Datenschleuder #87

ISSN 0930-1054 • 2005 • 2,50 EUR
Postvertriebsstück C11301F die datenschleuder. #87

IMPRESSUM / INHALT
C
Inhalt
Die sichersten Pässe der Welt 2
Spaß mit dem ePass 5
Sicherheit durch Biometrie? 8
Biometriepaß – Glossar 12
Fingerabdrücke nachmachen leichtgemacht 14
Inside ePassports 17
Die Auswertung der BioP II Studie des BSI 20
Annex G of ICAO MRTD Specs 30
Eigentumsverhältnisse der Bundesdruckerei 33
Besonders intensive Prüfung 36
Die Welt von morgen: iPass 42
Bildquelle: http://www.bmi.bund.de/Internet/Content/Common/Bilder/Themen/Informationsgesellschaft/DatenundFakten/
Biometrie__ePass,property=poster.jpg
Die Datenschleuder Nr. 87 Redaktion dieser Ausgabe

Herausgeber (Abos, Adressen, Verwaltungstechnisches etc.) Zapf Dingbatz, Martin Haase, Constanze Kurz,
Chaos Computer Club e.V., Lokstedter Weg 72, Andreas Lehner, Frank Rosengart, starbug, Harald
20251 Hamburg, Fon: +49.40.401801-0, Welte.
Fax: +49.40.401801-41, <office@ccc.de> Fingerprint: Layout
1211 3D03 873F 9245 8A71 98B9 FE78 B31D E515 E06F erdgeist, Antenne Springborn, Constanze Kurz,
Redaktion (Artikel, Leserbriefe, Inhaltliches, etc.) Roland Kubica
Redaktion Datenschleuder, Pf 64 02 36, 10048 Berlin, Copyright
Fon: +49.30.28097470, <ds@ccc.de> Fingerprint: Copyright © bei den Autoren. Abdruck für nicht-
03C9 70E9 AE5C 8BA7 42DD C66F 1B1E 296C CA45 BA04 gewerbliche Zwecke bei Quellenangabe erlaubt
Druck Eigentumsvorbehalt
Pinguindruck Berlin, http://pinguindruck.de/ Diese Zeitschrift ist solange Eigentum des Absenders, bis sie dem
Gefangenen persönlich ausgehändigt worden ist. Zurhabenahme ist
ViSdP und Produktion keine persönliche Aushändigung im Sinne des Vorbehaltes. Wird die
Tom Lazar, <tom@tomster.org> Zeitschrift dem Gefangenen nicht ausgehändigt, so ist sie dem Absender
mit dem Grund der Nicht-Aushändigung in Form eines rechsmittelfähigen
Chefredaktion Bescheides zurückzusenden.
Dirk Engling <erdgeist> und Tom Lazar <tomster>
die datenschleuder. #87 / 2005

die datenschleuder.
das wissenschaftliche fachblatt für datenreisende
ein organ des chaos computer club
Dieses Sonderheft der Datenschleuder ist dem Daß es jetzt noch keine zentrale Biometrie-
neuen deutschen ePass gewidmet. Wir betrach- Datenbank gibt, bleibt kein Dauerzustand. Spä-
ten die technischen und politischen Details in testens nach dem nächsten Anschlag in Euro-
großer Ausführlichkeit, die wir angesichts die- pa wird die Legitimation da sein. Wer regt sich
ses ersten großen Schrittes hin zur Totalüber- schon über eine klitzekleine Datenbank auf,
wachung der Bevölkerung für geboten halten. wenn es denn der Sicherheit dient... Beson-
ders widerlich an der Angelegenheit ist der
Unter dem Deckmäntelchen der Terrorismus- Zusammenhang mit der fehlgeschlagenen
abwehr werden mit dem ePass gänzlich ande- Privatisierung der Bundesdruckerei und den
re Ziele verfolgt. Mit genügender Terrorfurcht “Bedürfnissen” der deutschen Biometrie- und
wurde die öffentliche Meinung so weichge- Chipkartenindustrie. Um schnöden finanziellen
kocht, daß alles, wo “Sicherheit” draufsteht, Interessen des Staates und der Industrie nach-
kritiklos hingenommen wird. Selbst die DDR- zukommen, wird sehenden Auges ein sicher-
Staatssicherheit hatte sich nicht getraut, eine heits- und technologiepolitisches Desaster ers-
flächendeckende Erfassung der Fingerabdrücke ter Ordnung in Kauf genommen, das obendrein
ihrer Bevölkerung vorzunehmen. Das Innenmi- die Grundfesten der Informationellen Selbstbe-
nisterium unseres demokratischen Rechtsstaats stimmung massiv unterminiert.
hat da weniger Skrupel.
Der Hang zu technischen Großabenteuern ist
Demokratie ist eine feine Sache - wenn sich den deutschen Politikern offenbar nicht aus-
denn die Regierenden daran halten. Die Ent- zutreiben. Die Redaktion ist, wie immer, sehr
scheidung zur Totalerfassung wurde nicht interessiert an technologischen Forschungen
demokratisch legitimiert. Über den Umweg unserer geneigten Leser, an Dokumenten, die
ICAO und EU drückte das Innenministerium das gemeine Volk eigentlich nicht in die Finger
ein Verfahren durch, das im Deutschen Bun- bekommen sollte, und natürlich an Erfahrun-
destag bei rationaler Diskussion kaum durchge- gen mit dem neuen Reisepaß. Zuwendungen
kommen wäre. Eine sachliche Begründung zur bitte wie immer an <ds@ccc.de> oder im braunen
Notwendigkeit fand selbst auf direkte Nachfra- Umschlag an die bekannte Postadresse.
ge von Abgeordneten nicht statt. Es gibt einfach
keine guten Argumente dafür, nur sehr viele Auch auf dem 22. Chaos Communication Con-
dagegen. gress vom 27. bis zum 30. Dezember 2005 wird
das Vorgehen gegen den Biometrie-Wahn eine
Der Überwachungsstaat ist nicht mehr nur ein große Rolle spielen, dann schon mit ersten
Schreckgespenst der fernen Zukunft. Er steht Erfahrungen und Ergebnissen aus der “Hands
direkt vor der Tür. Unsere Politiker haben eine On”-Forschung mit den neuen Pässen
Vision von einer Zukunft, die den dramatischen
Ausbau von Repressions- und Überwachungs- <Die Redaktion Datenschleuder>
möglichkeiten erfordert. Biometrie in allen Aus-
weisdokumenten ist nur ein Puzzlestein dabei.
Der Reisepaß ist nur der erste Schritt, die Perso-
nalausweise werden folgen.
die datenschleuder. #87 / 2005 1

1
...WITH A GOVERNMENT THAT RESPECTS PRIVATE ENTERPRISE
C
Die sichersten Pässe der Welt
von starbug <starbug@berlin.ccc.de> und
46halbe <46halbe@weltregierung.de>
Die Bundesdruckerei macht mit Otto Schilys neuestem Sicherheitsplacebo den großen Rei-
bach. Seit einigen Wochen ist es offiziell. Ab dem 1. November 2005 werden in Deutsch-
land trotz massiver Kritik von vielen Seiten neue Reisepässe (sog. ePass) mit biometri-
schen Merkmalen auf RFID-Chips ausgegeben. Deutschland unterbietet dabei bei weitem
den vorgegebenen Zeitrahmen der europäischen Verordnung, die ohne Beteiligung des
deutschen Parlamentes zustandekam.
Wirtschaftsförderung ohne Rücksicht nationalen Grenzen aus seinem Paß ausgelesen

auf Verluste und gespeichert wird, wer Datensammlungen
anlegt und für welchen Zweck, ob Abgleiche
Mehr als ein halbes Jahr früher als notwendig mit kriminalistischen oder Terroristen-Fahn-
wird der Reisepaß nun eingeführt. Die Grün- dungs-Datenbanken vorgenommen werden – all
de für die Hast, die das Bundesinnenministeri- das kann niemand kontrollieren und unterliegt
um (BMI) an den Tag legte, liegen auf der Hand. selbstverständlich nicht der datenschutzfreund-
Wer in Europa zuerst ein funktionierendes bio- lichen Gesetzeslage in Deutschland. Die digi-
metrisches Gesamtsystem zur Grenzkontrol- talen Daten seines Gesichtsbildes und seiner
le hat, kann mit Aufträgen in Milliardenhöhe Fingerabdrücke sind zur globalen Speicherung
rechnen. Gerhard Schabhüser vom Bundes- freigegeben.
amt für Sicherheit in der Informationstechnik
(BSI) antwortete entsprechend auf die Frage, Die offiziellen Gründe
warum die Einführung der neuen Pässe derart
überstürzt vorgenommen wird: “Das hat indus- Offi ziell stehen die Terroristen mal wieder an
triepolitische Gründe.” Martin Schallbruch, erster Stelle der Gründe für die Einführung
IT-Direktor des Bundesinnenministeriums, des ePasses. Seit dem 11. September 2001 tritt
verweist zwar auf einer Informationsveranstal- bereits ein gewisser Gewöhnungseffekt ein, daß
tung zum ePass gemäß der offi ziellen Sprach- mit der Terrorabwehr einfach jede Maßnahme
regelung seines Arbeitgebers darauf, daß die- begründet werden kann. So soll die Verbesse-
ser primär der Erhöhung der Sicherheit diene. rung des behördlichen Informationsaustau-
Es sei aber ohne Frage gewinnbringend für die sches die Einreise von Terroristen verhindern,
deutsche Wirtschaft, weltweit führend auf dem indem biometrische Hilfsmittel bei der Perso-
Gebiet der Biometrie und der Chipkartentech- nenfahndung genutzt werden. Dazu soll an den
nik zu sein, betont er gleich mehrfach. Grenzen zweifelsfrei festgestellt werden kön-
nen, ob der Besitzer des Reisepasses auch der
Die Förderung der Wirtschaft ist ein verständ- Inhaber ist. Daß die Täter in der Vergangenheit
liches Ziel deutscher Politik. Doch was bedeu- stets gültigen Pässe besessen haben, wird hier
tet der neue Paß für den deutschen Reisenden? einfach ignoriert. Auch der Umstand, daß jeder
Er muß zunächst die deutlich gestiegenen Kos- Bombenleger sich weiterhin einfach außerhalb
ten von 59 Euro (heute 26 Euro) für den nor- Europas einen gültigen Paß oder ein Visum
malen Paß bzw. 91 Euro für den Express-Paß besorgen kann, bleibt unerwähnt. Diese unlo-
tragen. Weit schwerer wiegt aber, daß er die gische Argumentation wird vom BMI auf jeder
Kontrolle über seine persönlichen biometri- Veranstaltung gebetsmühlenartig wiederholt,
schen Daten abgeben muß. Denn was an inter- was sie natürlich nicht wahrer macht.
2 2 die datenschleuder. #87 / 2005

Das zusätzliche Sicherheitsmerkmal, also der nach den Ergebnissen einer jüngst veröffent-
kontaktlose Funk-Mikrochip, soll außerdem lichten BSI-Studie (sog. BioP-II-Studie) zu den
die Fälschung erschweren und die Feststellung Erkennungsleistungen biometrischer Systeme
der Echtheit des Dokuments gewährleisten. (siehe auch den entsprechenden Artikel in die-
Der Bundesinnenminister Otto Schily behaup- ser Ausgabe) zumindest in naher Zukunft als
tet, Fälschungen von Pässen würden mit der ausgeschlossen gelten. Jörg Radek, ebenso wie
Speicherung biometrischer Daten “unmöglich die Pressestelle des BMI, betont, daß die Tech-
gemacht oder mindestens erschwert”. Daß die nik stets zusätzlich eingesetzt, eine Kontrolle
Bundespolizei (früher BGS), der Paßhersteller der Reisenden nach den Schengen-Standards
Bundesdruckerei wie auch das BSI bereits den jedoch weiterhin erfolgen wird. Von einer Effek-
bisherigen deutschen Paß als hochsicher ein- tivierung kann also keine Rede sein, die Viel-
stufen, wird gefl issentlich verschwiegen. Nach fl ieger und die Urlauber erwartet vielmehr ein
Angaben von Jörg Radek, Bundesvorstand der erhöhter Zeitaufwand.
Gewerkschaft der Polizei, sind Totalfälschun-
gen hierzulande eine seltene Ausnahme; sol- Zudem sind die biometrischen Verfahren noch
che in einer guten Qualität, die nicht schon von derart fehlerbehaftet, daß zu erwarten ist, daß
Grenzbeamten-Azubis erkannt werden, schlicht viele Paßbesitzer von den Geräten an den Gren-
nicht vorhanden. Der Gipfel des Widersinns ist zen fälschlich zurückgewiesen werden. Genau-
aber die Tatsache, daß der ePass vollständig gül- eres zu den aufgetretenen Unzulänglichkeiten
tig bleibt, wenn der Funk-Chip den Geist auf- der vier in der BSI-Studie getesteten biometri-
gibt. schen Systemen kann auf über 170 Seiten nach-
gelesen werden. Zu anderen schwerwiegenden
Die computergestützte biometrische Identifi ka- Problemen wie der Überwindungssicherheit
tion von Personen soll weiterhin zur Effektivie- der Verfahren findet der geneigte Leser der Stu-
rung der Grenzkontrollen dienen und somit für die jedoch keine Angaben. Eine Lebenderken-
eine Erleichterung des Reiseverkehrs mit dem nung etwa ist in den getesteten Verfahren ent-
entsprechenden Zeitgewinn für die Reisenden weder nicht implementiert oder wurde für die
und für die Bundespolizei sorgen. [1] Dies kann Testdauer deaktiviert, um die Erkennungsleis-

3
tungen zu verbessern. Ebenso waren die Kosten licht deutlich. Die Interpretation der Ergebnis-
der Systeme nach wie vor kein Thema. So reise unterlag offensichtlich einer politische Ein-
hen sich die ungelösten Schwierigkeiten mit der flußnahme, die eine unabhängige Beurteilung
übereilt eingeführten Technik aneinander. der Erkennungsleistungen verhinderte. Die
konkrete Datensammlung der Studie bleibt wei-
Wichtige Fragen danach, ob die für die Signa- ter unveröffentlicht. Die vom BSI ermittelten
tur und Authentisierung verwendeten krypto- Werte im niedrigen Prozentbereich erscheinen
graphischen Algorithmen zehn Jahre lang die auf den ersten Blick nicht problematisch, rech-
Integrität der Daten auf dem Chip garantieren net man diese aber auf die Gesamtbevölkerung
können, geraten so in den Hintergrund. Auch Deutschlands oder Europas hoch, erkennt man
die Frage nach der Ausgestaltung der benötig- schnell, daß es sich hier um mehrere Millionen
ten Public Key Infrastruktur (PKI) für die Zer- Problemfälle handelt.
tifi zierung der internationalen Lesegeräte ist
noch immer ungelöst. Die technische Spezifi ka- Und die Personen werden nicht nur einmal
tion wird erst für den Dezember 2005 erwartet. betroffen sein, sondern bei jeder Paßkontrol-
(Siehe dazu auch den Artikel zum Annex G der le erneut die Rückweisung durch die biometri-
ICAO-Spezifi kation in dieser Ausgabe.) schen Geräte erleben müssen. Die damit jeweils
verbundenen Extrakontrollen dürften klar gegen
Die traurige Wahrheit den Gleichheitsgrundsatz, verankert im Grund-
gesetz, verstoßen.
Es muß deutlich ausgesprochen werden: Die
Biometrie in Pässen löst keine Probleme. Wie Folgen für alle Paßbesitzer
aus der BioP-II-Studie hervorgeht, an der weni-
ger als 700 regelmäßig aktive Probanden teil- Im vielzitierten Volkszählungsurteil des Bun-
nahmen, ist die Technik bei weitem noch nicht desverfassungsgerichtes von 1984 wurde fest-
einsatzbereit. So werden auf absehbare Zeit die gestellt, daß jeder Bürger über die Preisgabe
ePässe nicht zur biometrischen Authentifi kati- und Verwendung seiner personenbezogenen
on verwendet. Daten selbst bestimmen darf. Ob die Abnah-
me biometrischer Merkmale und deren durch
Die ebenfalls vom BSI zuvor durchgeführte Stu- den Paßbesitzer nicht mehr kontrollierba-
die BioP I [2], die sich mit der Verwendung der re Speicherung in Datenbanken rund um die
automatischen Gesichtserkennung im Grenz- Welt diesem Urteil zuwiderläuft, ist unter Juris-
verkehr beschäftigte, ermittelte beispielswei- ten fraglich. Wünschenswert wäre ein bürger-
se Falschrückweisungsraten (FRR) von 24 bzw. freundliches Urteil des Bundesverfassungsge-
52 Prozent (bei Falschakzeptanzraten von 0,002 richt zur Frage der ePässe. Als Einzelperson
bzw. 0,005 Prozent). Das bedeutet, daß jede ist eine Klage gegen die Einführung der ePäs-
vierte bzw. sogar jede zweite Person bei einer se jedoch erst dann möglich, wenn man direkt
Grenzkontrolle fälschlicherweise zurückge- betroffen ist. Man muß sich erst durch die nati-
wiesen würde. Bei den Fingerabdrücken sah es onalen Instanzen klagen, bevor ein Urteil des
nicht besser aus. So konnten bei ca. zwei Pro- Bundesverfassungsgericht oder des europäi-
zent der Bevölkerung gar keine Abdrücke abge- schen Gerichtshof erwartet werden kann. Ein
nommen werden, da sie keine ausreichend aus- beträchtlich langer Zeitraum ginge ins Land,
geprägten Merkmale besaßen. [3] ehe entschieden würde. Die biometrische Tech-
nik wird dann längst alltäglich und unter erheb-
Die neue BioP-II-Studie läßt die Gesichts-, Fin- lichen Kosten eingeführt worden sein.
gerabdruck- und Iriserkennungssysteme wie-
derum nicht gut aussehen. Besonders bei [1] http://www.heise.de/newsticker/meldung/60149
der Gesichtserkennung wird erneut die star- [2] http://www.bsi.de/literat/studien/biop/index.htm
ke Abhängigkeit der Erkennungsleistungen [3] http://www.tab.fzk.de/de/projekt/zusammenfassung/
von Umwelteinflüssen wie dem Umgebungs- ab93.pdf

