöhnungseffek- schlechteren Ergebnisse” dieses Zeitraums
ten gerechnet werden kann. Der Reisende will wurden für das Ergebnis der FRR komplett weg-
schließlich schnell in sein Flugzeug und kann gelassen. Auch im zweiten Testzyklus wurden
sich also ruhig etwas anstrengen. wieder keine Ergebnisse von ganzen 5 Tagen
Teach-In in die FRR aufgenommen, obgleich die die Testresultate sind so desaströs, daß ohne
Testteilnehmer mit den Systemen ja bereits ver- einen echten und wirklich umfangreichen Feld-
traut waren und ihnen zusätzlich von Betreuern test ein Einsatz der Systeme unverantwortlich
stets “Hinweise und Hilfestellungen” angebo- erscheint.
ten wurden. Der zukünftige Paßbesitzer kann
in der Praxis keine derartigen Trainingsphasen Als Hot Fix ist in der neuesten Version des
erwarten, schon gar nicht, wenn er zu den ers- ICAO-Standards die Aufnahme von Templates
ten Testern im Realszenario gehört. Da winkt in die Daten auf dem RFID-Chip vorgesehen
dann eher die angekündigte “intensive Prü- (vorerst nur für den “nationalen oder bilatera-
fung” an der Grenze. len Einsatz”). Damit sollen die dürftigen Erken-
nungsleistungen bei den ICAO-Bildern umgan-
Weitere ungelöste Probleme, neben den schon gen werden. Für die Gesichtserkennung sollen
erwähnten Brillen, waren Bärte und Kontakt- beim Enrolment manuell diverse Klassifi kati-
linsen. Beispielsweise wurden Voll- oder Teil- onsdaten (Bart, hohe Stirn, Augenklappe usw.)
bartträger von der Cognitec-Software signifi - erfaßt werden, damit die Herausforderung für
kant besser erkannt. Da die Pässe ja 10 Jahre die Erkennungssysteme nicht gar zu sportlich
gelten werden, ist anzunehmen, daß die Abnah- ist. Damit ist dann aber die Behauptung, daß
me eines Bartes zu vermehrten Rückweisungen bis auf den Fingerabdruck nur Daten erfaßt
führen wird. Bei den Brillenträgern zeigte die werden, die ohnehin im Reisepaß vorhanden
Gesichtserkennung von Cognitec während des sind, hinfällig. Die systematische Erfassung
gesamten Tests sehr ausgeprägte Unzulänglich- derartiger Merkmale öffnet ein komplett neues
keiten. 97 Prozent der Personen, die unberech- Problemfeld für den Datenschutz, da somit eine
tigt verifi ziert wurden, trugen eine Brille. Die einfache Rasterung beispielsweise für Fahn-
Weiterentwicklung des Algorithmus brachte lei- dungszwecke möglich wird.
der auch keine Besserung, das Problem blieb
in gleichem Maße vorhanden und ist weiterhin Praxistauglichkeit
ungelöst.
Die Studienergebnisse hinsichtlich der Praxis-
In den Empfehlungen der Studie heißt es tauglichkeit der getesteten Systeme sprechen
schließlich, eine “gründliche Untersuchung eine klare Sprache. Eine Fülle von Detailproble-
der Funktionstüchtigkeit, der Erkennungsleis- men sorgte für Frust. Zumindest an dieser Stel-
tung und der Überwindungssicherheit” der le ist die Studie vergleichsweise ehrlich und gibt
Verfahren sei angeraten. Dem können wir uns den Herstellern deutliche Mängellisten mit, die
nur nachdrücklich anschließen. Die Aussage- schon sehr deutlich machen, welche Probleme
kraft der Ergebnisse der Studie ist begrenzt und
Eine Diskriminierung, gegen die man nichts Wenignutzer waren weniger als 500 Probanden.
machen kann - außer stets ein bißchen mehr Das BSI muß also statistisch aussagekräftige
Zeit einplanen. Beispielsweise bei der Finger- Daten wohl mit den unfreiwilligen Betatestern
abdruckerkennung ergeben sich Schwierigkei- an den Grenzübergängen sammeln.
ten bei Personengruppe wie Senioren oder Men-
schen, deren Fingerkuppen durch Arbeit oder Was kostet der Überwachungsstaat?
Hobby starker Abnutzung ausgesetzt sind.
Die Kosten der Biometrie-Einführüng werden
In dieser Hinsicht ist die Auswahl der Teil- vom Innenministerium in einer Weise vernied-
nehmer der Studie zwar der Verbesserung der licht, die stark an vorherige deutsche Technik-
Erkennungsleistungen förderlich, die Testper- desaster erinnert. Auf Anfrage antwortet das
sonen repräsentieren jedoch in keiner Weise die BMI, daß die notwendige Hardware im Rahmen
Gesamtbevölkerung. Das räumen die Macher von ohnehin anstehenden Ersatzbeschaffungen
der Studie auch ein. Zunächst waren 70 Pro- durchgeführt werde. Das schätzen wir als so
zent der Probanden männlich. Dagegen ist nicht haltbar ein.
im Grunde nichts zu sagen, wäre da nicht das
nicht unbedeutende Detail, daß Männer bei den Wie in der BioP-II-Studie klar dargelegt wird,
gestesteten Systemen in der Studie wie auch sind auch nur annähernd praxistaugliche Ergeb-
in vorangegangenen Tests durchweg bessere nisse bei der Gesichtserkennung nur zu erzie-
Erkennungsleistungen erzielten. Die unterre- len, wenn quasi Laborbedingungen am Grenzü-
präsentierten Frauen bewirken also eine weite- bergang geschaffen werden. Um gleichbleibende
re Beschönigung der Ergebnisse. Lichtverhältnisse und Hintergrundsituationen
zu erzeugen, müssen umfangreiche Umbau-
Schlimmer noch die Alterszusammensetzung: ten durchgeführt werden. Das Gesichtserken-
Die hinsichtlich der biometrischen Merkmale nungssystem erfordert einen schnellen Compu-
deutlich schlechter zu erfassenden Menschen ter, eine Kamera mit brauchbarer Qualität und
ab 60 Jahren tauchen in der Testgruppe kaum ein spezielles homogenes Beleuchtungssystem.
auf (lediglich ein Prozent), obwohl sie in der Schon der Ausfall einer der Ausleuchtungslam-
Gesamtbevölkerung einen Anteil von 30 Prozent pen würde den jeweiligen Grenzübergangs-
haben. Betrachtet man nun die einzelnen Nut- schalter außer Gefecht setzen.
zerklassen, kann man Zweifel bekommen, ob
noch von einem “Feldtest” gesprochen werden Auf der Enrolment-Seite finden sich in der Stu-
kann. Besonders die für die Praxis relevanten die auch diverse Merkwürdigkeiten. Die Fotos
für die Gesichtserken-
nung wurden aufwendig
von Experten des Bundes-
kriminalamtes (BKA) mit
einer eigens beschafften
digitalen Spiegelref lexka-
mera im Wert von etwa ein-
tausend Euro erstellt und
dann noch mit dem nicht
eben preisgünstigen Adobe
Photoshop nachbearbeitet.
Das ganze klingt so der-
maßen unrealistisch im
Praxisbezug, daß sich die
Frage stellt, warum die Not-
wendigkeit eines sol-
Das Diagramm zeigt die Altersstruktur der Testteilnehmer an der BioP2-Studie im Vergleich
zur Verteilung in der Gesamtbevölkerung Deutschlands. chen Vorgehens nicht
schon als Disqualifi kationskriterium ausreich- Wenn ca. 6000 Meldestellen im Schnitt mit je
te. Wenn man das Verfahren auf die Meldestel- vier Gerätesätzen für das Enrolment ausgestat-
len extrapoliert, kommen selbst bei Substitution tet werden, an den 419 Grenzübergangsstel-
der BKA-Experten durch den Fotografen an der len im Schnitt je 15 Erfassungssysteme aufge-
Ecke erhebliche Summen für Software-Lizen- stellt werden (konservative Annahme) und man
zen, Schulungen und Personalaufwand für die ca. 5000 Euro pro System ansetzt (ebenfalls
zusätzlichen Bearbeitungsschritte zusammen. äußerst konservativ), ergeben sich alleine für
Wenn jedes Bild nicht nur eingescannt, son- die Hardware Investitionskosten von mindes-
dern auch noch nachbearbeitet und (wie in der tens 150 Millionen Euro. Hinzu kommen War-
aktuellen ICAO-Spezifi kation vorgesehen) nach tungskosten, Ersatzbeschaffungen, Umbauten
verschiedenen Kriterien klassifiziert werden für die Gesichtserkennung und die Kompensa-
muß, wird es kaum ohne zusätzliches Personal, tion der längeren Abfertigungszeiten, zusätzli-
zusätzliche Computer usw. abgehen. ches Personal, Ausbildungskosten etc. pp. Die
Weiterentwicklung und die Anpassung der bio-
Die Übermittlung der Daten von den Meldestel- metrischen Systeme müssen ebenfalls in eine
len zur Bundesdruckerei soll mit Hilfe der für seriöse Kalkukation eingehen. Hier sollte auch
deutsche Regierungsverschlüsselung standar- der RF-Chip in Betracht gezogen werden, des-
disierten SINA-Boxen erfolgen (die rein zufällig sen Lebensdauer für zehn Jahre ohnehin frag-
die Firma Secunet herstellt, die auch die BioP-II- lich ist. Die geplante Ausweitung der biometri-
Studie durchgeführt hat). Inwieweit zusätzlich schen Technik auf den Personalausweis würde
zu den bisher in den Meldestellen vorhandenen zusätzlich auch die Ausstattung mit Geräten
SINA-Boxen neue beschafft werden müssen, ist für die Polizei berücksichtigen müssen. Alles in
derzeit noch unklar. allem war die Einführung der Autobahn-Maut
dagegen ein Schnäppchen.