WO BLEIBT DAS VÖGELCHEN?
C
Spaß mit dem ePass
von starbug <starbug@berlin.ccc.de> und
46halbe <46halbe@weltregierung.de>
Ihr habt unsere seit einem Jahr regelmäßig wiederholten Hinweise überhört und keinen
“alten” Reisepaß beantragt? Jetzt steht ihr vor der Entscheidung, einen neuen ePass mit
digitalem Gesichtsbild und RFID-Chip für mehr als doppelt soviel Geld zu holen oder
nicht mehr außerhalb Europas verreisen zu können?
Wenn ihr euch für den ePass entscheidet, gibt es lität wird das aber sicherlich nicht der Fall sein.
hier ein paar Hinweise zum sicheren Umgang Der Präsident des Centralverbandes Deutscher
und für Spaß am Gerät. Wie ihr in diesem Heft Berufsfotografen, Hans Starosta, wirkt jeden-
schon gelesen habt oder noch lesen werdet, gibt falls bei seinem Vortrag auf einer Informations-
es ab dem 1. November diesen Jahres eine neue veranstaltung der Bundesdruckerei noch reich-
Generation des deutschen Passes. Er beinhaltet, lich unvorbereitet. Auf Nachfragen reagierte er
neben den bisher schon vorhandenen Daten und mit Schulterzucken. Und selbst wenn die Foto-
Sicherheitsmerkmalen, zusätzlich einen RFID- graphen es wissen, ist nicht davon auszugehen,
Chip, auf dem der Inhalt der Maschinenlesba- daß sie sich an jedes Detail halten werden, dafür
ren Zone (MRZ) und ein digitales Foto gespei- sind die Vorgaben einfach zu ungenau.
chert werden.
Aber es kostet euch ein Lächeln, ihn mit euren
Das Frontalfoto neuen Kenntnissen über Gesichtserkennung
etwas aufzuklären. Dieses Lächeln spart ihr
Das Foto ist dafür ausgelegt, von einer automa- euch aber bitte beim Shooting, die Software ist
tischen Gesichtsbilderkennung verwendet zu noch nicht so ganz ausgereift.
werden. Daher wird es nicht, wie bisher üblich,
im Halbprofi l im Paß erscheinen, sondern in Übrigens, Geld sparen am
der Frontalansicht. Deshalb nun einige Hinwei- Foto autom ate n i s t
se, was ihr beachten müßt, wenn ihr zum Pho- keine gute Idee. Die
tographen geht. Schminken solltet ihr dringend Fotos aus den Auto-
unterlassen, starke Lidstriche oder das Nachzie- maten entsprechen
hen der Augenbrauen verwirrt die Software und allein von der Grund-
könnte euch fälschliche Rückweisungen an der qualität der Kameras
Grenze bescheren. Eure Persönlichkeit kommt kaum den Vorgaben
auch ohne Farbe sicher gut zur Geltung. für die automatische
Gesichtserkennung.
Auch Piercings oder Tätowierungen im Gesicht Nac h neuesten
sollten gut überlegt sein, denn 10 Jahre sind eine Rechercheergebnis-
lange Zeit. Man möchte schließlich auch in vie- sen wurden zumin-
len Monaten noch erkannt werden. Frisuren mit dest einige der Auto-
vielen ins Gesicht hängenden Haaren, beson- maten aber schon mit
ders in der Stirn, sind out, zumindest wenn ihr den aktuellen Mus-
gern um den Globus reisen wollt. tertafeln ausgestattet.
Für Spaß in der Kabi-
Zwar sollten solche Hinweise inzwischen alle ne ist also auf jeden Fall
Photographen mitbekommen haben, in der Rea- gesorgt.

5
Und auch auf mehr oder weniger Spaß mit gründen bisher nur schleppend. Dafür ließ
den Grenzbeamten kann man sich einstellen, man eine Software schreiben, welche die Qua-
wenn man die sowieso kaum funktionieren- lität der abgegebenen Paßbilder überprüfen soll.
de Gesichtserkennung zusätzlich mit mani- Natürlich dauert es einige Zeit, bis alle Melde-
pulierten Bildern beglückt. Mit bloßem Auge ämter damit ausgestattet sein werden. Aus ano-
kaum sichtbare Veränderungen des Augenab- nymen Quellen ist auch leider schon bekannt,
stands oder der Nasenposition werden mit gro- daß diese derzeit noch weit von ihrer optimalen
ßer Sicherheit zum Nichterkennen führen. Das Funktionsfähigkeit entfernt ist. Sie fi ndet teil-
ist natürlich nur was für die Hartgesottenen weise nicht einmal die Augen in den Bildern,
unter euch, die normalerweise viel Zeit beim was eigentlich nur der erste Schritt zur Erken-
Verreisen haben. Zwar ist es nicht erlaubt, Bil- nung ist. Aber das wird sicher noch besser in
der in digitaler Form abzugeben, aber daß man Version 1.0.
heutzutage Paßbilder auch zuhause ausdrucken
kann, scheint nicht bekannt zu sein. Lustig wär Der RFID-Chip
auch, wenn ihr mal versucht, mit ausgedruck-
tem Foto und sogar mit einem Foto auf dem Trotz des stolzen Betrages von 59 Euro, den
Handy die biometrischen Systeme an der Gren- jeder bei der Ausstellung eines ePasses bezah-
ze zu überlisten. len muß, bleibt der Paß selbst weiterhin Eigen-
tum der Bundesrepublik Deutschland. Deshalb
Gesichtserkennungstechnisch kaum auswert- darf man ihn natürlich nicht absichtlich kaputt
bare Bilder erzielt man durch das Tragen einer machen. Was man also nicht machen darf, wer-
Brille. In der BioP-II-Studie des BSI beispiels- den wir sicherheitshalber mal auflisten:
weise trugen über 90 Prozent der fälschlicher-
weise erkannten Personen eine Brille mit dunk- Wer den Paß nach dem versehentlichen Mitwa-
lem Rand. Tja, die Algorithmen suchen sich schen in die Mikrowelle legen will, dem raten
eben sehr markante Punkte des Gesichts. Ein wir zur Vorsicht. Ein ungut aussehendes Brand-
schöner Bart tut es übrigens auch. loch könnte die Folge sein. Aber auch Leucht-
stoffröhrentester und elektrische Schweißgerä-
Allgemein ist anzunehmen, daß die ungenü- te arbeiten auf Basis von 13,56 MHz - hier kann
gende Information der Bevölkerung zu mas- man die in den Chip eingetragene Leistung
siven Spannungen auf den Meldeämtern füh- durch den Abstand zum Gerät sehr gut steuern.
ren wird. Also, bereitet euch auf etwas Streß Daher sollte der Chip kaputt gehen, ohne Spu-
vor, wenn ihr zum Beantragen geht. Es kann ren zu hinterlassen. Natürlich sollte man sowas
davon ausgegangen werden, daß alte Paßfotos vermeiden! Obwohl, der Paß bliebe ja weiterhin
schon ab dem 20. Oktober von den Angestell- gültig. Damit könnte man wahrscheinlich auch
ten zurückgewiesen werden, sollten diese schon mehrere Pässe, die sich um das Gerät herum
von der Neuerung erfahren und eine Schulung befinden, gleichzeitig zerstören. Also bitte
erhalten haben. Auch die dringend besondere Vorsicht walten lassen.
nötige Fortbildung
läuft wahrschein- Und wenn solch ein Gerät durch Zufall an
lich aus Geld- Grenzübergängen oder in den Meldeämtern

steht (da wo
die Antrag-
s t e l le r d ie
D at e n au f
i h rem Pa ß
überprüfen
können), wür-
den die Stö-
rungen den
Auslesevor-
gang unmög- ren mög-
lich machen. Und das will ja wirklich lich sein könnte. Aktiv hieße, daß
niemand. der Angreifer Energie erzeugt,
um den Chip zu aktivieren, ihn
Eine andere unbedingt zu vermeidende Mög- also selbst anspricht. Bis zu einer
lichkeit ist das häufi ge Knicken der Paßdecke Entfernung von 10 Metern ist dies möglich. Also
(die fälscherlicherweise immer als “Deckel” empfiehlt es sich, ab und an die Verhaltenswei-
bezeichnet wird). Die Stelle, an welcher der sen der Personen auf der anderen Straßensei-
Chip mit der Antenne verbunden wird, ist sehr te zu beachten. Passives Abhören bedeutet, daß
empfi ndlich und geht wahrscheinlich schon der Angreifer die offizielle Kommunikation zwi-
nach ein paar Biegungen kaputt. Also lieber gar schen dem Paß und dem Lesegerät (zum Bei-
nicht berühren. Selbst wenn man den Paß nur spiel an der Grenze) mithört. Dieses ist bis zu
normal mit sich führt, dürfte die Lebensdauer 30 Metern und unter Laborbedingungen sogar
unter 10 Jahren liegen, daher ist eine vorsichtige schon bis zu 50 Metern möglich. Es sollten also
Handhabung dringend anzuraten. auch die Personenkraftwagen, die vor dem Flug-
hafen warten, beobachtet werden.
Man kann sich nun die Fragen stellen: Was pas-
siert, wenn man einen Paß mit kaputtem Chip Natürlich hat das BSI vorgesorgt. Um das Ausle-
umtauschen will? Machen die das? Muß man sen der biometrischen Daten zu verhindern, gibt
das dann extra bezahlen? Wie oft kann man das es kryptographische Sicherungen. Für die digi-
denn machen? Für diese Fragen empfehlen wir talen Gesichtsbilder und alle Daten der maschi-
die Hotline beim Service-Center des BSI: 01805- nenlesbaren Zone (MRZ) genügt die sogenann-
274-300 (8-17 Uhr für 12 Cent pro Minute). te Basic Access Control. Diese ist keineswegs
sicher und kann gebrochen werden. (Siehe auch
Man braucht den Paß aber nicht kaputt zu den Artikel zum Annex G der ICAO-Spezifi ka-
machen, wenn man befürchtet, jemand will tion in dieser Ausgabe.) Sollte ein Angreifer die
ungefragt an die biometrischen Daten ran. Ein- verschlüsselten Daten erhalten haben, kann er
faches Mittel um das Auslesen zu verhindern, sich zuhause in Ruhe an die Brute-Force-Ent-
ist schlichte Alufolie. Dabei muß man diese schlüsselung machen. Hilfreich wäre, wenn
meist nicht mal komplett um das Dokument der Angreifer die Daten der MRZ in Kopie besä-
wickeln, eine Lage in das Paßbuch zu legen, ße. Dazu muß er nur einmal kurz den Paß in
sollte genügen. Für Verwirrung beim Lesege- die Hand bekommen. Man denke an die Paß-
rät sorgt auch das Einbringen von zusätzlichen kopie bei der Hotelanmeldung im Ausland oder
Chips in den Lesebereich. Deshalb sind sie übri- die Anmeldung für eine Karte der Fußball-WM
gens auch davon abgerückt, die Visa auf einem 2006.
separaten RFID-Chip auszustellen.
Vielleicht sollte man doch überlegen, ob Mikro-
Warum sollte man sich aber mit Alufolie vor welle und Alufolie gegen diese Unterwande-
dem Auslesen schützen sollten? Der Grund ist, rung der Informationellen Selbstbestimmung
daß unberechtigtes aktives und passives Abhö- zu erwägen wären...

7
ÜBER SINN UND UNSINN VON OTTO SCHILYS LIEBLINGSPROJEKT.
C
Sicherheit durch Biometrie?
von Quintus Dalemicus und 46halbe
Die Verpflichtung jeden Bürgers, seine biometrischen Daten in Ausweispapieren anzuge-

ben, stellt in juristischer Hinsicht einen schweren Eingriff in das Grundrecht auf Informa-
tionelle Selbstbestimmung dar. Vor dem 11. September 2001 wäre eine solche Maßnahme
in Deutschland wohl undenkbar gewesen. Nun wird sie jedoch von den meisten Menschen
ohne Aufruhr hingenommen, die allgemeine Sicherheitshysterie macht es möglich.
Offenkundig nutzte der scheidende Bundesin- zeptanz), zweitens die Abweisung einer geprüf-
nenminister Otto Schily die Gelegenheit, im ten Person, obwohl das gespeicherte Merkmal
Schatten der Anschläge der letzten vier Jahre zu dieser Person gehört (Falschrückweisung).
vorschnell eine Überwachungstechnologie ein- Beide Kategorien von Fehlern bedingen anei-
zuführen, die noch nicht einmal richtig funkti- nander und sind unakzeptabel, sobald sie
oniert. (Siehe dazu den Artikel zur BioP-II-Stu- gehäuft vorkommen. Fehler der ersten Katego-
die in dieser Ausgabe.) rie führen den angeblichen Sicherheitsgewinn
ad absurdum, die Fehler der zweiten Kategorie
Die biometrische Technologie kann in eini- stellen die betreffenden Personen unter unbe-
gen Jahren serienreif sein, doch dann könnte gründeten Verdacht. Für diesen Verdacht ist
sich die politische Landschaft bereits geändert es unerheblich, ob er nun 25, 10 oder 5 Prozent
haben. Vielleicht wird Osama bin Laden dann der Menschen betrifft. Für sie wird eine ange-
geschnappt sein. Vielleicht wird die Hysterie kündigte “verschärfte Kontrolle”, wie immer die
um den Terrorismus nicht mehr so frisch in den auch aussehen mag, nötig. Das ist für die Betrof-
Köpfen der Menschen sein. Vielleicht würden fenen erstens ungerecht, zweitens zeitaufwen-
gar biometrische Ausweise, eingeführt mit dem dig und drittens recht unangenehm, denn für
Argument der “Sicherheit”, auf Widerstand sto- einmal fälschlich zurückgewiesene Paßbesit-
ßen. Auch gegenwärtig scheint die Akzeptanz zer ist die Wahrscheinlichkeit hoch, daß sie von
begrenzt, schließlich mußte Schily sein Lieb- nun an öfter betroffen sein werden.
lingsprojekt über den Umweg des EU-Minister-
rats auf den Weg bringen und mit Rechtsverord- Sinnvoll gegen Terrorismus?
nungen am Bundestag vorbei umsetzen, da ihm
Vertrauen und Unterstützung der rot-grünen Was bringt nun der Einsatz biometrischer Aus-
Bundestagsfraktionen fehlten. Das ganze Vor- weispapiere im Kampf gegen den Terrorismus?
gehen ist nur ein weiterer Beleg für die schlei- Kurz gesagt: nichts. Es handelt sich vielmehr
chende Entmündigung der nationalen Par- um ein Sicherheitsplacebo, mit dem Aktivität
lamente durch die undemokratische EU. Die suggeriert wird. Die neuen Dokumente sollen
Bedenken und Einwände des EU-Parlamentes angeblich fälschungssicherer sein als bisherige
waren bereits zuvor per Erpressung aus dem und die Benutzung echter Papiere durch jeman-
Weg geräumt worden. den anderes als den Eigentümer verhindern.
Den ersten Punkt kann man getrost als schlech-
Die innewohnenden Probleme der biometri- ten Scherz verbuchen. Wie weithin bekannt,
schen Systeme lassen sich in zwei Kategorien zählen die deutschen Ausweispapiere heute
unterteilen; erstens die Verifi zierung vom rea- bereits zu den fälschungssichersten Dokumen-
len Menschen mit dem gespeichertem Merkmal, ten der Welt. In den letzten Jahren gab es nur
obwohl diese nicht übereinstimmen (Falschak- wenige Fälschungsversuche, und die waren alle-

samt reichlich erfolglos. Das Bundesinnenmi- und vieles mehr wäre gesamtgesellschaftlich
nisterium behauptet jedoch, es gäbe ein großes eine sinnvollere Investition als die Verschwen-
Gefälle innerhalb der EU, was die Fälschungs- dung für nicht funktionierende biometrische
sicherheit angeht. Das ist wahr, auch hinläng- Pässe oder Ausweise.
lich bekannt. Die Frage aber, warum dann nicht
einfach alle EU-Staaten den jetzigen deutschen Sollte die Technologie eines Tages doch funk-
Standard übernehmen, bleibt unbeantwortet. tionieren, drohen uns noch größere Schwie-
Wäre ja auch ein schönes Geschäft für die pro- rigkeiten. Biometrie und RFID bieten mannig-
tegierte Bundesdruckerei. Auch die Aussage faltige Möglichkeiten der Überwachung von
Schilys, daß der “21. Attentäter des 11. Septem- Menschen. Beides wird nun Schritt für Schritt
ber” monatelang mit einem gefälschten franzö- eingeführt. Erst das digitale Gesichtsbild, dann
sischen Paß durch Europa gereist sei, rechtfer- die Fingerabdrücke, erst im Reisepaß, dann im
tigt wohl kaum die Einführung biometrischer Personalausweis - die klassische Salami-Taktik.
Pässe. Der Kriminelle hatte nämlich schlicht
einen Meldebeamten bestochen und sich einen Gefahren für Freiheit und Demokratie
Paß ausstellen lassen. Warum Biometrie dies
in Zukunft verhindern soll, kann auch Schily Die RFID-Chips sind nicht umsonst auch als
nicht erklären. “Schnüffelchips” bekannt. Mit der entsprechen-
den Infrastruktur an Lesegeräten, etwa in jeder
Der Test auf Übereinstimmung zwischen Tür, in jeder Straßenlaterne oder unter Gehweg-
Paßinhaber und Paßbenutzer ist etwas inter- platten, kann man die Bewegungen eines Men-
essanter. Hierbei unterstellt man dem Inhaber schen, der einen solchen Chip bei sich trägt,
eines EU-Ausweisdokumentes, daß er seinen mühelos verfolgen und archivieren. Beliebige
Paß an einen Doppelgänger, der beispielsweise Orwellsche Szenarien kann man sich vorstel-
gesucht wird oder kein EU-Staatsbürger ist, wei- len. Ob die kryptographischen Sicherungen die
tergeben könnte, der damit umherreisen würde. Gefahr, die in den RFID-Chips steckt, dauerhaft
Dies zu unterbinden, könnte illegale Einrei- eindämmen kann, darf bezweifelt werden.
sen verhindern. Hätte es jedoch die Anschläge
in den USA, in Madrid oder in London verhin- Neben der Gefahr durch die Schnüffelchips
dert? Sicher nicht, da die Täter nicht polizeilich birgt auch der Einsatz biometrischer Merkmale
gesucht wurden, legal einreisten und folglich enorme Risiken. Durch die Interventionen des
ihre echten Pässe benutzen konnten, biome- EU-Parlaments konnte gerade noch verhindert
trisch oder nicht. Das Argument, die neuen werden, daß alle biometrischen Daten in einer
Dokumente seien ein Werkzeug gegen den Ter- zentralen Datei gespeichert werden. Dies hatten
rorismus, ist somit in jeder Hinsicht unhaltbar. die Innenminister der EU in der ihnen eigenen
dreisten Selbstverständlichkeit gefordert. Doch
Gute Geldanlage bei knapper Kasse? auch ohne eine zentrale Referenzdatei besteht
die Möglichkeit, daß staatliche “Bedarfsträger”
Ein weiterer Aspekt sind die enormen finanziel- die biometrischen Daten jedes Menschen einse-
len Kosten der ganzen Maßnahme. Dabei findet hen können, wenn diese dezentral in den Mel-
eine gigantische Fehlallokation von Ressour- destellen gespeichert und beispielsweise über
cen statt. Denn die Milliarden für die Herstel- eine Suchmaschine abgefragt werden. Das wäre
lung der Pässe, die Herstellung und Wartung praktisch dasselbe wie eine zentrale Daten-
der Lesegeräte, die Schulung des Grenzperso- sammlung, es klingt nur nicht so nach Drittem
nals etc. fehlen an anderer Stelle. Die Bereitstel- Reich und Zentralkartei.
lung fi nanzieller Mittel für die Integration von
Menschen mit Migrationshintergrund, die Kon- Ein digitalisiertes Gesichtsbild kann mit der
trolle an Grenzen auf Waffen und Sprengstoffe, Gesichtserkennungssoftware von Überwa-
die Ausrüstung und das Training von Rettungs- chungskameras, die sich in Europa wie eine
kräften, die Resozialisierung von Straffälligen Plage ausbreiten, kombiniert werden. Bisher