Bei Einführung von Fingerabdrücken ist für
jede Meldestelle und jeden Grenzübergangs- Folgerichtig nehmen die Autoren der Studie
schalter ein schneller Computer mit zusätzli- auch Abstand davon, sich zu den Kosten zu
cher Sicherheitshardware (sicheres Speicher- äußern (welcher Beamte widerspricht schon
modul, SINA-Box für Certificate Updates etc.) gern Otto Schily). Wie selbstverständlich wird
für die Extended Access Control, kostenpfl ich- die marode Bundesdruckerei die Herstellung der
tigem Betriebssystem (freilich alles Windows neuen Pässe übernehmen. Der Rahmenvertrag,
2000 Professional) und weiterem Zubehör zu den die Bundesregierung alle drei Jahre verlän-
beschaffen. Hinzu kommen natürlich die Kos- gert, sichert dem vormals dem Bund gehören-
ten für den Fingerabdruck-Scanner. Der Ver- den Privatunternehmen den lukrativen Auftrag.
schleiß der Fingerabdruckscanner ist derzeit Eine EU-weite Ausschreibung des krisensiche-
unklar. Wie jeder Gegenstand, der nicht aus ren Geschäfts fand nicht statt. Trotz professio-
solidem Metall besteht und einige tausend Mal neller Produktpräsentation im eigens errich-
am Tag von Menschen angefaßt wird, dürfte teten Showroom der Bundesdruckerei werden
hier deutlicher Verschleiß anzunehmen sein. Fragen nach den Kosten für Hard- und Softwa-
In der Studie wird von einem Grauschleier auf re auch dort nicht beantwortet. Zu den Gesamt-
den Fingerabdruckbildern der Bundesdrucke- kosten der Einführung des ePasses wollte Schily
rei-Geräte nach 4 Monaten berichtet, und das, natürlich noch immer keine Angaben machen.
obwohl die Scanner mehrmals täglich gereinigt Die erhöhte Paßgebühr soll aber wenigstens die
wurden. Wir können also davon ausgehen, daß jährlichen Betriebskosten für die biometrische
die Scanner an den Flughäfen nur eine recht Erfassung bei der Neuausstellung decken. Die
begrenzte Haltbarkeitsdauer haben werden. einmaligen Kosten für die Geräte sollen 2006
Während der Studie wurden im Schnitt etwa im Haushalt der Bundespolizei enthalten sein.
15.000 Sensorbenutzungen pro System durch- Aber auch über deren Höhe schweigt sich Schi-
geführt, eine Zahl die an einem Flughafen in ly aus.
nur einigen Tagen zustandekommt.
on of Document Signer Certificates and CRLs. the attacker, the attacker communicates with
Those attacks cannot be prevented, it is there- another attacker, and the other attacker (tem-
fore RECOMMENDED that the Document Sig- porarily) gains access to the genuine chip. The
ner Certificate required to validate the Docu- inspection system is not able to notice that it has
ment Security Object is also included in the authenticated a remote chip instead of the pre-
Document Security Object itself. Receiving Sta- sented chip. This attack is called Grandmaster
tes SHOULD make use of a provided Document Chess Attack.
Signer Certificate.
G.3 Privacy Threats
To distribute CRLs bilaterally it is RECOMMEN- G.3.1 No Access Control
DED to establish multiple channels (e.g. inter-
net, phone, fax, mail, etc.) with other States and The use of proximity chips already minimi-
to confirm reception of received CRLs. zes privacy risks as reader devices have to be
very close to the chips, therefore skimming is
G.2 Cloning Threats not considered to be a serious threat. However
eavesdropping on an existing communication
Compared to paper based MRTDs copying the between a chip and a reader is possible in a lar-
signed data stored on the RF-Chip is easily pos- ger distance. States wishing to address this thre-
sible in general. States concerned about the pos- at SHOULD implement Basic Access Control.
sibility of having data of their citizens copied
to another chip SHOULD implement Active G.3.2 Basic Access Control
Authentication that prevents this to a certain
extent. The Basic Access Keys used to authenticate the
reader and to setup session keys to encrypt the
G.2.1 Passive Authentication communication between chip and reader are
generated from the 9 digit Document-Number,
Passive Authentication does not prevent copying the Date- of-Birth, and the Date-of-Expiry. Thus,
the data stored on the chip. As a consequence, the entropy of the keys is relatively low. For a 10
it is possible to substitute the chip of a MRTD year valid MRTD the entropy is 56 bits at maxi-
against a fake chip storing the data copied from mum. With additional knowledge (e.g. appro-
the chip of another MRTD. Receiving States ximate age of the bearer, or relations between
SHOULD verify that the data read from the chip Document-Number and Date-of-Expiry) the
indeed belongs to the presented MRTD. This entropy is lowered even more. Due to the rela-
can be done by comparing DG1 stored on the tively low entropy, in principle an attacker might
chip to the MRZ printed on the datapage of the record an encrypted session, calculate the Basic
MRTD. If DG1 and the MRZ compare and the Access Keys by Brute-Force from the authenti-
document security object is valid and the pre- cation, derive the session keys and decrypt the
sented MRTD has not been tampered with (is recorded session. However this still requires a
not counterfeited), then the MRTD and the data considerable effort compared to obtaining the
stored on the chip can be considered to be belon- data from other sources.
ging together.
G.3.3 Active Authentication (Data
G.2.2 Active Authentication Traces)
Active Authentication makes chip substitution In the challenge-response protocol used for
more difficult, but not impossible: The MRTD Active Authentication, the chip signs a bit string
presented by the attacker to the inspection sys- that has been chosen more or less randomly by
tem could be equipped with a special chip. This the inspection system. If a receiving State uses
chip works as proxy for a genuine chip located the current date, time, and location to generate
in a remote place: the chip communicates with this bit string in an unpredictable but verifiable
way (e.g. using secure hardware), a third party cal advances and the availability of non-standard
can be convinced afterwards that the signer was computing devices. Therefore, the recommen-
at a certain date and time at a certain location. dations for key lengths are mainly based on the
extrapolated computing power. States SHOULD
G.4 Cryptographic Threats review the key lengths for their own but also for
received MRTDs often for reasons mentioned
The recommended minimal key lengths have above.
been chosen so that breaking those keys requires
a certain (assumed) effort, independent of the Generating key pairs of a special form may
chosen signature algorithm: improve the overall performance of the signa-
ture algorithm, but may also be exploited for
Type of Key Level of Security cryptanalysis in the future. Therefore, such spe-
cial key pairs SHOULD be avoided.
Country Signing CA 128 bits
Document Signer 112 bits G.4.2 Hash Collisions
Active Authentication 80 bits While it is computationally infeasible to fi nd
another message that produces the same hash
value as a given message, it is considerably easier
G.2.1 Passive Authentication to find two message that produce the same hash
value. This is called the Birthday Paradoxon.
Passive Authentication does not prevent copying
the data stored on the chip. As a consequence, In general all messages to be signed are produ-
it is possible to substitute the chip of a MRTD ced by the Document Signer itself. Therefore,
against a fake chip storing the data copied from finding hash collisions does not help an attacker
the chip of another MRTD. Receiving States very much. However, if photographs provided by
SHOULD verify that the data read from the chip the applicant in digital form are accepted by the
indeed belongs to the presented MRTD. This Document Signer without additional randomi-
can be done by comparing DG1 stored on the zed modification, the following attack is possib-
chip to the MRZ printed on the datapage of the le:
MRTD. If DG1 and the MRZ compare and the
document security object is valid and the pre- • Two persons share their digital photos. Then
sented MRTD has not been tampered with (is they repeatedly fl ip a small number of bits at
not counterfeited), then the MRTD and the data randomly in each photo until two photos produ-
stored on the chip can be considered to be belon- ce the same hash value.
ging together.
• Both persons apply for a new MRTD using the
G.4.1 Mathematical advances and manipulated photo. Either person can now use
non-standard computing the MRTD of the other person provided that
it is possible to replace the digital photo in the
According to Moore’s Law computation power chip (e.g. by chip substitution).
doubles every 18 month. However, the security
of the signature algorithm is not only influenced The hash function SHA-1 only provides 80 bits
by computing power, advances in mathematics of security against hash collisions. Thus, it is
(cryptanalysis) and the availability of new non- considerably easier to find a hash collision than
standard computation methods (e.g. quantum to break the Document Signer Key which pro-
computers) also have to be taken into account. vides 112 bits of security. Therefore, whenever
hash collisions are of concern (e.g. as described
Due to the long validity periods of keys it is very above), it is RECOMMENDED not to use SHA-1
difficult to make predictions about mathemati- as hash function.
Eine Druckerei für Ausweise sollte eigentlich gewissen Anforderungen an Seriosität genü-
gen, am besten staatseigen sein oder doch wenigstens in soliden Händen. Die Bundesdru-
ckerei ist durch eine desaströse Privatisierung zu einem Objekt windiger Finanzjongleure
geworden und dümpelt nun in unklaren Besitzverhältnissen vor sich hin. Hier der Ver-
such eines Überblicks.
Seit ihrer Gründung 1879 als „Reichsdruckerei“ Der Kaufpreis von einer Milliarde Euro galt
befand sich die Behörde im Staatsbesitz. Nach- schon zum Kaufzeitpunkt als deutlich über-
dem sie 1945 mit „Staatsdruckerei“ und durch höht. Er wurde jedoch nicht vollständig bezahlt:
die Übernahme in die Bundesverwaltung 1951 Ein Anteil von 230 Millionen Euro stundete der
mit „Bundesdruckerei“ zwei Umbenennungen Bund für zehn Jahre, weitere ca. 450 Millio-
erfuhr, begann für sie nach der Wiedervereini- nen Euro gab
gung Deutschlands der Weg in die Privatwirt- die Hes-
schaft. sische
Landesbank (HeLaBa) als Darlehen. Tilgung Gesellschafter, Kreditgeber und der Bund auf
und Zinsaufwand für dieses Darlehen betragen einen Zahlungsverzicht geeinigt hatten.
jährlich 50 bis 75 Mio. Euro - Summen, die der
Konzern für mehrere Jahre nicht auf bringen September 2002 wurde für den symbolischen
konnte. Kaufpreis von einem Euro die authentos-Grup-
pe an zwei Zwischenerwerber übertragen: die
In der Folge wurden die Bundesdruckerei Berliner JVVG Neununddreißigste Vermögens-
GmbH, die Bundesdruckerei International Ser- verwaltungsgesellschaft (94 Prozent) und die
vices GmbH, die ORGA Kartensysteme GmbH, Dinos Vermögensverwaltung in Heidelberg
die Holographic Systems München GmbH, die (sechs Prozent).