9
werden Menschen vielerorts einfach anonym mente reiht sich ein in eine Folge von Verletzun-
gefilmt, man könnte mit den Kameras jedoch gen dieses Grundrechtes. Die sich immer weiter
an das Gesicht der Person auch heranzoomen, ausdehnende Videoüberwachung, die automa-
es mit biometrischen Daten abgleichen und die tische Kennzeichenerfassung, der große Lau-
Person identifizieren. Hiermit ließen sich die schangriff, die Jahr für Jahr steigenden Telefon-
Bewegungen von Menschen überwachen oder überwachungsmaßnahmen, die Speicherung
die Teilnehmer einer Demonstration identifizie- von genetischen Informationen in digitaler
ren. Daß der einmal bekanntgewordene Einsatz Form, die Auf hebung des Bankgeheimnisses,
solcher Techniken Menschen davon abhalten die noch immer diskutierte Vorratsdatenspei-
könnte, noch an Demonstrationen teilzuneh- cherung von Telefon- und Internetdaten; die
men, wäre ein Sündenfall der Demokratie. Liste auf dem Weg zum Überwachungsstaat
ließe sich noch fortsetzen. Das alles wird im
Neben dem Bild kommt ab 2007 die Aufnahme Namen der “Sicherheit” durchgeführt, und viele
des Fingerabdrucks hinzu. Plötzlich müssen Menschen akzeptieren das aufgrund der gestie-
gesetzestreue Menschen ihre Fingerabdrücke genen Angst vor Terrorismus oder Verbrechen.
abgeben wie gewöhnliche Kriminelle. Da jeder Wohlgemerkt, aus bloßer Angst, denn tatsäch-
Mensch seinen Fingerabdruck an vielen Stellen lich sinkt die Kriminalität real seit Jahren.
hinterläßt, öffnet dies der Kreativität von Krimi-
nellen, falsche Fährten am Tatort zu legen, Tür Durch immer mehr Überwachung in Kombi-
und Tor. So könnten aber auch zufällig die Fin- nation mit den Möglichkeiten durch biometri-
gerabdrücke eines Menschen an einem Gegen- sche Erfassung wird ein Datennetz gesponnen,
stand sein, der über irgendwelche Umwege am das die freie Entfaltung der Menschen nachhal-
Schauplatz eines Mordes oder einer Entfüh- tig verändert und zunehmend verhindert. Dies
rung landet. Obgleich diese Person nichts mit stellt eine Gefahr für die ohnehin durch die
der Tat zu tun hat, wird sie plötzlich zum Ver- Schleichwege über EU-Verordnungen gefährde-
dächtigen. te Demokratie dar. Wer sich immerzu überwacht
weiß, der wird alles tun, um nicht aufzufallen.
Der ePass wird das Recht auf Informationelle Die Demokratie lebt jedoch vom Mitmachen
Selbstbestimmung noch weiter aushöhlen. Die und von der Auseinandersetzung.
Einführung der biometrischen Ausweisdoku-
Schlagbaum am Bahnhof
Winsen an der Luhe

I WILL NOT BUY THIS RECORD, IT IS SCRATCHED
C
Biometriepaß – Glossar
Für die Experten im Chaos Computer Club ist der Umgang mit den Fachworten der Bio-
metrie inzwischen Alltag. Um dem Interessierten Neuling auf diesem Gebiet den Einstieg
in das Thema zu erleichtern, haben wir die wichtigsten Begriffe kurz zusammengefaßt.
Authentifikation: Daten explizit erlaubt werden. Das Keymanage-

ment ist durch eine PKI realisiert.
Authentifi kation ist der Vergleich eines vorher
enrolten biometrischen Merkmals gegen Enrolment:
ein aktuell vorgezeigtes Merkmal. Dabei
unterscheidet man zwischen Verifi kation und Das Enrolment bezeichnet den Vorgang, biome-
Identifi kation. trische Merkmale in das System aufzunehmen.
Dabei werden in der Regel mehrere Bilder des
BAC (Basic Access Control): Merkmals gemacht. Sie werden in gemittelter
Form als Template hinterlegt.
Die BAC ist ein einfaches kryptographisches
Verfahren zur verschlüsselten Kommunikati- Fehlerraten:
on des ePasses mit dem Lesegerät. Der Key wird
dabei aus den Daten der MRZ generiert. Da der FTA (Failure To Acquire): Die FTA gibt die
Schlüsselraum nicht besonders groß und auch Wahrscheinlichkeit an, mit der ein Merkmal
relativ leicht zugänglich ist, werden auf diese nicht vom Sensor aufgenommen werden kann.
Weise nur vorgeblich wenig sensitive Informa-
tionen, das digitale Gesichtsbild und der Inhalt FTE (Failure To Enrol): Die FTE gibt die Wahr-
der MRZ, geschützt. scheinlichkeit an, mit der die Erkennungssoft-
ware aus den Daten des Sensors keine Merkma-
Biometrie: le extrahieren kann.
Der Begriff Biometrie setzt sich aus den griechi- FRR (False Rejection Rate): Die Falschrückwei-
schen Worten bio (das Leben) und metron (das sungsrate gibt die Wahrscheinlichkeit an, mit
Maß) zusammen und bedeutet “die Vermes- der der rechtmäßige Besitzer der biometrischen
sung des Lebens”. Heutzutage bezeichnet der Referenzdaten fälschlicherweise zurückgewie-
Begriff die Erfassung oder Erkennung von Per- sen wird.
sonen anhand von spezifischen Körpermerkma-
len. FAR (False Acception Rate): Die Falschakzep-
tanzrate gibt die Wahrscheinlichkeit an, mit der
EAC (Extended Access Control): ein fremdes Individuum bei der Präsentation
seines biometrischen Merkmals fälschlicher-
Die EAC ist ein kryptographisches Verfahren weise als der rechtmäßige Eigentümer der Refe-
zur zusätzlichen Verschlüsselung der Kommu- renzdaten erkannt wird.
nikation für sensitivere Daten des ePasses, wie
z.B. die Fingerabdruck- oder Irisbilder. Grund-
lage ist RSA/DSA mit elliptischen Kurven und
Hashes von 224 Bit (in Deutschland). Dabei
muß einzelnen Staaten der Zugriff auf die

I WILL NOT BUY THIS RECORD, IT IS SCRATCHED
ICAO (International Civil Aviation OCR (Optical Character Recognition):

Organization):
Texterkennung oder auch Optische Zeichener-
Die internationale Zivilluftfahrtsorganisatio kennung ist ein Begriff aus dem IT-Bereich und
n ist eine Sonderorganisation der Vereinten beschreibt die automatische Texterkennung von
Nationen, welche mit der Planung des einer gedruckten Vorlage.
zivilen Luftverkehrs beauftragt ist. Sie wurde
1944 gegründet, hat ihren Sitz in Montreal OCR-B
und verfügt über sieben Regionalbüros.
Zu ihren Aufgaben gehört die Regelung Eine 1968 von Adrian Frutiger für Monotype
der internationalen Verkehrsrechte, die entworfene Schriftart, die ebenso wie die älte-
Standardisierung und der Auf bau von re OCR-A für das rechnergestütze Auslesen
Infrastrukturen. optimiert wurde, aber im Gegensatz zur OCR-
A eine bessere Lesbarkeit für Menschen bringt.
Identifikation: OCR-B ist zum ISO 1073/II-1976 (E) Standard
konform.
Die Identifi kation ist der 1:n Abgleich gegen
mehrere, in einer Datenbank gespeicherten PKI (Public Key Infrastructure):
Templates.
Eine PKI ist eine zertifi katsbasierte Technologie
LDS (Logical Data Structure): zur Verwaltung und Verteilung von kryptogra-
phischen Schlüsseln. Sie dient dem Zugriffs-
Standardisiertes Datenformat für weltweite schutz.
Interoperabilität bei der Speicherung der biome-
trischen Informationen RFID (Radio Frequency Identification):
MRTD (Machine Readable Travel RF-Chips sind winzige Transponder. Sie

Documents): können per Funk Daten zu einem Lesegerät
übermitteln und von diesem zu empfangen.
Als maschinenlesbare Reisedokumente nach RF-Chips sind in verschiedensten Bauformen
der ICAO-Spezifi kation verstehen sich auch der und Leistungseigenschaften am Markt
deutsche Reisepaß sowie der Personalausweis. erhältlich.
Beide beinhalten zwei Textzeilen in einer OCR-
optimierten Schriftart (OCR-B). In der neu- Template:
esten Fassung beinhalten die Spezifi kationen
auch die Aufnahme eines RFID (siehe Artikel). Als Template wird der Datensatz bezeichnet, der
beim Enrolment angelegt wird und das biome-
MRZ (Machine Readable Zone): trische Merkmal der Person enthält. Templa-
tes können entweder in Datenbanken oder auf
Maschinenlesbarer Bereich auf Ausweisdoku- SmartCards gespeichert werden.
menten. In Deutschland beinhaltet er die Aus-
weisnummer, das Geburts- und das Gültigkeits- Verifikation:
datum sowie Prüfziffern. Diese Daten sind in
der Schriftart OCR-B aufgedruckt und können Die Verifi kation beschreibt einen 1:1 Abgleich
optisch ausgelesen werden. Sie dienen der Ver- zwischen dem aktuell gemessenen Merkmal
schlüsselung der Kommunikation zwischen und einem Template. Vor Beginn muß dem Sys-
Lesegerät und RFID-Chip im ePass. tem das Merkmal oder eine eindeutige ID über-
geben werden, die ein Template repräsentiert.

13
ALWAYS ASK YOURSELF: "WHAT WOULD MACGYVER DO"!
C
Fingerabdrücke nachmachen
leichtgemacht
Eine Anleitung zum Kopieren von Fingerabdrücken mit Haus- und Büromitteln.
Zum Erstellen einer Fingerspitzenattrappe

benötigt man natürlich zuerst ein Original.
Gute Quellen für Fingerbilder sind Glasoberflä-
chen, Hochglanzpapier und poliertes Metall.
Da wir uns jedoch auf Hausmittel beschränken

wollen, benutzen wir die niederschlagenden
Dämpfe von Sekundenkleber. Dessen Hauptbe-
standteil, Cyanoacrylat, reagiert hervorragend
mit dem Fett im Fingerabdruck. Wer schon
einmal Sekundenkleber an den Fingerspitzen
Die Fett- und Schweißrückstände ergeben ent- hatte, wird das bestätigen können.
lang der Kapillaren das Muster. In Kriminalis-
tenkreisen ist die üblichste Methode zum Sicht-
barmachen des Bilds farbiges feines Pulver,
welches mit einem weichen Pinsel aufgetragen
wird:
Um den Dampf auf dem Fingerabdruck zu kon-

zentrieren, hält man einfach eine Kappe voll
Kleber darüber und wartet, bis er aushärtet.

Für die weitere Bearbeitung am Rechner kann

und muß das Bild nun digitalisiert werden.
Profi-Equipment ist dazu nicht vonnöten, eine
handelsübliche Digitalkamera genügt.
Die Masse, in die wir das Relief prägen, braucht

Eigenschaften, die uns unter anderem Holzleim
mitbringt: plastisch formbar bis zum Aushär-
ten, danach elastisch auf der Fingerkuppe und
natürlich leicht klebend.
Nun kann am Bildbearbeitungsprogamm die

Qualität des Bilds verbessert werden, Kanten
deutlicher hervorgehoben und der Kontrast
erhöht werden.
Um die optimale Viskosität zu erhalten, kann

man gerne noch etwas Glycerin beigeben. Die
entstehende Mischung bringt man nun gleich-
mäßig in dünner Schicht auf die Folie auf.
Da unsere Fingerattrappe wie ein Stempel funk-
tioniert, muß ein deutliches Relief in die Masse Nach ein paar Minuten ist der Kleber ausge-
gebracht werden. Der einfachste Weg ist, mit härtet und bringt bereits alle Eigenschaften
einem Laserdrucker das Negativ des Fingerbilds für eine gute Maskierung des eigenen Finger-
auf Folie zu drucken. bilds mit: hohe Elastizität, geringe Dicke (damit
die Attrappe nicht auffällt) und natürlich eine
Der Toner schichtet sich, je nach Helligkeit, in Kopie des Fingerbilds, mit dem wir uns verklei-
unterschiedlicher Dicke auf der Folie auf. Wir den wollen.
erhalten das gewünschte Relief.

15
Nun muß die Attrappe nur noch in Fingerab- Der Chaos Computer Club wünscht viel Spaß
druckgröße ausgeschnitten und mit ein wenig mit ihrer neuen Identität.
Kleber (am unbedenklichsten: Maskenkleber,
aber nicht in jedem Haushalt zu finden) fixiert
werden.

KNOWLEDGE BRINGS FEAR
C
Inside ePassports
von Harald Welte <laforge@gnumonks.org>
Electronic passports that are deployed arond the world (including Germany) will be based
on RFID technology. To understand its implication, knowledge about those technologies
is essential.
Introduction Organization of Data
Technically speaking, ePassports are ICAO com- Data on the ePassport is organized according
pliant MRTD’s. ICAO is an international body to a specification called LDS (logical data struc-
that already specifies the current OCR readab- ture). LDS specifies a number of DG (Data
le lines on travel documents. The ICAO MRTD Groups), as well as the encoding of the data. The
specifications are publicly available from the most important data groups are:
ICAO homepage.
• DG1 (mandatory) contains the same data as
From a technical point of view, ePassports are printed on the cover page like name, date of
ISO 14443-1,2,3,4 compliant contactless smart birth, expiration date, document number, nati-
cards. On top of 14443-4 transport layer protocol, onality, etc.
APDU’s according to ISO 7816-4 are exchanged. • DG2 (mandatory) contains the JPEG2000
For those readers who are not familiar with encoded facial image and corresponding biome-
smart card technology: ISO 7816-4 tries to spe- tric data
cify interindustry commands for interchange • DG3 (optional) contains biometric fingerprint
with ID cards. data - not in German passports
• DG4 (optional) contains biometric iris data -
The ISO 7816-4 smartcard provides a fi lesys- not in German passports
tem based interface to the information stored on
the ePassport. The application software issues ICAO requires data in DG1 and DG2 to be stored
high-level commands such as “SELECT FILE”, unencrypted, since it only resembles the data
“READ BINARY” to the
MRTD. The ICAO recom-
mends a minimum memo-
ry size of 32kBytes. Howe-
ver, it recommends as much
memory as possible, and
indicates 512kBytes as a tar-
get. As of now, the MRTD
chip has to operate in a write
once, read many fashion.
After the document is issu-
ed, it must not be allowed
to change any data. Future
standards may include the
possibility to store electro-
nic visa data. Passport-Sample (14443-B) and CM5121 Reader PCB

17
that is human-readable on the printed pages of the EF.SOD signature(s). This assures that the
the passport. Additional biometric data such content of the data groups is signed by the issu-
as iris and/or fi ngerprint information may be ing country. However, passive authentication
stored in an encrypted format. As of now, this is does not prevent copying of a MRTD.
up to the issuing country. Any form of encryp-
tion is outside the ICAO MRTD specifications Active Authentication (optional)
and will thus not work interoperable on an inter- Active authentication can be employed to verify
national level. that the chip has not been substituted. It is
based on a challenge response protocol. The
All biometric information stored within LDS MRTD chip contains an active authentication
is further encoded according to CBEFF (Com- public key pair (KPrAA and KPuAA). A hash
mon Biometric Exchange File Format, NISTIR representation of KPuAA is stored in EF.SOD
6529-A), a common fi le format that facilita- and therefore authenticated by the issuing
tes exchange and interoperablity of biometric country certifiate. KPrAA is stored in on-chip
data. Each data group is cryptographically sig- secure memory.
ned. The signature is stored in EF.SOD (Securi-
ty Object Data). Basic Access Control (optional, implemented
in Geman ePassports)
Security Features Basic access control denies access to the MRTD
Randomization of unique serial number chip until the inspection system proves that it
All ISO14443 compatible RFID chips disclose a is authorized to access the chip. This proof of
unique serial number during the anticollision authorization is done by deriving a pair of keys
procedure. This poses the potential threat of (Kmac and Kenc) from the OCR-read machine
pseudonymised tracking. The German BSI readable zone (MRZ). BAC can therefore pre-
therefore requires this randomization of the vent unauthorized “harvesting” of passport
serial number. data without being noticed by the passport hol-
der. BAC also mandates that any communica-
Passive Authentication (mandatory) tion following-up to BAC has to be encrypted
Passive authentication performs verification of via ISO 7816-7/8 secure messaging (SM). This

transport level security can be somewhat com- Crypto Algorithms

pared to running TLS on top of a TCP session.
The ICAO MRTD specification allows RSA,
Extended Access Control (optional) DSA and Elliptic Curve DSA with various mini-
Extended Access Control prevents unauthorized mal key lengths:
access to additional biometrics. It is similar to
Basic Access Control, but requires separate keys Algorithm Active Document Country
and key management. There is no ICAO MRTD Auth Signer Signing CA
standard on how it is implemented or used, and
therefore subject to the issuing state. RSA 1024 2048 3072
The Public Key Hierarchy DSA 1024/160 2048/224 3072/256
The PKI hierarchy is obviously nothing that ECDSA 160 224 256
directly affects the passport itself. However, it
is integral to the security of the system, so this Security threats
paper provides a quick overview: Small Keyspace of basic access control
The entropy of the MRZ data used to derive
All keys are issued in the familiar form of X.509 Kenc and Kmac for basic access control is very
certificates. Each issuing state operates its own limited. The nine digit document number is
“Country Singing CA”. There is no supernati- concatenated with the date of birth and the
onal Root CA. This is neccessary, since every expiration date of the document.
country decides on its own if it recognizes a par-
ticular other country. This also means that every Since ICAO MRTD specifications recommend
reader (“inspection system”) has to store the ePassports not to be valid for more than five
Document Signer Certificate of every recogni- years, the expiration date can only be one out of
zed issuing country. (365*5 = 1325) values.
The individual ePassports are signed using The date of birth can realistically assume only
Document Signer Keys. The Document Signer values between 18 and 90 years old (365*72 =
Keys are in turn signed by the Country Signing 26280). Also, in case of a specific person, the
CA. Document Signer keys have limited lifeti- range of the DOB can often be estimated to a
me, and it is recommended that issuing coun- certain range.
tries delete the private key after the last passport
for that key has been issued. Issuing coun- Document Numbers are issued sequentially in
tries have to provide certificate revocation lists some countries, and can therefore be reduced to
(CRLs) at least every 90 days, but not more often certain ranges. In Germany, the first four digits
than every 48 hours. specify the issuing department, and the follo-
wing five digits increment sequentially.
The ICAO operates a “public key directory”
which will be set up as X.500 directory, updates Grandmaster Chess Attack
are performed over LDAP. All communication
with the PKD is SSL authenticated. The PKD The Active Authentication mechanism is meant
stores Document Signer Certificates, but not to prevemt chip substitution (e.g. carbon copy-
Country signing CA certificates. ICAO veri- ing). However, it cannot prevent a “grandmaster
fies signatures of all incoming Certificates and chess attack”, where the inspection system talks
CRL’s before making them available. The PKD to a “proxy” chip that would temporarily com-
has public read access on the internet. Coun- municate with the original MRTD.
try signing CA certificates will be provided bila-
terally between countries.

19
BSI ÜBERRASCHT: BIOMETRIE FUNKTIONIERT NICHT!
C
Die Auswertung der BioP II
Studie des BSI
von Zapf Dingbatz und 46halbe
Auf die 170-seitige Studie BioP II, die vom BSI beauftragt wurde, um die Praxistauglich-
keit biometrischer Systeme zu testen, lohnt ein etwas längerer Blick. Wir haben ihn gewagt
und wollen euch die Ergebnisse nicht vorenthalten.
Vor dem Gesetzemachen sollte die Sachkunde jahr 2005 Teilergebnisse auf Symposien und
kommen. So wäre es zumindest idealerweise. Informationsveranstaltungen herum.
Biometrie ist ein recht neues und unerforsch-
tes Feld. Also, dachte sich der Gesetzgeber, wäre Das BSI, eine deutsche Behörde mit allen Vor-
es eine gute Idee, vor der massenweisen Ein- und Nachteilen, publizierte mit mehrmonatiger
führung von biometrischen Merkmalen in Per- Verspätung dann das Ergebnis mit dem lapida-
sonaldokumenten erstmal zu prüfen, ob das ren Hinweis, daß die politischen Gegebenhei-
Ganze überhaupt funktioniert. Da das Ergebnis ten die Zielsetzung der Studie leider überholt
der ersten Studie des Bundesamtes für Sicher- hätten. Nun ist aber das BSI eine nachgeord-
heit in der Informationstechnik (BSI) dazu nicht nete und damit weisungsgebundene Behörde
so ganz praxisnah war, wurde nunmehr ein grö- des Innenministeriums. Dies schlug sich dann
ßer angelegter Feldtest angesetzt, die BioP-II- auch deutlich in der Interpretation der Studi-
Studie. Durchgeführt von der Secunet Securi- enresultate und der Fülle der nicht publizier-
ty Networks AG, dem Dienstleister für (fast) alle ten Details nieder. Das Amt stellte die Version
Fälle des BSI. 1.8 der Studie für einige Stunden online, zog sie
dann wieder zurück und publizierte Tage später
Nun interessiert sich aber der dazumalige die Version 2.0.
Innenminister, der allseits beliebte und bekann-
te Otto Schily, nicht allzusehr für Fakten. Daß Durch diesen Zufall ist ein gewisser Einblick
die ganze hochgelobte Biometrie nicht funkti- in den Prozeß der Bearbeitung möglich. Leider
onieren könnte, war keine in Frage kommen- gehen die daraus zu gewinnenden Erkenntnis-
de Möglichkeit. Es ging ja schließlich um die se nicht über die Bestätigung des Verdachts der
Sicherheit des Abendlandes vor den Gefahren dramatischen politischen Einflußnahme hin-
des internationalen Terrors und die Förderung aus. Eine Version 1.0 oder so mit allen Anhän-
der darniederliegenden deutschen Industrie. gen wäre sehr interessant (falls die jemand
Also drückten seine Ministerialen unter Schilys rumliegen hat: email an ds@ccc.de oder im vor-
Ägide über den Umweg EU und ICAO am Bun- geschriebenen neutralen braunen Umschlag an
destag vorbei durch, daß Fingerabdrücke und die bekannte Adresse aus dem Impressum).
Gesichtserkennung in die Reisepässe kommen.
Wohlgemerkt, bevor die Ergebnisse der BioP-II- Hier nun eine Auswertung der Studie unter
Studie offi ziell vorlagen, die doch “Hilfestel- Berücksichtigung beider Versionen. Der
lung für die Art und Weise der Einführung der geneigten Leser kann die Studie als Referenz
neuen ePässe geben” sollten. Nicht, daß Schily hinzuziehen, da wir für einige Anmerkun-
die Ergebnisse der Studie nicht schon gekannt gen die Seitenzahlen der Version 2.0 angeben:
hat; Mitarbeiter des BSI zeigten bereits ab Früh- http://www.bsi.de/literat/studien/biop/biopabschluss2.pdf

Aufbau der Studie konform. Schade, war die ICAO-Konformität

doch gerade eine wesentliche Zielsetzung der
Je ein Iris-, ein Gesichts- und zwei Fingerab- Studie. Die eigentlich vorgesehenen Untersu-
druckerkennungssysteme wurden an vier Test- chungen zur RF-Technik und deren Sicherheits-
standorten am Flughafen Frankfurt/Main von mechanismen mußten daher nun in eine sepa-
insgesamt 2081 Mitarbeitern der Fraport AG, rate Projektreihe “ILSE” ausgelagert werden.
der Lufthansa AG und des Bundesgrenzschut-
zes (heute Bundespolizei) getestet. Der Feld- Ganz zeitgemäß wurde aber die Teilnehmermo-
test gliederte sich in zwei Testzyklen von jeweils tivation angegangen. “Im Rahmen des Enrol-
acht Wochen. ments konnten die Testpersonen an einer
Verlosung teilnehmen, bei der es Uhren mit
Es handelte sich um vier bereits am Markt projektspezifischem Design zu gewinnen gab.
befindliche Produkte. Der sogenannte Test- Um einem Sinken der Betätigungszahlen ent-
sieger der vorangegangenen BioP-I-Studie der gegenzuwirken, wurde während des Feldtests
Firma Cognitec Systems GmbH wurde als einzi- eine Incentivierung für Teilnehmer ausge-
ges Gesichtserkennungssystem geprüft. Offen- lobt, die eine Mindestanzahl von Betätigun-
bar hoffte man, sie hätten ihr Produkt mit- gen erreichen.” Wie genau die “Incentivie-
tlerweile verbessert. rung” aussah, bleibt leider
Außerdem wurden aus unklar. Stilecht wären Kaf-
acht nicht in der Stu- feetassen, Kalender, Kugel-
die benannten Anbie- schreiber und Klopapier
tern nach unklaren mit “projektspezifischem
Auswahlkriterien zwei Design” gewesen. Trotz
Fingerabdrucksysteme dieser umfangreic hen
der Firmen Dermalog Motivationsmaßnahmen
Identification Systems sprangen etwa 400 Teil-
GmbH und Bundes- nehmer nach dem Enrol-
druckerei GmbH aus- ment ab, 1600 Probanden
gewählt. Der vier- sind also die eigentliche
te Kandidat war das Gesamt-Testpopulation.
Iriserkennungssys-
tem von SD Industries Enrolment
GmbH (heute takeID
GmbH). Man kann nur Die Failure to Enrol (FTE)
spekulieren, was die Rate zeigt an, wieviel Pro-
Tester bewegte, gera- zent der Teilnehmer nicht
de diese Anbieter aus- erfaßt werden können. Bei
zuwählen. In der Stu- der Fingerabdruck- und
die findet sich nur Iriserkennung sind 0,4 bis
der Hinweis auf eine 0,99 Prozent der Teilneh-
“Marktsichtung” ohne mer bereits beim Enrol-
Angabe der Kriterien. ment gescheitert. Für die
Gesichtserkennung konn-
Die Probanden erhiel- ten zwar alle Proban-
ten eine SmartCard Hygiene muss groß den enrolt werden, jedoch
(RF-Token) mit einer geschrieben werden weist die Studie auf den
UserID. Diese sollte Umstand hin, daß es in
den Chip im Paß simulieren. Die verwendeten der Praxis Personen geben wird, bei denen aus
Chips waren jedoch aufgrund der “Verfügbar- religiösen oder kulturellen Gründen keine Auf-
keit und Kostensituation” leider nicht ICAO- nahmen des Gesichtes möglich sein werden.

21
Da war ihnen wohl die null Prozent FTE bei fenträger konnten schlicht die Positionierungs-
der Gesichtserkennung selbst unheimlich. Das markierungen ohne Brille nicht sehen).
unrealistische Enrolment-Setup (speziell von
Experten angefertigte Bilder, Nachbearbeitung In der Studie klingt das dann so: Bei SD Indus-
mit Adobe Photoshop) dürfte aber der eigentli- tries “traten Positionierungsschwierigkeiten
che Grund für die unrealistisch niedrige FTE- gehäuft auf, da Teilnehmer gleichzeitig den
Rate sein. richtigen Abstand zum Gerät und den Fokus-
punkt (Positionierung des Auges in der Mitte
Doch nicht nur das, denn die Messung der FTE des Spiegels der Sensoreinheit) finden mußten.
in der Studie schließt Fehler, die durch falsche Teilnehmer mußten sich oft ein Auge zuhal-
Bedienung der Systeme beim Enrolment ent- ten, um zu fokussieren. Die Kopplung mit einer
standen sind, explizit aus. Sie werden gar nicht trägen akustischen Rückmeldung bzgl. des
als Fehlversuch ausgewiesen. In der Praxis ist Abstands führte zu ‘Schaukel’-Bewegungen.
daher natürlich eine höhere FTE zu erwarten. Außerdem wurde von einer Reihe von Teilneh-
Hinzu kommt, daß die Ergebnisse der FTE mern die Sensoreinheit nicht auf die der Kör-
nochmals dadurch geschönt wurden, daß ein pergröße angemessene Position eingestellt.
Re-Enrolment vorgenommen wurde. Man mach- Viele größere Teilnehmer bückten sich, anstatt
te kurzen Prozeß und erfaßte bis zu 5 Prozent die Einstellung zu verändern.” Wenn man das
der Teilnehmer einfach nochmals. Die Begrün- mal vor seinem inneren Auge ablaufen läßt, so
dung ist so einfach, wie sie vermutlich gelo- scheint es an der Grenze in Zukunft auch lusti-
gen ist: “Systemfehler”. Behauptet wird, daß ge Momente zu geben.
während des ersten Enrolments teilweise keine
Templates in der Datenbank gespeichert wor- Personen, die kleiner als 1,55 m waren, konn-
den wären. Dies erscheint ziemlich zweifelhaft, ten gar nicht oder nur unter großen Mühen am
da jeweils nach einem Enrolment immer eine Test teilnehmen. Warum auch, der Bürger kann
Testverifikation stattfindet. Diese kann ohne schließlich seine Körpergröße oder Sehstärke
ein Template aber nicht funktioniert haben. Es den Geräten anpassen, und nicht umgekehrt.
bleibt also der Verdacht, daß die in der Einfüh-
rungsphase besonders häufig zurückgewiese- Überwindungssicherheit
nen Personen re-enrolt wurden, um die Ergeb-
nisse der FTE zu verbessern. Günstig ist dabei Der geneigte Hacker fragt sich bei biometri-
auch der Mitnahmeeffekt - die Falschrückwei- schen Systemen natürlich als erstes: Kommt
sungsrate sinkt ebenfalls. Praktisch bedeute- man da durch? So ging es offenbar auch den
te dieses Vorgehen jedoch, daß 5 Prozent der Studienbetreuern beim BSI und den Durchfüh-
Personen jeweils einen neuen Paß bekommen rern bei Secunet. In den Kriterien zur Bewer-
würden. Der geneigte Leser darf sich die auf die tung der getesten Systeme heißt es denn auch:
Gesamtbevölkerung hochgerechneten Zahlen “Fake-Resistenz: Biometrische Systeme müs-
selbst überlegen. sen insbesondere bei unüberwachtem Betrieb
eine ausreichende Resistenz gegen Kopien des
Weitere Probleme zeigten sich bei der Aufnah- betreffenden Merkmals aufweisen. In Abhän-
me der biometrischen Merkmale in die Daten- gigkeit des verwendeten Verfahrens kann aber
banken. Die Positionierung vor dem Iriserken- auch bei überwachtem Betrieb eine ausrei-
nungssystem erwies sich für die Probanden chende Fake-Resistenz erforderlich sein. Des-
als außerordentliche Schwierigkeit. Besonders halb stellt die Fake-Resistenz ein wichtiges
bei den Brillenträgern (42 Prozent der Popula- Bewertungskriterium dar.” Deswegen fließt die-
tion), die ihre Brille zur Präsentation der Iris ses Kriterium dann auch mit atemberauben-
abnehmen mußten, zeigte das System von SD den 4 Prozent in die Gewichtung der Gesamt-
Industries während des Enrolments sowie im bewertung ein. Eine höhere Gewichtung hätte
gesamten Feldtest seine Schwächen. Die Benut- wohl sonst die Auswertung nachhaltig versaut.
zerführung war einfach untauglich (die Sehhil- Die Ergebnisse der Versuche waren offenbar

ähnlich erschreckend wie jene aus den (bereits tet. Die Erläuterung auf Seite 158 gibt die Note 4
hinlänglich in der Datenschleuder publizierten) wie folgt an: “Überwindung mit mittlerem Auf-
Forschungen des CCC. wand erfolgreich (mit Zugriff auf das Merkmal
eines Berechtigten)”. Um das etwas besser ein-
“Bei den hier erfolgten Überwindungsversu- ordnen zu können, hier der Klartext der nächst-
chen handelt es sich ganz überwiegend um besseren Note 3: “Überwindung mit mittlerem
Labortests, die nur vorläufige Aussagen zulas- Aufwand sowie Spezialwissen und/oder spezi-
sen. Auf eine detaillierte Darstellung wird in ellen Hilfsmitteln erfolgreich”.
diesem Bericht daher verzichtet.” So lautet der
peinlich dürre Kommentar zum Thema Über- Zu deutsch: eine Note 4 bedeutet, daß ohne Spe-
windungssicherheit in der Studie, in verschiede- zialwissen und spezielle Hilfsmittel eine Über-
nen Formulierungsvarianten. Daß die Systeme windung problemlos möglich ist. Das deckt sich
überwindungssicher sind, konnte also wieder- mit unseren Erkenntnissen, auch wenn das BSI
einmal nicht gezeigt werden. Der IT-Direktor vermutlich die in der Datenschleuder beschrie-
des BMI, Martin Schallbruch, merkte auf einer bene Vorgehensweise zum Nachbau eines Fin-
Informationsveranstaltung an, man wolle gerabdrucks als “Spezialwissen” sowie Holz-
schließlich den Fälschern keinen Vorschub leis- kaltleim, Digitalkamera und Sekundenkleber
ten. Warum deshalb aber nicht mal die Ergeb- als “spezielle Hilfsmittel” einstufen würde.
nisse der Überwindungssicherheitstests publi-
ziert werden, bleibt sein Geheimnis. Er wollte es Der Kommentar des Innenministeriums, daß
auch auf Nachfrage nicht lüften. Aufmerksames Details zur Überwindungssicherheit nicht
Lesen der Studie fördert jedoch ein paar Hin- publiziert würden, “um Fälschern keine Anlei-
�
weise zu Tage. tung zu geben”, ist also absolut wörtlich zu
nehmen. Die getesteten Fingerabdruck- und
��
Die beiden Fingerabdrucksysteme und das Gesichtserkennungssysteme sind allesamt als
Gesichtserkennungssystem wurden in der so unsicher einzustufen, daß sogar nur moderat
�
Abschlußauswertung (Seite 161) in der Rubrik clevere Übeltäter kein Problem beim Überwin-
“Fake-Resistenz”
� jeweils mit der Note 4 bewer- den haben werden. Beide Fingerabdrucksyste-
� � � ��
� � ��
� � ��
��
� ��
��
��
��
��
��
��
� ��
� ��
��
��
� ��
��
� � � � ��
��
��
� ��
� ��
� ��
� � � � ��
��
��
� � ��
��
23
me wiesen nicht einmal eine Lebenderkennung hochgradig unrealistisch. Normale Reisende