Maurer Electronics GmbH, die D-Trust GmbH
und die INCO SP.Z.o.o. unter dem Dach der Die Gesellschaft sollte saniert und dann wie-
authentos GmbH zusammengefaßSteuert, die der verkauft werden. 300 der 1650 Arbeitsplät-
als Holding fungiert und ihren Sitz in der Berli- ze waren akut in Gefahr. Roland Berger erstellte
ner Zentrale der Bundesdruckerei in der Orani- ein Sanierungskonzept. Seit 2002 gab es einige
enstraße 91 hat. Bewegung in der Führungsebene der Bundes-
druckerei.
Im Februar 2001 erwarb die authentos-Grup-
pe das britische Unternehmen Security Prin- Die Anwaltssozietät Clifford Chance Pünder ist
ting and Systems Limited und stieg dadurch mit mittelbarer Mehrheitsgesellschafter der authen-
einer Jahresproduktion von 40 Millionen Päs- tos. Sie vertreten vermutlich die Interessen der
sen und Führerscheinen zum weltgrößten Her- Neununddreißigsten Vermögensverwaltungs-
steller dieser Dokumente auf. gesellschaft und damit die Verbindlichkeiten
gegenüber der Hessischen Landesbank und gel-
Im August 2002 wurde die Zahlungsunfähig- ten als Ansprechpartner für mögliche Kaufinte-
keit von authentos abgewendet, nachdem sich ressenten.
Vorsitzender der Geschäftsführung der authen- GmbH. Dies war im Jahr 2002 abgeschlossen;
tos GmbH und der Bundesdruckerei GmbH war in der Folge reduzierte sich das Auftragsvolu-
bis 10. Februar 2004 Dr. Ulrich Wöhr. Seither men der Bundesdruckerei auf die Produktion
sind der ehemalige Infi neon-Manager Ulrich von weniger als 750 Millionen nachzudrucken-
Hamann und Klaus-Dieter Langen Geschäfts- den Scheinen. Da sich an der Produktion der
führer der authentos GmbH. Diese sind zusam- Reisepässe kaum etwas ändern wird, können
men mit Joachim Eilert ebenfalls Geschäftsfüh- sich Bundesdruckerei und Komponentenher-
rer der Bundesdruckerei GmbH. steller die Mehrkosten aufteilen und dadurch
die Konzernbilanzen aufwerten.
Aufsichtsratsvorsitzender der authentos-Grup-
pe war Prof. Manfred Lahnstein, Mitglied der Interessant am Verhältnis zur Giesecke & Dev-
Trilateralen Kommission und ehemaliges Auf- rient GmbH ist neben der traditionellen Auf-
sichtsratsmitglied der Bertelsmann AG. Mittler- teilung der Druckaufträge auch die personelle
weile ist Heinz-Günter Gondert Aufsichtsrats- Dimension. So wurde Matthias Merx von GDM
vorsitzender. Er ist Rechtsanwalt und Partner am 01.10.2004 Leiter der Produktion der Bun-
bei der Frankfurter Anwaltssozietät Clifford desdruckerei, am Ende desselben Monats stieß
Chance sowie Steuerberater und Wirtschafts- überraschend Willi Berchtold zur - der bis dahin
prüfer bei der Frankfurter PVW GmbH. Vorsitzender der Geschäftsführung von Giese-
cke & Devrient war - und am 01.01.2005 wurde
Weitere Aufsichtsratsmitglieder sind, neben den GDM-Vertriebschef Jörg Baumgartl neuer Lei-
Arbeitnehmervertretern, der Rechtsanwalt Die- ter Technik, Marketing, Consult und Entwick-
ter Ostheimer, der Unternehmensberater Dirk lung bei der Bundesdruckerei.
Pfeil, der Rechtsanwalt Dr. Wolfgang Scholz
(ebenfalls Clifford Chance), Ministerialrat Dr. Ebenfalls brisant: auch beim sogenannten “Gol-
Wolf-Dieter Schmidberger (Bundesministeri- den Reader Tool”, dem Programm zum Ausle-
um der Finanzen) sowie Dr. Norbert Schraad sen der Tags bei der Grenzkontrolle, wirkten
von der Landesbank Hessen-Thüringen (Stand: beide Unternehmen mit (neben der Secunet
Juni 2005). Security Networks AG, dem Bundeskriminal-
amt und der cv cryptovision GmbH).