auf. Beim Gesichtserkennungssystem wurde passieren selten mehr als 30 mal pro Jahr eine
die Lebenderkennung mit der Begründung Schengen-Außengrenze. Somit wenden wir
abgeschaltet, daß sonst die False Rejection Rate unsere Aufmerksamkeit den “Wenignutzern”
(FRR) so ansteigen würde, daß ein Praxisein- (0 bis 10 Bedienvorgänge) und den “sporadi-
satz unmöglich wird (S. 63, Fußnote 2). schen Nutzern” (10 bis 30 Benutzungen) zu, die
eher dem Profi l des normalen Reisenden ent-
Ein weiterer interessanter Aspekt ist die Beno- sprechen dürften.
tung für die Systemsicherheit. Dabei sah es
offenbar noch schlimmer aus als bei der Über- In dieser Nutzergruppe finden sich False Rejec-
windungssicherheit. “Systemsicherheit: Dieses tion Rates jenseits von allem, was noch als
Kriterium bewertet die bereitgestellten Syste- “akzeptabel” schöngeredet werden könnte. Je
me hinsichtlich physischer Sicherheit, Sicher- nach verwendetem System (Gesicht und Finger)
heit der Verarbeitungseinheit und Sicherheit wurden in der Studie unter optimalen Bedin-
der Anwendungssoftware. Da es sich bei den gungen zwischen 4 und 10 Prozent der Nut-
in BioP II eingesetzten Systemen um Proto- zer fälschlich zurückgewiesen. Die Iriserken-
typen handelt, geht dieses Kriterium nur mit nung wurde selbst nach BSI-Maßtäben total
geringem Gewicht in die Bewertung ein.” Das deklassiert, mehr als 20 Prozent der Wenig-
BSI rechnete also von vornherein damit, nur nutzer wurden nicht korrekt erkannt. Das wäre
Systeme geliefert zu bekommen, bei denen die wohl selbst für die hinsichtlich Technikverpei-
Hersteller froh sind, wenn sie gerade mal so lung in industriellem Maßstab sehr toleranten
funktionieren. Die Noten weisen hier auf ein Deutschen im Alltag an den Grenzübergängen
Totalversagen aller Systeme, mit Ausnahme der undenkbar. Rechnet man beispielsweise mal
Cognitec Gesichtserkennung. die ermittelten Zahlen der FRR auf alle poten-
tiellen Paßbesitzer hoch, so würden mit den
Die ausgeprägte Paranoia der Studiendurch- vorgeblich recht akzeptablen Ergebnissen der
führer, was die Ergebnisse der Übwindungssi- Gesichtserkennung über 5 Millionen Menschen
cherheitstests betrifft, ist bemerkenswert. Die fälschlich zurückgewiesen, wenn man sie rea-
Schwächen der Systeme sind ja hinlänglich listischerweise in die Gruppe der sporadischen
bekannt. Jeglicher Hinweis auf die entsprechen- Nutzer einordnet.
den Anlagen wurde durchgehend in Version 2.0
der Studie getilgt. Daß die Endbenotung für Die besonders ganz am Anfang des Feldtests
Systemsicherheit und Fake-Resistenz noch in auftretenden signifikant schlechten Erken-
der Studie verblieb, ist vermutlich wohl einzig nungsleistungen gingen dabei erst gar nicht
dem Umstand zu verdanken, daß die Autoren in die Ergebnisse ein. Die Datenbasis verklei-
sich nicht komplett lächerlich machen wollten. nert sich aber noch weiter, denn bei der geteste-
ten Gesichtserkennungssoftware von Cognitec
Erkennungsleistungen war offenbar auch dadurch nichts mehr zu ret-
ten. Kurzerhand wurde hier im laufenden Feld-
In der offi ziellen Auswertungszusammenfas- test eine Umkonfiguration vorgenommen. Zwar
sung werden vorwiegend die Zahlen zur Erken- waren die geforderten Parameter des Herstel-
nungsleistung verwendet, die sich auf die soge- lers eingehalten worden, es gab aber “System-
nannten “Normalnutzer” beziehen. Aufgrund fehler”. Also mußte mitten im Test ein zweiter
der Tatsache, daß die Probanden die Syste- Testzyklus begonnen werden. Alles noch mal
me mit sehr unterschiedlichen Häufi gkeiten auf Null. Der Schwellwert, ab welcher eine Veri-
benutzten, wurden sie in Benutzerklassen ein- fi kation als erfolgreich bewertet wird, wurde
geteilt. Normalnutzer sind als solche Testteil- bei der Gelegenheit gleich noch von 0,7 auf 0,5
nehmer defi niert, die wenigstens 30 Bedien- gesenkt.
vorgänge durchgeführt haben. Das ist natürlich
für einen durchschnittlichen Reisepaßbesitzer

Die Masterreferenz zur Messung der Erken- die ermittelten Werte noch weiter verschönert
nungsleistungen blieb dennoch entgegen der haben. In der Studie wird hier von einer gewis-
Zielsetzung der Studie das jeweilige Systemtem- sen “Bereinigung” gesprochen. Zunächst gin-
plate des Herstellers. Die Gesichtserkennung gen keine Messungen in die FRR ein, die durch
von Cognitec in Testzyklus 2 ist hier die einzi- “signifikant variierte Testbedingungen” beein-
ge Ausnahme. Das Systemtemplate schneidet flußt worden waren. An den Grenzübergängen
natürlich gegenüber dem ICAO-Bild bei allen müßten demnach also recht homogene Bedin-
anderen Verfahren hinsichtlich der FRR besser gungen herrschen - eine reichlich praxisferne
ab. Es ist daher nicht schwer zu erraten, warum Annahme.
bei der Ermittlung der Erkennungsleistungen
vom eigentlich zu untersuchenden ICAO-Stan- Außerdem präsentierten viele Teilnehmer den
dard abgewichen wurde. Es ist offenbar jedes falschen Finger (5 bis 7 Prozent) oder das fal-
Mittel recht, die Ergebnisse zu verschönern. sche Auge (23 Prozent). Sicher ein Verhalten,
das auch in der Praxis oft vorkommen wird.
Dennoch ergab die Auswertung der Ergebnisse Dieses verschlechtert aber natürlich die Erken-
noch einiges erstaunliches: Bei allen Systemen nungsleistungen weiter. Also wurde die FRR-
wurde ein Teil der Wenignutzer einfach immer Ermittlung sowohl bei dem Fingerabdruck- als
zurückgewiesen. Bei der Iriserkennung betraf auch bei den Iriserkennungssystemen kurzer-
dies sogar über 50 Personen, bei denen die FRR hand auf Basis eines 1:2-Vergleiches vorgenom-
bei 100 Prozent lag. Diese Teilnehmer hatten men. Das heißt, der Vergleich des aktuell prä-
sicher wenig zu lachen. In der Studie wird daher sentierten Merkmals wurde mit dem primären
vermutet, daß besonders bei der Fingerabdruck- und dem sekundären Referenzmerkmal (bei-
und Iriserkennung das Training für die Merk- spielsweise das andere Auge) durchgeführt.
malspräsentation “schwieriger und langwieri- Dies senkt wie gewünscht die FRR, führt jedoch
ger” sein wird als für die Gesichtserkennung. gleichzeitig zu einer höheren Falschakzeptanz-
Bis zum Ende des achtwöchigen Testzyklus rate (False Acceptance Rate, FAR).
ist jedoch ein Sinken der FRR in allen Nutzer-
klassen zu beobachten. Das läßt doch hoffen. In die Auswertung gingen außerdem die Ergeb-
Offenbar auch die Macher der Studie, denn sie nisse der Startphase nicht mit ein. Im Testzyk-
behaupten bei der Gelegenheit, daß mit einer lus 1 war die Dauer dieses sogenannten Teach-
“erhöhten Kooperationsbereitschaft” sei- Ins immerhin sieben Tage. Die “signifikant
tens der Bürger sowie mit Gewöhnungseffek- schlechteren Ergebnisse” dieses Zeitraums
ten gerechnet werden kann. Der Reisende will wurden für das Ergebnis der FRR komplett weg-
schließlich schnell in sein Flugzeug und kann gelassen. Auch im zweiten Testzyklus wurden
sich also ruhig etwas anstrengen. wieder keine Ergebnisse von ganzen 5 Tagen
Die ohnehin dürftigen Ergebnisse der

Erkennungsleistungen müssen allerdings
mit Vorsicht betrachtet werden, da eini-
ge Entscheidungen getroffen wurden, welche

25
Teach-In in die FRR aufgenommen, obgleich die die Testresultate sind so desaströs, daß ohne
Testteilnehmer mit den Systemen ja bereits ver- einen echten und wirklich umfangreichen Feld-
traut waren und ihnen zusätzlich von Betreuern test ein Einsatz der Systeme unverantwortlich
stets “Hinweise und Hilfestellungen” angebo- erscheint.
ten wurden. Der zukünftige Paßbesitzer kann
in der Praxis keine derartigen Trainingsphasen Als Hot Fix ist in der neuesten Version des
erwarten, schon gar nicht, wenn er zu den ers- ICAO-Standards die Aufnahme von Templates
ten Testern im Realszenario gehört. Da winkt in die Daten auf dem RFID-Chip vorgesehen
dann eher die angekündigte “intensive Prü- (vorerst nur für den “nationalen oder bilatera-
fung” an der Grenze. len Einsatz”). Damit sollen die dürftigen Erken-
nungsleistungen bei den ICAO-Bildern umgan-
Weitere ungelöste Probleme, neben den schon gen werden. Für die Gesichtserkennung sollen
erwähnten Brillen, waren Bärte und Kontakt- beim Enrolment manuell diverse Klassifi kati-
linsen. Beispielsweise wurden Voll- oder Teil- onsdaten (Bart, hohe Stirn, Augenklappe usw.)
bartträger von der Cognitec-Software signifi - erfaßt werden, damit die Herausforderung für
kant besser erkannt. Da die Pässe ja 10 Jahre die Erkennungssysteme nicht gar zu sportlich
gelten werden, ist anzunehmen, daß die Abnah- ist. Damit ist dann aber die Behauptung, daß
me eines Bartes zu vermehrten Rückweisungen bis auf den Fingerabdruck nur Daten erfaßt
führen wird. Bei den Brillenträgern zeigte die werden, die ohnehin im Reisepaß vorhanden
Gesichtserkennung von Cognitec während des sind, hinfällig. Die systematische Erfassung
gesamten Tests sehr ausgeprägte Unzulänglich- derartiger Merkmale öffnet ein komplett neues
keiten. 97 Prozent der Personen, die unberech- Problemfeld für den Datenschutz, da somit eine
tigt verifi ziert wurden, trugen eine Brille. Die einfache Rasterung beispielsweise für Fahn-
Weiterentwicklung des Algorithmus brachte lei- dungszwecke möglich wird.
der auch keine Besserung, das Problem blieb
in gleichem Maße vorhanden und ist weiterhin Praxistauglichkeit
ungelöst.
Die Studienergebnisse hinsichtlich der Praxis-
In den Empfehlungen der Studie heißt es tauglichkeit der getesteten Systeme sprechen
schließlich, eine “gründliche Untersuchung eine klare Sprache. Eine Fülle von Detailproble-
der Funktionstüchtigkeit, der Erkennungsleis- men sorgte für Frust. Zumindest an dieser Stel-
tung und der Überwindungssicherheit” der le ist die Studie vergleichsweise ehrlich und gibt
Verfahren sei angeraten. Dem können wir uns den Herstellern deutliche Mängellisten mit, die
nur nachdrücklich anschließen. Die Aussage- schon sehr deutlich machen, welche Probleme
kraft der Ergebnisse der Studie ist begrenzt und

die Systeme im harten Flughafenalltag plagen Verarbeitungszeit

werden.
Im Rahmen der Studie wurde auch die Verar-
Beim Gesichtserkennungssystem von Cog- beitungszeit für die biometrische Identifi ka-
nitec “bedarf die Benutzeroberfläche dringend tion betrachtet. Zu diesen gemessenen Zeiten
einer Überarbeitung. Die jetzige Gestaltung kommt jeweils noch die für das Auslesen des
genügt den ästhetischen Ansprüchen der Teil- RFID-Chips notwendige Zeit hinzu. Die soge-
nehmer nicht und unterminiert das Vertrauen nannte Bedienzeit umfaßt dann den kompletten
in die technische Zuverlässigkeit des Systems. Vorgang vom Auflegen des RF-Token bis zum
Benutzerführung und Rückmeldung sind nahe- Verlassen des Geräts. Die gestoppten mittleren
zu nicht vorhanden.” Obendrein waren etliche Werte liegen hier zwischen 11,1 und 13,3 Sekun-
Kameras der Cognitec-Gesichtserkennung von den. Nochmal zur Erinnerung: Diese Bedien-
Anfang bis Ende der Studie unscharf (die ver- zeit verlängert sich um weitere 4 bis 5 Sekun-
wendeten Philips-Plaste-Webcams haben keine den, wenn die SmartCard mit Secure Messaging
Mechanik zur Fixierung des Objektivs in einer eingesetzt wird, was dem optimistischsten Sze-
Fokuseinstellung). nario für das RFID-Auslesen entspricht (in der
Studie wurden die RFID-Chips durch Smart-
Die beiden Fingerabdrucksysteme “haben mit Cards substituiert).
Bedenken hinsichtlich Hygiene zu kämpfen”.
Aber nicht nur die Reinigung machte Sorgen, Begründet werden die recht langen Bedienzei-
es entstanden auch “Probleme bei der Posi- ten wieder mit den Schwierigkeiten der Teilneh-
tionierung durch die Auflage des Fingers auf mer, sich an den Geräten richtig zu positionie-
den Sensoren. Verschiedene Teilnehmer wuß- ren, sowie mit dem mangelnden ergonomischen
ten nicht, wie der Finger aufzulegen war (Höhe Design und der Gestaltung der Benutzerober-
und Druck), und einige Frauen mit langen Fin- fl ächen. Während die minimalen und mittle-
gernägeln beschwerten sich über die unbündi- ren Verarbeitungszeiten für die biometrische
ge Auflage des Dermalog-Gerätes.” Identifi kation in der Größenordnung von 5 bis
10 Sekunden bei allen Systemen noch halbwegs
Ein prinzipielles Problem, das bei praktisch praxistauglich erscheinen, gibt es dramatische
allen Systemen auftritt, sind die unterschied- Worst-Case-Fälle, bei denen z.B. eine Fingerab-
lichen Erfordernisse der Benutzerführung für druckerkennung knapp zwei Minuten dauert.
Viel- und Wenignutzer. Entweder das System Welche Situationen oder Merkmale zu derarti-
ist hinreichend händchenhaltend für Wenignut- gen Schwierigkeiten führten, bleibt aufgrund
zer und nervt dadurch Vielnutzer mit langwie- der fehlenden Anhänge zur Studie leider kom-
rigen Anweisungen (“Teilnehmer empfi nden plett unklar.
die Stimme auf Dauer als lästig”). Oder es ist so
minimalistisch, daß Vielnutzer schnell durch- Testpopulation
kommen, es stellt aber Wenignutzer vor verwir-
rende Rätsel. Für Farbenblinde ist die verwende- Ein Feldtest biometrischer Verfahren erfordert
te Rot/Grün-Ampel für die Ergebnisdarstellung besondere Sorgfalt in der Auswahl der Proban-
nicht zu gebrauchen. den. Deren Zusammensetzung entscheidet, ob
die Ergebnisse als repräsentativ betrachtet wer-
Im Klartext heißt das, daß die Systeme eigent- den können. Es liegt in der Natur des Men-
lich nur unter geduldiger Betreuung durch den schen, daß seine körperlichen Merkmale dahin-
Grenzbeamten einzusetzen sind. Eine Verwen- gehend variieren, wie gut diese ausgeprägt und
dung für die “do-it-yourself-Grenzpassage” ver- damit erfaßbar sind. Aufgrund der Tatsache,
bietet sich nicht nur wegen des deutlich erhöh- daß die biometrischen Systeme diese Merkma-
ten Risikos von Überwindungsversuchen, le nur unzureichend erkennen können, gilt für
sondern auch wegen der mangelnden Bedien- manche Personen dann auch noch, daß sie häu-
barkeit. figer von Rückweisungen betroffen sein werden.

27
Eine Diskriminierung, gegen die man nichts Wenignutzer waren weniger als 500 Probanden.
machen kann - außer stets ein bißchen mehr Das BSI muß also statistisch aussagekräftige
Zeit einplanen. Beispielsweise bei der Finger- Daten wohl mit den unfreiwilligen Betatestern
abdruckerkennung ergeben sich Schwierigkei- an den Grenzübergängen sammeln.
ten bei Personengruppe wie Senioren oder Men-
schen, deren Fingerkuppen durch Arbeit oder Was kostet der Überwachungsstaat?
Hobby starker Abnutzung ausgesetzt sind.
Die Kosten der Biometrie-Einführüng werden
In dieser Hinsicht ist die Auswahl der Teil- vom Innenministerium in einer Weise vernied-
nehmer der Studie zwar der Verbesserung der licht, die stark an vorherige deutsche Technik-
Erkennungsleistungen förderlich, die Testper- desaster erinnert. Auf Anfrage antwortet das
sonen repräsentieren jedoch in keiner Weise die BMI, daß die notwendige Hardware im Rahmen
Gesamtbevölkerung. Das räumen die Macher von ohnehin anstehenden Ersatzbeschaffungen
der Studie auch ein. Zunächst waren 70 Pro- durchgeführt werde. Das schätzen wir als so
zent der Probanden männlich. Dagegen ist nicht haltbar ein.
im Grunde nichts zu sagen, wäre da nicht das
nicht unbedeutende Detail, daß Männer bei den Wie in der BioP-II-Studie klar dargelegt wird,
gestesteten Systemen in der Studie wie auch sind auch nur annähernd praxistaugliche Ergeb-
in vorangegangenen Tests durchweg bessere nisse bei der Gesichtserkennung nur zu erzie-
Erkennungsleistungen erzielten. Die unterre- len, wenn quasi Laborbedingungen am Grenzü-
präsentierten Frauen bewirken also eine weite- bergang geschaffen werden. Um gleichbleibende
re Beschönigung der Ergebnisse. Lichtverhältnisse und Hintergrundsituationen
zu erzeugen, müssen umfangreiche Umbau-
Schlimmer noch die Alterszusammensetzung: ten durchgeführt werden. Das Gesichtserken-
Die hinsichtlich der biometrischen Merkmale nungssystem erfordert einen schnellen Compu-
deutlich schlechter zu erfassenden Menschen ter, eine Kamera mit brauchbarer Qualität und
ab 60 Jahren tauchen in der Testgruppe kaum ein spezielles homogenes Beleuchtungssystem.
auf (lediglich ein Prozent), obwohl sie in der Schon der Ausfall einer der Ausleuchtungslam-
Gesamtbevölkerung einen Anteil von 30 Prozent pen würde den jeweiligen Grenzübergangs-
haben. Betrachtet man nun die einzelnen Nut- schalter außer Gefecht setzen.
zerklassen, kann man Zweifel bekommen, ob
noch von einem “Feldtest” gesprochen werden Auf der Enrolment-Seite finden sich in der Stu-
kann. Besonders die für die Praxis relevanten die auch diverse Merkwürdigkeiten. Die Fotos
für die Gesichtserken-
nung wurden aufwendig
von Experten des Bundes-
kriminalamtes (BKA) mit
einer eigens beschafften
digitalen Spiegelref lexka-
mera im Wert von etwa ein-
tausend Euro erstellt und
dann noch mit dem nicht
eben preisgünstigen Adobe
Photoshop nachbearbeitet.
Das ganze klingt so der-
maßen unrealistisch im
Praxisbezug, daß sich die
Frage stellt, warum die Not-
wendigkeit eines sol-
Das Diagramm zeigt die Altersstruktur der Testteilnehmer an der BioP2-Studie im Vergleich
zur Verteilung in der Gesamtbevölkerung Deutschlands. chen Vorgehens nicht

schon als Disqualifi kationskriterium ausreich- Wenn ca. 6000 Meldestellen im Schnitt mit je
te. Wenn man das Verfahren auf die Meldestel- vier Gerätesätzen für das Enrolment ausgestat-
len extrapoliert, kommen selbst bei Substitution tet werden, an den 419 Grenzübergangsstel-
der BKA-Experten durch den Fotografen an der len im Schnitt je 15 Erfassungssysteme aufge-
Ecke erhebliche Summen für Software-Lizen- stellt werden (konservative Annahme) und man
zen, Schulungen und Personalaufwand für die ca. 5000 Euro pro System ansetzt (ebenfalls
zusätzlichen Bearbeitungsschritte zusammen. äußerst konservativ), ergeben sich alleine für
Wenn jedes Bild nicht nur eingescannt, son- die Hardware Investitionskosten von mindes-
dern auch noch nachbearbeitet und (wie in der tens 150 Millionen Euro. Hinzu kommen War-
aktuellen ICAO-Spezifi kation vorgesehen) nach tungskosten, Ersatzbeschaffungen, Umbauten
verschiedenen Kriterien klassifiziert werden für die Gesichtserkennung und die Kompensa-
muß, wird es kaum ohne zusätzliches Personal, tion der längeren Abfertigungszeiten, zusätzli-
zusätzliche Computer usw. abgehen. ches Personal, Ausbildungskosten etc. pp. Die
Weiterentwicklung und die Anpassung der bio-
Die Übermittlung der Daten von den Meldestel- metrischen Systeme müssen ebenfalls in eine
len zur Bundesdruckerei soll mit Hilfe der für seriöse Kalkukation eingehen. Hier sollte auch
deutsche Regierungsverschlüsselung standar- der RF-Chip in Betracht gezogen werden, des-
disierten SINA-Boxen erfolgen (die rein zufällig sen Lebensdauer für zehn Jahre ohnehin frag-
die Firma Secunet herstellt, die auch die BioP-II- lich ist. Die geplante Ausweitung der biometri-
Studie durchgeführt hat). Inwieweit zusätzlich schen Technik auf den Personalausweis würde
zu den bisher in den Meldestellen vorhandenen zusätzlich auch die Ausstattung mit Geräten
SINA-Boxen neue beschafft werden müssen, ist für die Polizei berücksichtigen müssen. Alles in
derzeit noch unklar. allem war die Einführung der Autobahn-Maut
dagegen ein Schnäppchen.
Bei Einführung von Fingerabdrücken ist für
jede Meldestelle und jeden Grenzübergangs- Folgerichtig nehmen die Autoren der Studie
schalter ein schneller Computer mit zusätzli- auch Abstand davon, sich zu den Kosten zu
cher Sicherheitshardware (sicheres Speicher- äußern (welcher Beamte widerspricht schon
modul, SINA-Box für Certificate Updates etc.) gern Otto Schily). Wie selbstverständlich wird
für die Extended Access Control, kostenpfl ich- die marode Bundesdruckerei die Herstellung der
tigem Betriebssystem (freilich alles Windows neuen Pässe übernehmen. Der Rahmenvertrag,
2000 Professional) und weiterem Zubehör zu den die Bundesregierung alle drei Jahre verlän-
beschaffen. Hinzu kommen natürlich die Kos- gert, sichert dem vormals dem Bund gehören-
ten für den Fingerabdruck-Scanner. Der Ver- den Privatunternehmen den lukrativen Auftrag.
schleiß der Fingerabdruckscanner ist derzeit Eine EU-weite Ausschreibung des krisensiche-
unklar. Wie jeder Gegenstand, der nicht aus ren Geschäfts fand nicht statt. Trotz professio-
solidem Metall besteht und einige tausend Mal neller Produktpräsentation im eigens errich-
am Tag von Menschen angefaßt wird, dürfte teten Showroom der Bundesdruckerei werden
hier deutlicher Verschleiß anzunehmen sein. Fragen nach den Kosten für Hard- und Softwa-
In der Studie wird von einem Grauschleier auf re auch dort nicht beantwortet. Zu den Gesamt-
den Fingerabdruckbildern der Bundesdrucke- kosten der Einführung des ePasses wollte Schily
rei-Geräte nach 4 Monaten berichtet, und das, natürlich noch immer keine Angaben machen.
obwohl die Scanner mehrmals täglich gereinigt Die erhöhte Paßgebühr soll aber wenigstens die
wurden. Wir können also davon ausgehen, daß jährlichen Betriebskosten für die biometrische
die Scanner an den Flughäfen nur eine recht Erfassung bei der Neuausstellung decken. Die
begrenzte Haltbarkeitsdauer haben werden. einmaligen Kosten für die Geräte sollen 2006
Während der Studie wurden im Schnitt etwa im Haushalt der Bundespolizei enthalten sein.
15.000 Sensorbenutzungen pro System durch- Aber auch über deren Höhe schweigt sich Schi-
geführt, eine Zahl die an einem Flughafen in ly aus.
nur einigen Tagen zustandekommt.

29
WIR BRAUCHTEN DAS GELD!
C
Annex G of ICAO MRTD Specs
Der Annex G der ICAO-Spezifikation für maschinenlesbare Reisedokumente (MRTD) faßt
wunderbar kompakt die Schwächen des Systems zusammen. Die an der Erstellung des
Standards beteiligten Fachleute wollten wohl ihre Reputation nicht leichtfertig riskieren
und haben deshalb die wesentlichen Angriffszenarien relativ ungeschminkt dargestellt.
Der Annex liest sich ein bißchen wie “wir wissen, daß es nicht funktionieren wird, aber
wir brauchten das Geld”.
Technical Report CCRA-compliant certification body according to

PKI for Machine Readable Travel Documents a suitable Common Criteria Protection Profi le
offering ICC read-only access with EAL 4+ SOF-High.
Release : 1.1
Date : October 01, 2004 G.1.2 Active Authentication Keys
Annex G – PKI and Security Threats
It is RECOMMENDED to generate key pairs
G.1 Key Management for Active Authentication on the chip of the
G.1.1 Country Signing CA and MRTD. As the private key is stored on the chip
in secure memory, and the chip hardware has
Document Signer Keys
to resist attacks for the whole validity period of
To protect the private keys it is RECOMMEN- the MRTD, it is RECOMMENDED to use chips
DED to use secure hardware devices for sig- that are successfully certified/validated under a
nature generation (Secure Signature Creation CCRA-compliant certification body according to
Device – SSCD), i.e. the SSCD generates new a suitable Common Criteria Protection Profi le
key pairs, stores and destroys (after expirati- with EAL 4+ SOF-High.
on) the corresponding private key securely. To
protect against attacks on the SSCD including The available chip technology influences the
Side-Channel Attacks (e.g. timing, power con- maximum key length of keys used inside the
sumption, EM emission, fault injection) and chip for Active Authentication. Many chips cur-
attacks against the random number generator it rently do not support key lengths that exceed a
is RECOMMENDED to use SSCDs that are suc- security level of 80 bits, which was the reason
cessfully certified/validated under a CCRA-com- for choosing this value as recommended mini-
pliant certification body according to a suitable mum. This is a relatively low level of security
Common Criteria Protection Profi le with EAL compared to their validity period of the MRTD.
4+ SOF-High. Therefore, it is RECOMMENDED to use longer
keys, if supported by the chip.
When distributing self-signed Country Signing
CA Certificates by diplomatic means extre- States that make use of the Active Authentica-
me care must be taken to prevent insertion of a tion mechanism to validate a foreign MRTD
rogue Country Signing CA Certificate. Further- should also be aware that no revocation mecha-
more, it is RECOMMENDED that States store nism has been specified for compromised Acti-
the received Country Singing CA Certificates in ve Authentication keys.
secure hardware devices (Card Acceptor Device
– CAD) accessible by the reader devices in a G.1.3 Denial of Service Attacks
secure manner. To protect against attacks on
the CAD, it is RECOMMENDED to use CADs Denial of Service Attacks have to be considered
that are successfully certified/validated under a when States rely on the Directory for distributi-

on of Document Signer Certificates and CRLs. the attacker, the attacker communicates with
Those attacks cannot be prevented, it is there- another attacker, and the other attacker (tem-
fore RECOMMENDED that the Document Sig- porarily) gains access to the genuine chip. The
ner Certificate required to validate the Docu- inspection system is not able to notice that it has
ment Security Object is also included in the authenticated a remote chip instead of the pre-
Document Security Object itself. Receiving Sta- sented chip. This attack is called Grandmaster
tes SHOULD make use of a provided Document Chess Attack.
Signer Certificate.
G.3 Privacy Threats
To distribute CRLs bilaterally it is RECOMMEN- G.3.1 No Access Control
DED to establish multiple channels (e.g. inter-
net, phone, fax, mail, etc.) with other States and The use of proximity chips already minimi-
to confirm reception of received CRLs. zes privacy risks as reader devices have to be
very close to the chips, therefore skimming is
G.2 Cloning Threats not considered to be a serious threat. However
eavesdropping on an existing communication
Compared to paper based MRTDs copying the between a chip and a reader is possible in a lar-
signed data stored on the RF-Chip is easily pos- ger distance. States wishing to address this thre-
sible in general. States concerned about the pos- at SHOULD implement Basic Access Control.
sibility of having data of their citizens copied
to another chip SHOULD implement Active G.3.2 Basic Access Control
Authentication that prevents this to a certain
extent. The Basic Access Keys used to authenticate the
reader and to setup session keys to encrypt the
G.2.1 Passive Authentication communication between chip and reader are
generated from the 9 digit Document-Number,
Passive Authentication does not prevent copying the Date- of-Birth, and the Date-of-Expiry. Thus,
the data stored on the chip. As a consequence, the entropy of the keys is relatively low. For a 10
it is possible to substitute the chip of a MRTD year valid MRTD the entropy is 56 bits at maxi-
against a fake chip storing the data copied from mum. With additional knowledge (e.g. appro-
the chip of another MRTD. Receiving States ximate age of the bearer, or relations between
SHOULD verify that the data read from the chip Document-Number and Date-of-Expiry) the
indeed belongs to the presented MRTD. This entropy is lowered even more. Due to the rela-
can be done by comparing DG1 stored on the tively low entropy, in principle an attacker might
chip to the MRZ printed on the datapage of the record an encrypted session, calculate the Basic
MRTD. If DG1 and the MRZ compare and the Access Keys by Brute-Force from the authenti-
document security object is valid and the pre- cation, derive the session keys and decrypt the
sented MRTD has not been tampered with (is recorded session. However this still requires a
not counterfeited), then the MRTD and the data considerable effort compared to obtaining the
stored on the chip can be considered to be belon- data from other sources.
ging together.
G.3.3 Active Authentication (Data
G.2.2 Active Authentication Traces)
Active Authentication makes chip substitution In the challenge-response protocol used for
more difficult, but not impossible: The MRTD Active Authentication, the chip signs a bit string
presented by the attacker to the inspection sys- that has been chosen more or less randomly by
tem could be equipped with a special chip. This the inspection system. If a receiving State uses
chip works as proxy for a genuine chip located the current date, time, and location to generate
in a remote place: the chip communicates with this bit string in an unpredictable but verifiable

31
way (e.g. using secure hardware), a third party cal advances and the availability of non-standard
can be convinced afterwards that the signer was computing devices. Therefore, the recommen-
at a certain date and time at a certain location. dations for key lengths are mainly based on the
extrapolated computing power. States SHOULD
G.4 Cryptographic Threats review the key lengths for their own but also for
received MRTDs often for reasons mentioned
The recommended minimal key lengths have above.
been chosen so that breaking those keys requires
a certain (assumed) effort, independent of the Generating key pairs of a special form may
chosen signature algorithm: improve the overall performance of the signa-
ture algorithm, but may also be exploited for
Type of Key Level of Security cryptanalysis in the future. Therefore, such spe-
cial key pairs SHOULD be avoided.
Country Signing CA 128 bits
Document Signer 112 bits G.4.2 Hash Collisions
Active Authentication 80 bits While it is computationally infeasible to fi nd
another message that produces the same hash
value as a given message, it is considerably easier
G.2.1 Passive Authentication to find two message that produce the same hash
value. This is called the Birthday Paradoxon.
Passive Authentication does not prevent copying
the data stored on the chip. As a consequence, In general all messages to be signed are produ-
it is possible to substitute the chip of a MRTD ced by the Document Signer itself. Therefore,
against a fake chip storing the data copied from finding hash collisions does not help an attacker
the chip of another MRTD. Receiving States very much. However, if photographs provided by
SHOULD verify that the data read from the chip the applicant in digital form are accepted by the
indeed belongs to the presented MRTD. This Document Signer without additional randomi-
can be done by comparing DG1 stored on the zed modification, the following attack is possib-
chip to the MRZ printed on the datapage of the le:
MRTD. If DG1 and the MRZ compare and the
document security object is valid and the pre- • Two persons share their digital photos. Then
sented MRTD has not been tampered with (is they repeatedly fl ip a small number of bits at
not counterfeited), then the MRTD and the data randomly in each photo until two photos produ-
stored on the chip can be considered to be belon- ce the same hash value.
ging together.
• Both persons apply for a new MRTD using the
G.4.1 Mathematical advances and manipulated photo. Either person can now use
non-standard computing the MRTD of the other person provided that
it is possible to replace the digital photo in the
According to Moore’s Law computation power chip (e.g. by chip substitution).
doubles every 18 month. However, the security
of the signature algorithm is not only influenced The hash function SHA-1 only provides 80 bits
by computing power, advances in mathematics of security against hash collisions. Thus, it is
(cryptanalysis) and the availability of new non- considerably easier to find a hash collision than
standard computation methods (e.g. quantum to break the Document Signer Key which pro-
computers) also have to be taken into account. vides 112 bits of security. Therefore, whenever
hash collisions are of concern (e.g. as described
Due to the long validity periods of keys it is very above), it is RECOMMENDED not to use SHA-1
difficult to make predictions about mathemati- as hash function.

REFERAT KONKURS-, WETTBEWERBS- UND WIRTSCHAFTSSTRAFSACHEN
C
Eigentums- und
Beteiligungsverhältnisse der
Bundesdruckerei
Conrad Brean <ds@ccc.de>
Eine Druckerei für Ausweise sollte eigentlich gewissen Anforderungen an Seriosität genü-
gen, am besten staatseigen sein oder doch wenigstens in soliden Händen. Die Bundesdru-
ckerei ist durch eine desaströse Privatisierung zu einem Objekt windiger Finanzjongleure
geworden und dümpelt nun in unklaren Besitzverhältnissen vor sich hin. Hier der Ver-
such eines Überblicks.
Seit ihrer Gründung 1879 als „Reichsdruckerei“ Der Kaufpreis von einer Milliarde Euro galt
befand sich die Behörde im Staatsbesitz. Nach- schon zum Kaufzeitpunkt als deutlich über-
dem sie 1945 mit „Staatsdruckerei“ und durch höht. Er wurde jedoch nicht vollständig bezahlt:
die Übernahme in die Bundesverwaltung 1951 Ein Anteil von 230 Millionen Euro stundete der
mit „Bundesdruckerei“ zwei Umbenennungen Bund für zehn Jahre, weitere ca. 450 Millio-
erfuhr, begann für sie nach der Wiedervereini- nen Euro gab
gung Deutschlands der Weg in die Privatwirt- die Hes-
schaft. sische
Auf Beschluß des Bundeskabinetts in der 12.

Legislaturperiode erfolgte am 1. Juli 1994 die
Umwandlung von einer Behörde in eine pri-
vatrechtliche GmbH im Bundesbesitz. Jedoch
wurde die Veräußerung der Bundesanteile an
der Staatsdruckerei seitens der Regierung Kohl
auf 49 Prozent begrenzt. Finanzminister Eichel
(SPD) trennte sich später von den restlichen
51 Prozent. Um den Bundesanteil möglichst
gewinnbringend zu veräußern, beauftragte das
Bundesfi nanzministerium im Dezember 1999
das Frankfurter Bankhaus Metzler.
Im November 2000 verkaufte der Bundesfi-

nanzminister die Bundesdruckerei für eine
Milliarde Euro an die Beteiligungsgesell-
schaft “Apax Partners & Co.”. Apax Fonds
waren bereits damals in der Bundesrepublik
unter anderem an der Autobahn Tank & Rast
AG beteiligt (deren CEO und COO ab 1991
bei Elf Aquitaine beschäftigt waren), die 1998
privatisiert wurde.

33
Landesbank (HeLaBa) als Darlehen. Tilgung Gesellschafter, Kreditgeber und der Bund auf
und Zinsaufwand für dieses Darlehen betragen einen Zahlungsverzicht geeinigt hatten.
jährlich 50 bis 75 Mio. Euro - Summen, die der
Konzern für mehrere Jahre nicht auf bringen September 2002 wurde für den symbolischen
konnte. Kaufpreis von einem Euro die authentos-Grup-
pe an zwei Zwischenerwerber übertragen: die
In der Folge wurden die Bundesdruckerei Berliner JVVG Neununddreißigste Vermögens-
GmbH, die Bundesdruckerei International Ser- verwaltungsgesellschaft (94 Prozent) und die
vices GmbH, die ORGA Kartensysteme GmbH, Dinos Vermögensverwaltung in Heidelberg
die Holographic Systems München GmbH, die (sechs Prozent).
Maurer Electronics GmbH, die D-Trust GmbH
und die INCO SP.Z.o.o. unter dem Dach der Die Gesellschaft sollte saniert und dann wie-
authentos GmbH zusammengefaßSteuert, die der verkauft werden. 300 der 1650 Arbeitsplät-
als Holding fungiert und ihren Sitz in der Berli- ze waren akut in Gefahr. Roland Berger erstellte
ner Zentrale der Bundesdruckerei in der Orani- ein Sanierungskonzept. Seit 2002 gab es einige
enstraße 91 hat. Bewegung in der Führungsebene der Bundes-
druckerei.
Im Februar 2001 erwarb die authentos-Grup-
pe das britische Unternehmen Security Prin- Die Anwaltssozietät Clifford Chance Pünder ist
ting and Systems Limited und stieg dadurch mit mittelbarer Mehrheitsgesellschafter der authen-
einer Jahresproduktion von 40 Millionen Päs- tos. Sie vertreten vermutlich die Interessen der
sen und Führerscheinen zum weltgrößten Her- Neununddreißigsten Vermögensverwaltungs-
steller dieser Dokumente auf. gesellschaft und damit die Verbindlichkeiten
gegenüber der Hessischen Landesbank und gel-
Im August 2002 wurde die Zahlungsunfähig- ten als Ansprechpartner für mögliche Kaufinte-
keit von authentos abgewendet, nachdem sich ressenten.