Die Bundesdruckerei kann die zusätzlichen
Einnahmen aus der drastischen Verteuerung Ein Fall für das Bundeskartellamt?
des Reisepasses gut gebrauchen. Ein Drittel der
europaweit 14 Milliarden Euro-Scheine wur-
den in der Bundesrepublik Deutschland
gedruckt. Davon wurden 2,3 Milli-
arden Scheine bei der
Bundesdruckerei
GmbH produ-
ziert, die ande-
re Hälfte bei
der Münch-
ner D r u-
ckerei Gie-
secke &
Devrient
2. Frage: Antwort:
Welchen Ländern außerhalb Europas wird Um Ihre Annahmen richtigzustellen, weise ich
Deutschland die erweiterten biometrischen auf folgendes hin: Bei der Gebührenbemessung
Daten anvertrauen und was genau sind die Kri- wurde darauf geachtet, daß sich Deutschland
terien für einen Lesezugriff auf die Rohdaten? auch künftig im unteren Bereich vergleichba-
rer europäischer sowie internationaler Länder
Antwort: befi ndet. Sämtliche technischen Anforderun-
gen auf europäischer und internationaler Ebene,
Die gespeicherten Daten zum Gesichtsbild kön- Datenschutz und -sicherheit, wurden und wer-
nen weltweit unter den in Antwort 1) genannten den selbstverständlich berücksichtigt.
Voraussetzungen gelesen werden. Die Daten
der Fingerabdrücke sind durch ein zusätzliches Die Gebühren setzen sich zusammen aus den
kryptographisches Protokoll geschützt. Welche Produktionskosten des Passes (Paßbuch, die
Länder außerhalb der EU auf die Daten der Fin- Herstellung und Integration der Chips sowie
gerabdrücke zugreifen, kann deshalb vom aus- das Speichern der biometrischen Merkmale auf
stellenden Staat geregelt werden. dem Chip), den Kosten der zur Erfassung und
Qualitätssicherung der biometrischen Merkma-
Kommentar der Redaktion: le notwendigen Ausstattung in den Paßbehör-
den (QS-Sicherung der Lichtbilder, Hard- und
Welche Länder außerhalb der EU Zugriff auf Software zur Erfassung und QS der Fingerab-
die Daten bekommen, war aber grade die Frage. druckdaten, ePass-Lesegeräte), den Schulungs-
Offensichtlich gibt es hier noch keine Antwor- kosten für die Mitarbeiter in den Paßbehörden
ten. Alptraum der Datenschützer dürfte ein sowie der Verwaltungsgebühr.
Zugriff auf die Daten durch Länder wie z.B.
die USA sein, wo die gesetzlichen Regelungen Die Lesegeräte an den 419 Grenzübergangs-
oder die übliche Praxis stark von den EU-Stan- stellen werden im Rahmen von Ersatzbeschaf-
dards abweichen. Außerhalb der EU sind die fungen erneuert, die unabhängig von der Ein-
Datenschutzbestimmungen meist weit weni- führung des ePass sind. Diese Geräte verfügen
ger restriktiv als hierzulande. Biometrischen auch über eine Funktion zum Auslesen von
Datensammlungen ohne jegliche zeitliche digital gespeicherten Fotographien auf RF-
Beschränkungen stünde in vielen dieser Länder Chips. Bei der Ausstattung mit Lesegeräten ent-
nichts entgegen. stehen keine zusätzliche Kosten.
Daß die Lesegeräte an den Grenzen im Rahmen a) Die Ergebnisse der Labor- und Feldtests der
von “Ersatzbeschaffungen” erneuert werden, Studie BioP II werden vom BSI veröffentlicht
würde entweder bedeuten, daß auf eine auto- (www.bsi.bund.de).
matisierte Gesichtsbild- und Fingerabdruckve-
rifi kation verzichtet wird. Vielleicht wird aber b) und c) Die Aufnahme biometrischer Merk-
absichtlich zu den wirklich anfallenden Kosten male in Reisepässen dient dazu, die sichere
geschwiegen wird. Die anfallenden Ersatzbe- Identifizierung von Personen durch das Grenz-
schaffungskosten werden wohl im Etat der Bun- kontrollpersonal zu “unterstützen”. Davon unab-
despolizei versteckt. hängig kontrolliert die Bundespolizei stets nach
Schengenstandard.
Die bisherigen Lesegeräte für die MRZ in Reise-
dokumenten kosten je ca. 1500 Euro. Ein auto- Kommentar der Redaktion:
matisches Gesichtsbild- und Fingerabdrucksys-
tem dürfte pro Gerät ein Vielfaches kosten. Der Die BioP-II-Studie wurde zwischenzeitlich tat-
TAB-Bericht spricht übrigens von Gesamtkos- sächlich veröffentlicht - und nach kürzester Zeit
ten in Höhe von einmalig 670 Millionen Euro wieder von der BSI-Webseite entfernt. Einige
und jährlich etwa 610 Millionen Euro an laufen- Tage später wurde eine leicht veränderte Ver-
den Kosten. sion veröffentlich. Weiterhin geheimgehalten
wird allerdings die Studie zur Überwindungssi-
Daß die Kosten für die Schulung des Personal cherheit der biometrischen Systeme. Auch gibt
nur gering seien, widerspricht den Ergebnissen die Pressestelle zu der Frage nach der einfachen
der BioP-II-Studie. Für den der Studie zugrun- Fälschbarkeit keinen Kommentar ab. Damit ist
deliegenden Feldtest waren nämlich umfang- eine öffentliche Diskussion über den Sicher-
reiche Personalschulungen nötig. Außerdem heitsgewinn unmöglich.