Vorsitzender der Geschäftsführung der authen- GmbH. Dies war im Jahr 2002 abgeschlossen;
tos GmbH und der Bundesdruckerei GmbH war in der Folge reduzierte sich das Auftragsvolu-
bis 10. Februar 2004 Dr. Ulrich Wöhr. Seither men der Bundesdruckerei auf die Produktion
sind der ehemalige Infi neon-Manager Ulrich von weniger als 750 Millionen nachzudrucken-
Hamann und Klaus-Dieter Langen Geschäfts- den Scheinen. Da sich an der Produktion der
führer der authentos GmbH. Diese sind zusam- Reisepässe kaum etwas ändern wird, können
men mit Joachim Eilert ebenfalls Geschäftsfüh- sich Bundesdruckerei und Komponentenher-
rer der Bundesdruckerei GmbH. steller die Mehrkosten aufteilen und dadurch
die Konzernbilanzen aufwerten.
Aufsichtsratsvorsitzender der authentos-Grup-
pe war Prof. Manfred Lahnstein, Mitglied der Interessant am Verhältnis zur Giesecke & Dev-
Trilateralen Kommission und ehemaliges Auf- rient GmbH ist neben der traditionellen Auf-
sichtsratsmitglied der Bertelsmann AG. Mittler- teilung der Druckaufträge auch die personelle
weile ist Heinz-Günter Gondert Aufsichtsrats- Dimension. So wurde Matthias Merx von GDM
vorsitzender. Er ist Rechtsanwalt und Partner am 01.10.2004 Leiter der Produktion der Bun-
bei der Frankfurter Anwaltssozietät Clifford desdruckerei, am Ende desselben Monats stieß
Chance sowie Steuerberater und Wirtschafts- überraschend Willi Berchtold zur - der bis dahin
prüfer bei der Frankfurter PVW GmbH. Vorsitzender der Geschäftsführung von Giese-
cke & Devrient war - und am 01.01.2005 wurde
Weitere Aufsichtsratsmitglieder sind, neben den GDM-Vertriebschef Jörg Baumgartl neuer Lei-
Arbeitnehmervertretern, der Rechtsanwalt Die- ter Technik, Marketing, Consult und Entwick-
ter Ostheimer, der Unternehmensberater Dirk lung bei der Bundesdruckerei.
Pfeil, der Rechtsanwalt Dr. Wolfgang Scholz
(ebenfalls Clifford Chance), Ministerialrat Dr. Ebenfalls brisant: auch beim sogenannten “Gol-
Wolf-Dieter Schmidberger (Bundesministeri- den Reader Tool”, dem Programm zum Ausle-
um der Finanzen) sowie Dr. Norbert Schraad sen der Tags bei der Grenzkontrolle, wirkten
von der Landesbank Hessen-Thüringen (Stand: beide Unternehmen mit (neben der Secunet
Juni 2005). Security Networks AG, dem Bundeskriminal-
amt und der cv cryptovision GmbH).
Die Bundesdruckerei kann die zusätzlichen
Einnahmen aus der drastischen Verteuerung Ein Fall für das Bundeskartellamt?
des Reisepasses gut gebrauchen. Ein Drittel der
europaweit 14 Milliarden Euro-Scheine wur-
den in der Bundesrepublik Deutschland
gedruckt. Davon wurden 2,3 Milli-
arden Scheine bei der
Bundesdruckerei
GmbH produ-
ziert, die ande-
re Hälfte bei
der Münch-
ner D r u-
ckerei Gie-
secke &
Devrient

35
LIVE FROM THE MINISTRY OF TRUTH
C
Besonders intensive Prüfung
von Frank Rosengart <frank@rosengart.de> und
Constanze Kurz <46halbe@weltregierung.de>
Die Redaktion “Die Datenschleuder.” hat anläßlich der bevorstehenden Einführung der
Reisepässe Mitarbeiter der “ePass-Hotline” der Bundesregierung um die Beantwortung
einiger offener Fragen gebeten. Es antwortete nach nur wenigen Wochen die Pressestelle
des BMI. Mehr als ein paar Copy&Paste-Textblöcke konnte sie sich nicht abringen.
1. Frage: abdrücke im RF-Chip abzuspeichern. Die Spei-

cherung der biometrischen Merkmale erfolgt in
Obwohl es bisher keine verabschiedete ICAO- einem zertifi zierten Sicherheitschip mit kryp-
Spezifi kation für den Zugriff auf die erweiter- tographischem Koprozessor und kontaktlosem
ten biometrischen Daten (Finger, Iris) gibt, wird Interface (RF-Chip), der in den Reisepass inte-
mit der Einführung der ersten Stufe bereits griert wird.
begonnen. Was passiert, wenn es keine zufrie-
denstellende Lösung gibt? Wird dann die Daten- Ein unbemerktes Auslesen der biometrischen
schutz-unfreundliche Variante (Vollzugriff auf Daten wird durch einen effektiven Zugriffs-
alle Felder) gewählt? Oder wird der ePass in der schutz ausgeschlossen. Datenschutz und Daten-
ersten Stufe belassen? sicherheit sind damit gewährleistet. In der ers-
ten Phase, also bei Integration des digitalen
Antwort BMI: Gesichtsbilds in den ePass, wird der Zugang zu
den Bild-Daten im Chip nur über das vorherige
Internationale Standards für die Pässe optische Auslesen der maschinenlesbaren Zone
werden durch die ICAO definiert. Die EU möglich sein.
hat sich bei Erlaß der technischen Anhänge
zur EG-Verordnung über Normen für Für die zweite Phase, d.h. nach Integration der
Sicherheitsmerkmale und biometrische Daten Fingerabdrücke, wird ein zusätzliches krypto-
in den von den Mitgliedsstaaten ausgestellten graphisches Protokoll für den Zugriff auf diese
Pässen und Reisedokumenten daran orientiert. Daten verwendet. Durch die Integration von
Die Standards der ICAO wurden insbesondere kryptographischen Sicherheitsmerkmalen, wie
dort von der EU fortgeschrieben, wo die z.B. einer digitalen Signatur über die gespei-
europäischen Grundsätze des Datenschutzes cherten Daten, wird das Sicherheitsniveau der
ein höheres Sicherheitsniveau erforderlich Reisepässe bedeutend erhöht. Gleichzeitig wird
machen, so z.B. im Falle der Bestimmung über kryptographische Mechanismen das unbe-
der kryptographischen Verschlüsselung der
rechtigte Auslesen bzw. das Abhören der über-
Fingerabdrucksdaten (sogenannte “Extended
tragenen Daten der RF-Chips wirkungsvoll ver-
Access Control”).
hindert (Basic Access Control und Extended
Gemäß der EG-Verordnung sind als erstes bio- Access Control). Wir arbeiten nicht mit “zufrie-
metrisches Merkmal das Gesichtsbild und denstellenden Lösungen”, sondern wir realisie-
als zweites Merkmal Fingerabdrücke zu spei- ren sichere und technisch perfekte Lösungen.
chern. In den ab November 2005 ausgestell-
ten deutschen Reisepässen wird zunächst nur Kommentar der Redaktion:
das Gesichtsbild, das auch als Lichtbild im Paß
abgedruckt ist, im RF-Chip gespeichert. Für Schade nur, daß noch niemand diese Lösun-
das Jahr 2007 ist vorgesehen, auch die Finger- gen im Detail kennt. “Technisch perfekte” Sys-

teme hat die Bundesregierung ja schon bei 3. Frage:

der LKW-Maut und bei der Bundesanstalt für
Arbeit realisiert. Was bedeutet also “technisch Warum sollte der ePass in Deutschland die
perfekt”? In jedem Fall bedeutet es leider nicht Hälfte bzw. ein Drittel von dem kosten, was ver-
zwingend “datenschutzfreundlich”. Die Frage gleichbare Pässe im Ausland kosten (Deutsch-
danach, welche Anforderungen seitens der Bun- land: 59 Euro, Schweiz: 250 SFr)? Wo kann
desregierung an die Technik gestellt werden, ich nachlesen, wie hoch die jeweiligen Kosten
bleibt unbeantwortet. Ebenso die Frage, was sie für das Enrolment, den Paß selbst, die Geräte
machen wollen, wenn es mit ihrer geplanten an den Grenzen und für den Betrieb der Infra-
PKI nicht klappen sollte. Eine globale PKI gilt struktur (CA etc.) sind? Wie aufwendig ist die
bisher schließlich als illusorisch. Schulung des Personals in den Meldestellen?
2. Frage: Antwort:
Welchen Ländern außerhalb Europas wird Um Ihre Annahmen richtigzustellen, weise ich
Deutschland die erweiterten biometrischen auf folgendes hin: Bei der Gebührenbemessung
Daten anvertrauen und was genau sind die Kri- wurde darauf geachtet, daß sich Deutschland
terien für einen Lesezugriff auf die Rohdaten? auch künftig im unteren Bereich vergleichba-
rer europäischer sowie internationaler Länder
Antwort: befi ndet. Sämtliche technischen Anforderun-
gen auf europäischer und internationaler Ebene,
Die gespeicherten Daten zum Gesichtsbild kön- Datenschutz und -sicherheit, wurden und wer-
nen weltweit unter den in Antwort 1) genannten den selbstverständlich berücksichtigt.
Voraussetzungen gelesen werden. Die Daten
der Fingerabdrücke sind durch ein zusätzliches Die Gebühren setzen sich zusammen aus den
kryptographisches Protokoll geschützt. Welche Produktionskosten des Passes (Paßbuch, die
Länder außerhalb der EU auf die Daten der Fin- Herstellung und Integration der Chips sowie
gerabdrücke zugreifen, kann deshalb vom aus- das Speichern der biometrischen Merkmale auf
stellenden Staat geregelt werden. dem Chip), den Kosten der zur Erfassung und
Qualitätssicherung der biometrischen Merkma-
Kommentar der Redaktion: le notwendigen Ausstattung in den Paßbehör-
den (QS-Sicherung der Lichtbilder, Hard- und
Welche Länder außerhalb der EU Zugriff auf Software zur Erfassung und QS der Fingerab-
die Daten bekommen, war aber grade die Frage. druckdaten, ePass-Lesegeräte), den Schulungs-
Offensichtlich gibt es hier noch keine Antwor- kosten für die Mitarbeiter in den Paßbehörden
ten. Alptraum der Datenschützer dürfte ein sowie der Verwaltungsgebühr.
Zugriff auf die Daten durch Länder wie z.B.
die USA sein, wo die gesetzlichen Regelungen Die Lesegeräte an den 419 Grenzübergangs-
oder die übliche Praxis stark von den EU-Stan- stellen werden im Rahmen von Ersatzbeschaf-
dards abweichen. Außerhalb der EU sind die fungen erneuert, die unabhängig von der Ein-
Datenschutzbestimmungen meist weit weni- führung des ePass sind. Diese Geräte verfügen
ger restriktiv als hierzulande. Biometrischen auch über eine Funktion zum Auslesen von
Datensammlungen ohne jegliche zeitliche digital gespeicherten Fotographien auf RF-
Beschränkungen stünde in vielen dieser Länder Chips. Bei der Ausstattung mit Lesegeräten ent-
nichts entgegen. stehen keine zusätzliche Kosten.
Die Änderungen, die sich für die Paßbehörden

zum 1. November 2005 ergeben, sind gegenüber
dem derzeitigen Verfahren minimal. Daher ist
nur ein geringer Schulungsaufwand notwendig.

37
Für die Einführung der 2. Stufe (Integration der 4. Frage:

Fingerabdrücke in den Chip) zum 1. März 2007
werden die Mitarbeiter in den Paßbehörden im Auf Ihrer Internetseite steht: “Für Fingerabdrü-
Zuge des Rollouts der Hard- und Software zur cke als zweites Merkmal sprach die hohe Pra-
Erfassung und Qualitätsprüfung der Fingerab- xistauglichkeit der hierzu entwickelten Abnah-
druckdaten geschult werden. me- und Erkennungssysteme.” Welche Tests im
realen Betrieb gibt es dazu und wo kann man
Kommentar der Redaktion: diese Ergebnisse nachlesen? Wie wird der ein-
fachen Fälschbarkeit von Fingerabdrücken
Das würde ja bedeuten, daß entweder die Tech- sowohl beim Enrolment als auch bei der Kon-
nologie in Deutschland um ein Vielfaches preis- trolle begegnet? Mit welchen Maßnahmen müs-
werter ist als in anderen Staaten oder daß diese sen Personen rechnen, deren Fingerabdruck
Staaten ihre Bürger “abzocken”. Beides ist natür- nicht als der gespeicherte erkannt wird?
lich nicht der Fall. Vielmehr scheut sich das BMI
schlicht, die Gesamtkosten zu beziffern. Antwort:
Daß die Lesegeräte an den Grenzen im Rahmen a) Die Ergebnisse der Labor- und Feldtests der
von “Ersatzbeschaffungen” erneuert werden, Studie BioP II werden vom BSI veröffentlicht
würde entweder bedeuten, daß auf eine auto- (www.bsi.bund.de).
matisierte Gesichtsbild- und Fingerabdruckve-
rifi kation verzichtet wird. Vielleicht wird aber b) und c) Die Aufnahme biometrischer Merk-
absichtlich zu den wirklich anfallenden Kosten male in Reisepässen dient dazu, die sichere
geschwiegen wird. Die anfallenden Ersatzbe- Identifizierung von Personen durch das Grenz-
schaffungskosten werden wohl im Etat der Bun- kontrollpersonal zu “unterstützen”. Davon unab-
despolizei versteckt. hängig kontrolliert die Bundespolizei stets nach
Schengenstandard.
Die bisherigen Lesegeräte für die MRZ in Reise-
dokumenten kosten je ca. 1500 Euro. Ein auto- Kommentar der Redaktion:
matisches Gesichtsbild- und Fingerabdrucksys-
tem dürfte pro Gerät ein Vielfaches kosten. Der Die BioP-II-Studie wurde zwischenzeitlich tat-
TAB-Bericht spricht übrigens von Gesamtkos- sächlich veröffentlicht - und nach kürzester Zeit
ten in Höhe von einmalig 670 Millionen Euro wieder von der BSI-Webseite entfernt. Einige
und jährlich etwa 610 Millionen Euro an laufen- Tage später wurde eine leicht veränderte Ver-
den Kosten. sion veröffentlich. Weiterhin geheimgehalten
wird allerdings die Studie zur Überwindungssi-
Daß die Kosten für die Schulung des Personal cherheit der biometrischen Systeme. Auch gibt
nur gering seien, widerspricht den Ergebnissen die Pressestelle zu der Frage nach der einfachen
der BioP-II-Studie. Für den der Studie zugrun- Fälschbarkeit keinen Kommentar ab. Damit ist
deliegenden Feldtest waren nämlich umfang- eine öffentliche Diskussion über den Sicher-
reiche Personalschulungen nötig. Außerdem heitsgewinn unmöglich.
mußten kostspielige Umbauten im Umfeld der
Gesichtserkennungssysteme vorgenommen 5. Frage:
werden, um deren Anforderungen an die Licht-
verhältnisse zu erfüllen. Auch solche Kosten Worauf beruht die Annahme, daß Systeme zur
gehören zu einer seriösen Kalkulation. Gesichtsbild-Verifikation ausgereift und vor
allem praxistauglich sind? Die BioFace-Studie
des BSI kommt dabei ausdrücklich nicht zu
dem Ergebnis, daß die getesten Verfahren pra-
xistauglich sind (vgl. http://www.heise.de/new-
sticker/meldung/41289 )

Antwort: standard. Wenn der Chip “unbrauchbar” ist,

wird mit den klassischen Verfahren die Identität
Die Studie BioP II weist für den Bereich der geprüft, wobei dies sicher Anlaß zu besonders
Gesichtserkennung erheblich bessere Erken- intensiver Prüfung wäre.
nungswerte auf. Diese Ergebnisse konnten mit-
tlerweile durch neue Algorithmen nochmals Kommentar der Redaktion:
verbessert werden. Die Nutzungsqualität des
Gesamtsystems wurde damit deutlich erhöht. Eben darum sollte es die Möglichkeit geben,
defekte Pässe umtauschen zu können. Wer
Kommentar der Redaktion: möchte schon ständig einer “besonders inten-
siven Prüfung” bei der Grenzkontrolle ausge-
Tatsächlich hat sich die Erkennungsleistung setzt sein, nur weil der Chip versagt? Und mög-
im Laufe der Zeit verbessert, wenn auch nicht licherweise wird das gar nicht so selten der Fall
“erheblich”. Von einem “technisch perfekten sein. Wie wird wohl eine “besonders intensive
System” sind aber alle Verfahren laut der Studie Prüfung” aussehen, die über den Vergleich von
meilenweit entfernt. Eine der Hauptforderun- Foto, Augenfarbe und Körpergröße hinausgeht?
gen der BioP-II-Studie ist es, daß die Benutzbar-
keit der Systeme deutlich verbessert werden soll- Die Frage nach dem Mehr an Sicherheit durch
te. Praxistauglich sind die Verfahren also noch den Chip bleibt natürlich unbeantwortet. Span-
immer nicht. nend wird, wieviel zusätzliche Arbeit sich das
Grenzkontrollpersonal auf halsen lassen wird,
6. Frage: ehe es protestiert gegen die praxisuntaugliche
Technik oder aber schlicht durchwinkt. Jörg
Wird der Paß kostenlos umgetauscht, wenn der Radek von der Gewerkschaft der Polizei äußer-
RFID-Chip zum Beispiel durch mechanische te bereits seinen Ummut über den zeitlichen
Belastung unbrauchbar geworden ist? Mehraufwand an den Grenzen.
Antwort: 8. Frage:
Ein Paß mit unbrauchbarem/defektem RF-Chip Können Sie eine gesundheitliche Gefährdung
ist weiter ein gültiges Reisedokument. von Grenzbeamten vollständig ausschließen,
wenn diese tagtäglich der Funkstrahlung, die
Kommentar der Redaktion: ja auch gepulst moduliert ist, ausgesetzt sind?
Durch welche Studie wird das belegt, welche
Da sind wir ja beruhigt. Daß der Chip nämlich Geräte sind auf ihre Abstrahlung hin getestet
zehn Jahre hält, ist nicht allzu wahrscheinlich. worden?
7. Frage: Antwort:
Welchen Nutzen hat der elektronische Paß, Die gesetzlich vorgegebenen Richtwerte für den
wenn jeder potentielle Terrorist seinen Chip im Strahlenschutz werden von allen im Einsatz
Paß unbrauchbar macht? befindlichen RFID-Systemen eingehalten.
Antwort: Kommentar der Redaktion:
Die Aufnahme biometrischer Merkmale in Rei- Eine konkrete Studie oder Meßwerte gibt es
sepässen dient dazu, die sichere Identifizierung also nicht. Davon abgesehen sind noch keinerlei
von Personen durch das Grenzkontrollperso- RFID-Systeme “im Einsatz befi ndlich”, höchs-
nal zu “unterstützen”. Davon unabhängig kon- tens im Labor- oder Testbetrieb. Die Beschaf-
trolliert die Bundespolizei stets nach Schengen- fung der Geräte beginnt gerade erst.

39
9. Frage: Die “ausreichend getestete technische Lösung”

ist beispielsweise für die Extended Access Con-
Außer Herrn Schily ist eigentlich allen Behör- trol bis heute nicht endgültig spezifi ziert. Die
den die Tatsache bekannt, daß wirkliche Paßfäl- EU-Verordnung für die neuen Pässe beschreibt
schungen nicht praxisrelevant sind - vielmehr hingegen vor allem herstellungstechnische
sind Schwachstellen beim Personal in den Mel- Sicherheitsmerkmale. Offensichtlich auch aus
destellen das Problem. Warum hat Deutschland wirtschaftlichen Interessen wurde die Ent-
auf EU-Ebene die elektronischen Pässe durch- wicklung elektronischer Dokumente vorange-
gepeitscht, obwohl die Technik alles andere als trieben (Empfehlung der European Commissi-
ausgereift ist, die Kosten unklar sind und zum on, “Biometrics at the Frontiers: Assessing the
derzeitigen Stand kein Sicherheitsgewinn brin- Impact on Society” ftp://ftp.jrc.es/pub/EURdoc/
gen? eur21585en.pdf), in Deutschland profitiert die
authentos Gruppe und ihre Tochter, die Bundes-
Antwort: druckerei GmbH, von den biometrischen Päs-
sen, da keine neuerliche Ausschreibung für
Paßfälschungen sind entgegen Ihrer Annahme die Herstellung gemacht wurde. Wie selbstver-
durchaus praxisrelevant. Zwar verfügt Deutsch- ständlich erhielt die Bundesdruckerei den luk-
land schon heute über einen der fälschungs- rativen Auftrag. Begründet wird dies mit einem
sichersten Dokumententypen der Welt, doch dreijährigen Rahmenvertrag. (Siehe dazu auch
bereits innerhalb der Europäischen Union exis- den Hintergrundbericht “Eigentumsverhältnis-
tiert ein starkes Gefälle der Sicherheitsstan- se Bundesdruckerei” in dieser Ausgabe.)
dards. Mit der Einführung biometriegestützter
Pässe wird eine hohe Fälschungssicherheit in Daß die Kosten nicht, wie angegeben, “bekannt”
allen EU-Staaten erzielt. sind, zeigt der Entschluß des Bundesrates, sich
von der Bundesregierung eine detaillierte Kal-
Die technische Lösung ist ausreichend getes- kulation der Kosten der “Zweiten Verordnung
tet. Die Kosten sind bekannt. Der Sicherheitsge- zur Änderung paßrechtlicher Vorschriften”
winn besteht neben der erhöhten Fälschungssi- vorlegen zu lassen. (Bundesrat Drucksache
cherheit der Reisedokumente in einer erhöhten 510/1/05, beschlossen in der 813. Plenarsitzung)
Sicherheit vor dem Mißbrauch der neuen Pässe Von Beginn an verweigert das BMI eine detail-
durch andere Personen als den eigentlichen lierte Kostenaufstellung und führt die Parla-
Paßinhaber: Der Chip erlaubt eine elektroni- mentarier wie auch die Steuerzahler konse-
sche Überprüfung, ob der Nutzer des Doku- quent an der Nase herum.
ments tatsächlich der Paßinhaber ist.
Noch ein Wort zu dem Chip: dieser erlaubt übri-
Kommentar der Redaktion: gens keine elektronische Überprüfung, ob der
Nutzer des Dokuments tatsächlich der Paßinha-
Jörg Radek, der seit vielen Jahren bei der Bun- ber ist. Dies kann einzig allein der Grenzbeam-
despolizei (früher Bundesgrenzschutz) arbeitet, te machen (wie ja mehrfach hier erwähnt).
beziffert Paßfälschungen auf wenige hundert
im Jahr. Deren Qualität sei überwiegend unter- 10. Frage:
durchschnittlich, gute Totalfälschungen höchst
selten. Es wäre für Kriminelle auch kaum sinn- Könnte es sein, daß durch die vermeintlich
voll, sich die Mühe zu machen, mittels Beste- “100% sicheren Pässe” die Grenzbeamten ihr
chung kann man da einiges Geld sparen. Diese persönliches Gespür zurückfahren und nur
Zahlen erklären jedenfalls nicht, warum die noch der Technik vertrauen? Wird dadurch die
deutschen Paßbesitzer mit ihren bereits hochsi- Gefahr nicht viel größer? Die Argumentation,
cheren Dokumenten ihre digitalen Gesichtsbil- daß die Technik “nur unterstützend” sein soll,
der und ihre Fingerabdrücke abgeben sollen. ist dabei nicht hilfreich, da der Gewöhnungsef-
fekt ja trotzdem eintritt.

Antwort: - RFID-gestützte Sichtvermerke (Visa) in mei-

nem Reisepaß habe?
Die Aufnahme biometrischer Merkmale in Rei-
sepässen dient dazu, die sichere Identifizierung Antwort:
von Personen durch das Grenzkontrollperso-
nal zu “unterstützen”. Davon unabhängig kon- Über die Einführung biometriegestützter Visa
trolliert die Bundespolizei stets nach Schengen- ist auf europäischer Ebene noch keine Entschei-
standard. dung getroffen worden. Die EU wird ein zentra-
les Visum-Informationssystem einrichten, in
Kommentar der Redaktion: dem die Lichtbilder und Fingerabdrücke aller
Visa-Antragsteller gespeichert werden.
Ja, das hatten wir jetzt schon dreimal... Es ist
klar, daß ein rot blinkender Bildschirm die Auf- Kommentar der Redaktion:
merksamkeit der Grenzbeamten erregen wird.
Aber wird ein freundliches grünes Signal nicht Daß ich als deutscher Bürger ein EU-Visum in
auch nach einer gewissen Gewöhnungszeit zur meinem Reisepaß habe, ist wohl eher unwahr-
Folge haben, daß sie nicht mehr so genau hin- scheinlich. Völlig unklar ist, ob der RF-Chip im
sehen? Paß mit einem RF-Visa außereuropäischer Län-
der harmoniert. Aber sollten sich die Chips ins
11. Frage: Gehege kommen, bleibt der Paß sicher weiter
gültig. Man muß ja auch wirklich nicht dauernd
Funktioniert das Auslesen per Funk auch noch verreisen...
zuverlässig, wenn ich - wie zukünftig geplant

41
MUSS MAN IHNEN DENN ALLES AUS DER NASE ZIEHEN?
C
Die Welt von morgen: iPass
Maha <maha@elitas.com>
Wir drucken hier das Interview ab, das unsere Korrespondentin Cornelia C. Cortschloss
mit der Bundesministerin für Inneres, Justiz und Heimatschutz Gertrud Backstein über
die am 1. Juni 2017 bevorstehende Einführung des neuen Bio-iPasses führte.
CCC: Frau Backstein, in wenigen Tagen, näm- CCC: Welchen Vorteil hat dann diese Technik,
lich am 1. Juni 2017, soll der neue iPass der zweiten wenn nur der Tod des Trägers festgestellt werden
Generation, der Bio-iPass, obligatorisch eingeführt kann?
werden. Welche Neuerungen bringt er mit sich?
GB: Wir konnten in der Vergangenheit Fälle
GB: Nach der breiten Akzeptanz, auf die die beobachten, in denen abgetrennte Körperteile
erste Generation des implantated Passports, mit dem Chip zur Identifi kation verwendet wur-
kurz iPass getroffen ist, lassen wir das erfolgrei- den. Dies wird mit dem neuen Bio-iPass nicht
che Konzept eines in den Körper seines Trägers mehr möglich sein.
implantierten Reisepasses fast völlig unverän-
dert. Dennoch gibt es eine sehr wichtige Ver- CCC: Aber die Presse berichtete doch unlängst,
besserung: Der Chip bezieht auch Informatio- daß ein Träger des neuen iPasses beim Grenzüber-
nen aus den Körperzellen seines Trägers, sodaß tritt festgenommen wurde, weil der iPass anzeigte,
im Todesfall ein sogenanntes Death Bit gesetzt daß er schon tot sei.
wird und das Überwachungsgerät feststellen
kann, daß der Träger verstorben ist. Leider ist GB: Wie Sie wissen, erlag die fragliche Person
es noch nicht möglich, den Chip auch zur Kran- den Verletzungen, die sie sich bei ihrer Fest-
kendiagnostik oder für Alkoholkontrollen zu nahme zugezogen hatte. Deshalb konnte nicht
verwenden. Dies ist das Ziel zukünftiger Ent- ermittelt werden, ob
wicklungen. über-

haupt ein Fehler vorlag. Ich gehe jedoch nach CCC: Die Akzeptanz des iPasses ist gesunken, seit
wie vor davon aus, daß der iPass nach seiner er obligatorisch in die Nasenscheidewand implan-
Implantation nicht mehr verändert werden tiert wird. Wollen Sie an der umstrittenen Lösung
kann. festhalten?
CCC: In der Vergangenheit wurde kritisiert, daß GB: Die Implantation in die Nasenscheidewand
die Daten auf dem Chip unzureichend verschlüsselt ist ohne äußere Narben möglich, was einem ver-
sind. Wird sich mit dem neuen iPass-Chip auf die- breiteten Wunsch entgegenkommt. Wir sehen
sem Gebiet etwas ändern? es als notwendig an, daß der Chip in einem
unverdeckten Bereich des Gesichts implantiert
GB: Nein, der bisherige Verschlüsselungsstan- ist, da somit keine Möglichkeit besteht, ihn mit
dard bleibt bestehen. Inzwischen wird der iPass Isolationsmaterial zu verdecken und darüber
für viele Sekundäranwendungen zur Identifi ka- einen anderen Chip anzubringen. Außerdem
tion verwendet; er ist Kreditkarte, Autoschlüs- ist die Nasenscheidewand groß genug, um auch
sel, Payback- und Gesundheitskarte zugleich. noch zum Beispiel einen Chip mit einem iVi-
Das macht ja gerade seine große Akzeptanz aus! sum anzubringen.
Wir wollten – schon aus Kostengründen – dar-
auf nicht verzichten, so viele Partner wie mög- CCC: Ist es nicht möglich, das iVisum auf dem
lich in das Unternehmen iPass einzubinden. iPass zu integrieren?
Die Bevölkerung will eine allgemeine Nutz-
barkeit des iPasses. Das hier die Bedenken der GB: Leider nicht, da andere Staaten wie zum
Datenschützer einmal zurücktreten müssen, ist Beispiel die USA auf eine völlig andere Techno-
bedauerlich, aber unvermeidlich. logie setzen. Als sich Bayern nach der Aufnah-
me der Türkei in die EU aus dieser zurückzog
CCC: Datenschutzverbände wie der Chaos Com- und ein US-Bundesstaat wurde, war es nötig,
puter Club oder auch die Datenschutzbeauftragte eine schnelle Lösung für die Visumsfrage zu
haben doch... fi nden, um Grenzformalitäten zu vermeiden,
denn eine neue deutsch-deutsche Grenze soll-
GB: Ach, kommen Sie mir doch nicht mit die- te unbedingt vermieden werden. Daher wurde
sen ewig gestrigen Bedenkenträgern. Ange- das US-amerikanische iVisum auch in Europa
sichts der Bedrohung durch den Terror sind in großer Zahl implantiert.
solche Bedenken lebensge-
fährlich und stehen dem
Auf bau eines modernen,
bürokratiefreien Staats
entgegen.

43
CCC: Als sich die Niederlande den USA als Bun- CCC: Der iPass wird aber auch in vielen umstrit-
desstaat anschlossen, wurde kein spezielles iVisum tenen Bereichen eingesetzt; ich denke da an DRM,
eingeführt. Anwesenheitskontrollen am Arbeitsplatz oder in
Schulen und Universitäten.
GB: Bayern ist ja nicht Holland! Wir woll-
ten nicht ganz Deutschland auf US-Standards GB: Wissen Sie, DRM war in dem Augenblick
umstellen, zumal dieser Standard keinerlei Ver- akzeptiert, wo es bequem mit dem iPass umge-
schlüsselung vorsieht. Den gläsernen Bürger setzt werden konnte. Raubkopierer gibt es seit-
wollte hierzulande niemand. her nicht mehr; außerdem ist die Arbeitslo-
sigkeit zurückgegangen, seit Schwarzarbeit
CCC: Aber mit dem iVisum für Bayern ist doch praktisch unmöglich geworden ist, weil jeder
dieser Standard neben dem deutschen auch sehr Arbeiter sofort identifiziert werden kann. Ich
verbreitet. werte das als Erfolg unserer Politik!
GB: Niemand ist verpflichtet, sich ein iVisum CCC: Aber die Gegner des iPasses beklagen den
implantieren zu lassen... totalen Verlust der Privatsphäre!
CCC: ...einen iPass aber doch! GB: Auch seine Gegner nutzen seine Vortei-
le! Ich denke, daß von einem Verlust der Privat-
GB: Sicher! Der iPass ist ja schon in der ersten sphäre gar keine Rede sein kann: Viele Compu-
Generation seit über einem Jahr obligatorisch, terprogramme erlauben nur noch Benutzern
und das ist auch gut so! Allein der Rückgang der mit registriertem iPass Zugang zu persönlichen
Kriminalität ist enorm! Die Vereinfachung von Daten. Der Schutz persönlicher Daten ist doch
Kontrollen ist für die Bürgerinnen und Bürger ein unbestreitbarer Vorteil.
sehr bequem. Nicht mal bei Verkehrskontrollen
muß mehr angehalten werden! CCC: Es sei denn, jemand kann die Identität eines
iPasses stehlen.
CCC: Aber auch die Zahl der Kontrollen hat sich
vervielfacht, ja potenziert! Wird Deutschland zum GB: Das ist schon technisch unmöglich.
Überwachungsstaat? Gefälschte iPässe sind und bleiben Science Fic-
tion!
GB: Nun lassen Sie die Kirche mal im Dorf,
Frau Curtsschluss! Unser iPass ist
ein Exportschlager. Inzwischen wird
er weltweit eingesetzt und ist zum
Synonym von Reisefreiheit, ja von
Freiheit schlechthin gewor-
den. Kontrollen waren ges-
tern! Heute erledigen das unse-
re Autobahn-Mautbrücken
gleich mit. Und wenn Sie
am Strand Ihren Drink
bezahlen wollen, müs-
sen Sie nicht mehr Ihre
Kreditkarte aus dem
Bikini ziehen. Ihr Wunsch
wird Ihnen buchstäblich von den
Augen – oder besser – von der Nase abge-
lesen. Das ist doch eine Freiheit, die sich
jeder nehmen will!

#87
C

Datenschleuder #87

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Datenschleuder #87

Загружено:

Авторское право:

Доступные форматы

ISSN 0930-1054 • 2005 • 2,50 EUR

Postvertriebsstück C11301F die datenschleuder. #87

Die Datenschleuder Nr. 87 Redaktion dieser Ausgabe

Dirk Engling <erdgeist> und Tom Lazar <tomster>

die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 1

Wirtschaftsförderung ohne Rücksicht nationalen Grenzen aus seinem Paß ausgelesen

2 2 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 3

4 4 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 5

6 6 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 7

Die Verpﬂichtung jeden Bürgers, seine biometrischen Daten in Ausweispapieren anzuge-

8 8 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 9

10 10 die datenschleuder. #87 / 2005

Authentifikation: Daten explizit erlaubt werden. Das Keymanage-

12 12 die datenschleuder. #87 / 2005

ICAO (International Civil Aviation OCR (Optical Character Recognition):

MRTD (Machine Readable Travel RF-Chips sind winzige Transponder. Sie

die datenschleuder. #87 / 2005 13

Zum Erstellen einer Fingerspitzenattrappe

Da wir uns jedoch auf Hausmittel beschränken

Um den Dampf auf dem Fingerabdruck zu kon-

14 14 die datenschleuder. #87 / 2005

Für die weitere Bearbeitung am Rechner kann

Die Masse, in die wir das Relief prägen, braucht

Nun kann am Bildbearbeitungsprogamm die

Um die optimale Viskosität zu erhalten, kann

die datenschleuder. #87 / 2005 15

16 16 die datenschleuder. #87 / 2005

Introduction Organization of Data

die datenschleuder. #87 / 2005 17

18 18 die datenschleuder. #87 / 2005

transport level security can be somewhat com- Crypto Algorithms

The Public Key Hierarchy DSA 1024/160 2048/224 3072/256

die datenschleuder. #87 / 2005 19

20 20 die datenschleuder. #87 / 2005

Aufbau der Studie konform. Schade, war die ICAO-Konformität

die datenschleuder. #87 / 2005 21

22 22 die datenschleuder. #87 / 2005

me wiesen nicht einmal eine Lebenderkennung hochgradig unrealistisch. Normale Reisende

24 24 die datenschleuder. #87 / 2005

Die ohnehin dürftigen Ergebnisse der

die datenschleuder. #87 / 2005 25

26 26 die datenschleuder. #87 / 2005

die Systeme im harten Flughafenalltag plagen Verarbeitungszeit

die datenschleuder. #87 / 2005 27

28 28 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 29

Technical Report CCRA-compliant certiﬁcation body according to

30 30 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 31

32 32 die datenschleuder. #87 / 2005

Auf Beschluß des Bundeskabinetts in der 12.

Im November 2000 verkaufte der Bundesﬁ-

die datenschleuder. #87 / 2005 33

34 34 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 35

1. Frage: abdrücke im RF-Chip abzuspeichern. Die Spei-

36 36 die datenschleuder. #87 / 2005

teme hat die Bundesregierung ja schon bei 3. Frage:

Die Änderungen, die sich für die Paßbehörden