mußten kostspielige Umbauten im Umfeld der
Gesichtserkennungssysteme vorgenommen 5. Frage:
werden, um deren Anforderungen an die Licht-
verhältnisse zu erfüllen. Auch solche Kosten Worauf beruht die Annahme, daß Systeme zur
gehören zu einer seriösen Kalkulation. Gesichtsbild-Verifikation ausgereift und vor
allem praxistauglich sind? Die BioFace-Studie
des BSI kommt dabei ausdrücklich nicht zu
dem Ergebnis, daß die getesten Verfahren pra-
xistauglich sind (vgl. http://www.heise.de/new-
sticker/meldung/41289 )
Antwort: 8. Frage:
Ein Paß mit unbrauchbarem/defektem RF-Chip Können Sie eine gesundheitliche Gefährdung
ist weiter ein gültiges Reisedokument. von Grenzbeamten vollständig ausschließen,
wenn diese tagtäglich der Funkstrahlung, die
Kommentar der Redaktion: ja auch gepulst moduliert ist, ausgesetzt sind?
Durch welche Studie wird das belegt, welche
Da sind wir ja beruhigt. Daß der Chip nämlich Geräte sind auf ihre Abstrahlung hin getestet
zehn Jahre hält, ist nicht allzu wahrscheinlich. worden?
7. Frage: Antwort:
Welchen Nutzen hat der elektronische Paß, Die gesetzlich vorgegebenen Richtwerte für den
wenn jeder potentielle Terrorist seinen Chip im Strahlenschutz werden von allen im Einsatz
Paß unbrauchbar macht? befindlichen RFID-Systemen eingehalten.
Die Aufnahme biometrischer Merkmale in Rei- Eine konkrete Studie oder Meßwerte gibt es
sepässen dient dazu, die sichere Identifizierung also nicht. Davon abgesehen sind noch keinerlei
von Personen durch das Grenzkontrollperso- RFID-Systeme “im Einsatz befi ndlich”, höchs-
nal zu “unterstützen”. Davon unabhängig kon- tens im Labor- oder Testbetrieb. Die Beschaf-
trolliert die Bundespolizei stets nach Schengen- fung der Geräte beginnt gerade erst.
Wir drucken hier das Interview ab, das unsere Korrespondentin Cornelia C. Cortschloss
mit der Bundesministerin für Inneres, Justiz und Heimatschutz Gertrud Backstein über
die am 1. Juni 2017 bevorstehende Einführung des neuen Bio-iPasses führte.
CCC: Frau Backstein, in wenigen Tagen, näm- CCC: Welchen Vorteil hat dann diese Technik,
lich am 1. Juni 2017, soll der neue iPass der zweiten wenn nur der Tod des Trägers festgestellt werden
Generation, der Bio-iPass, obligatorisch eingeführt kann?
werden. Welche Neuerungen bringt er mit sich?
GB: Wir konnten in der Vergangenheit Fälle
GB: Nach der breiten Akzeptanz, auf die die beobachten, in denen abgetrennte Körperteile
erste Generation des implantated Passports, mit dem Chip zur Identifi kation verwendet wur-
kurz iPass getroffen ist, lassen wir das erfolgrei- den. Dies wird mit dem neuen Bio-iPass nicht
che Konzept eines in den Körper seines Trägers mehr möglich sein.
implantierten Reisepasses fast völlig unverän-
dert. Dennoch gibt es eine sehr wichtige Ver- CCC: Aber die Presse berichtete doch unlängst,
besserung: Der Chip bezieht auch Informatio- daß ein Träger des neuen iPasses beim Grenzüber-
nen aus den Körperzellen seines Trägers, sodaß tritt festgenommen wurde, weil der iPass anzeigte,
im Todesfall ein sogenanntes Death Bit gesetzt daß er schon tot sei.
wird und das Überwachungsgerät feststellen
kann, daß der Träger verstorben ist. Leider ist GB: Wie Sie wissen, erlag die fragliche Person
es noch nicht möglich, den Chip auch zur Kran- den Verletzungen, die sie sich bei ihrer Fest-
kendiagnostik oder für Alkoholkontrollen zu nahme zugezogen hatte. Deshalb konnte nicht
verwenden. Dies ist das Ziel zukünftiger Ent- ermittelt wer- den, ob
wicklungen. über-
haupt ein Fehler vorlag. Ich gehe jedoch nach CCC: Die Akzeptanz des iPasses ist gesunken, seit
wie vor davon aus, daß der iPass nach seiner er obligatorisch in die Nasenscheidewand implan-
Implantation nicht mehr verändert werden tiert wird. Wollen Sie an der umstrittenen Lösung
kann. festhalten?
CCC: In der Vergangenheit wurde kritisiert, daß GB: Die Implantation in die Nasenscheidewand
die Daten auf dem Chip unzureichend verschlüsselt ist ohne äußere Narben möglich, was einem ver-
sind. Wird sich mit dem neuen iPass-Chip auf die- breiteten Wunsch entgegenkommt. Wir sehen
sem Gebiet etwas ändern? es als notwendig an, daß der Chip in einem
unverdeckten Bereich des Gesichts implantiert
GB: Nein, der bisherige Verschlüsselungsstan- ist, da somit keine Möglichkeit besteht, ihn mit
dard bleibt bestehen. Inzwischen wird der iPass Isolationsmaterial zu verdecken und darüber
für viele Sekundäranwendungen zur Identifi ka- einen anderen Chip anzubringen. Außerdem
tion verwendet; er ist Kreditkarte, Autoschlüs- ist die Nasenscheidewand groß genug, um auch
sel, Payback- und Gesundheitskarte zugleich. noch zum Beispiel einen Chip mit einem iVi-
Das macht ja gerade seine große Akzeptanz aus! sum anzubringen.
Wir wollten – schon aus Kostengründen – dar-
auf nicht verzichten, so viele Partner wie mög- CCC: Ist es nicht möglich, das iVisum auf dem
lich in das Unternehmen iPass einzubinden. iPass zu integrieren?
Die Bevölkerung will eine allgemeine Nutz-
barkeit des iPasses. Das hier die Bedenken der GB: Leider nicht, da andere Staaten wie zum
Datenschützer einmal zurücktreten müssen, ist Beispiel die USA auf eine völlig andere Techno-
bedauerlich, aber unvermeidlich. logie setzen. Als sich Bayern nach der Aufnah-
me der Türkei in die EU aus dieser zurückzog
CCC: Datenschutzverbände wie der Chaos Com- und ein US-Bundesstaat wurde, war es nötig,
puter Club oder auch die Datenschutzbeauftragte eine schnelle Lösung für die Visumsfrage zu
haben doch... fi nden, um Grenzformalitäten zu vermeiden,
denn eine neue deutsch-deutsche Grenze soll-
GB: Ach, kommen Sie mir doch nicht mit die- te unbedingt vermieden werden. Daher wurde
sen ewig gestrigen Bedenkenträgern. Ange- das US-amerikanische iVisum auch in Europa
sichts der Bedrohung durch den Terror sind in großer Zahl implantiert.
solche Bedenken lebensge-
fährlich und stehen dem
Auf bau eines modernen,
bürokratiefreien Staats
entgegen.
CCC: Als sich die Niederlande den USA als Bun- CCC: Der iPass wird aber auch in vielen umstrit-
desstaat anschlossen, wurde kein spezielles iVisum tenen Bereichen eingesetzt; ich denke da an DRM,
eingeführt. Anwesenheitskontrollen am Arbeitsplatz oder in
Schulen und Universitäten.
GB: Bayern ist ja nicht Holland! Wir woll-
ten nicht ganz Deutschland auf US-Standards GB: Wissen Sie, DRM war in dem Augenblick
umstellen, zumal dieser Standard keinerlei Ver- akzeptiert, wo es bequem mit dem iPass umge-
schlüsselung vorsieht. Den gläsernen Bürger setzt werden konnte. Raubkopierer gibt es seit-
wollte hierzulande niemand. her nicht mehr; außerdem ist die Arbeitslo-
sigkeit zurückgegangen, seit Schwarzarbeit
CCC: Aber mit dem iVisum für Bayern ist doch praktisch unmöglich geworden ist, weil jeder
dieser Standard neben dem deutschen auch sehr Arbeiter sofort identifiziert werden kann. Ich
verbreitet. werte das als Erfolg unserer Politik!
GB: Niemand ist verpflichtet, sich ein iVisum CCC: Aber die Gegner des iPasses beklagen den
implantieren zu lassen... totalen Verlust der Privatsphäre!
CCC: ...einen iPass aber doch! GB: Auch seine Gegner nutzen seine Vortei-
le! Ich denke, daß von einem Verlust der Privat-
GB: Sicher! Der iPass ist ja schon in der ersten sphäre gar keine Rede sein kann: Viele Compu-
Generation seit über einem Jahr obligatorisch, terprogramme erlauben nur noch Benutzern
und das ist auch gut so! Allein der Rückgang der mit registriertem iPass Zugang zu persönlichen
Kriminalität ist enorm! Die Vereinfachung von Daten. Der Schutz persönlicher Daten ist doch
Kontrollen ist für die Bürgerinnen und Bürger ein unbestreitbarer Vorteil.
sehr bequem. Nicht mal bei Verkehrskontrollen
muß mehr angehalten werden! CCC: Es sei denn, jemand kann die Identität eines
iPasses stehlen.
CCC: Aber auch die Zahl der Kontrollen hat sich
vervielfacht, ja potenziert! Wird Deutschland zum GB: Das ist schon technisch unmöglich.
Überwachungsstaat? Gefälschte iPässe sind und bleiben Science Fic-
tion!
GB: Nun lassen Sie die Kirche mal im Dorf,
Frau Curtsschluss! Unser iPass ist
ein Exportschlager. Inzwischen wird
er weltweit eingesetzt und ist zum
Synonym von Reisefreiheit, ja von
Freiheit schlechthin gewor-
den. Kontrollen waren ges-
tern! Heute erledigen das unse-
re Autobahn-Mautbrücken
gleich mit. Und wenn Sie
am Strand Ihren Drink
bezahlen wollen, müs-
sen Sie nicht mehr Ihre
Kreditkarte aus dem
Bikini ziehen. Ihr Wunsch
wird Ihnen buchstäblich von den
Augen – oder besser – von der Nase abge-
lesen. Das ist doch eine Freiheit, die sich
jeder nehmen will!