Beruflich Dokumente
Kultur Dokumente
Die Datenschleuder Nr. 87 (Chaos Computer Club) PDF
Die Datenschleuder Nr. 87 (Chaos Computer Club) PDF
Bildquelle: http://www.bmi.bund.de/Internet/Content/Common/Bilder/Themen/Informationsgesellschaft/DatenundFakten/
Biometrie__ePass,property=poster.jpg
Dieses Sonderheft der Datenschleuder ist dem Da es jetzt noch keine zentrale Biometrie-
neuen deutschen ePass gewidmet. Wir betrach- Datenbank gibt, bleibt kein Dauerzustand. Sp-
ten die technischen und politischen Details in testens nach dem nchsten Anschlag in Euro-
groer Ausfhrlichkeit, die wir angesichts die- pa wird die Legitimation da sein. Wer regt sich
ses ersten groen Schrittes hin zur Totalber- schon ber eine klitzekleine Datenbank auf,
wachung der Bevlkerung fr geboten halten. wenn es denn der Sicherheit dient... Beson-
ders widerlich an der Angelegenheit ist der
Unter dem Deckmntelchen der Terrorismus- Zusammenhang mit der fehlgeschlagenen
abwehr werden mit dem ePass gnzlich ande- Privatisierung der Bundesdruckerei und den
re Ziele verfolgt. Mit gengender Terrorfurcht Bedrfnissen der deutschen Biometrie- und
wurde die ffentliche Meinung so weichge- Chipkartenindustrie. Um schnden nanziellen
kocht, da alles, wo Sicherheit draufsteht, Interessen des Staates und der Industrie nach-
kritiklos hingenommen wird. Selbst die DDR- zukommen, wird sehenden Auges ein sicher-
Staatssicherheit hatte sich nicht getraut, eine heits- und technologiepolitisches Desaster ers-
chendeckende Erfassung der Fingerabdrcke ter Ordnung in Kauf genommen, das obendrein
ihrer Bevlkerung vorzunehmen. Das Innenmi- die Grundfesten der Informationellen Selbstbe-
nisterium unseres demokratischen Rechtsstaats stimmung massiv unterminiert.
hat da weniger Skrupel.
Der Hang zu technischen Groabenteuern ist
Demokratie ist eine feine Sache - wenn sich den deutschen Politikern offenbar nicht aus-
denn die Regierenden daran halten. Die Ent- zutreiben. Die Redaktion ist, wie immer, sehr
scheidung zur Totalerfassung wurde nicht interessiert an technologischen Forschungen
demokratisch legitimiert. ber den Umweg unserer geneigten Leser, an Dokumenten, die
ICAO und EU drckte das Innenministerium das gemeine Volk eigentlich nicht in die Finger
ein Verfahren durch, das im Deutschen Bun- bekommen sollte, und natrlich an Erfahrun-
destag bei rationaler Diskussion kaum durchge- gen mit dem neuen Reisepa. Zuwendungen
kommen wre. Eine sachliche Begrndung zur bitte wie immer an <ds@ccc.de> oder im braunen
Notwendigkeit fand selbst auf direkte Nachfra- Umschlag an die bekannte Postadresse.
ge von Abgeordneten nicht statt. Es gibt einfach
keine guten Argumente dafr, nur sehr viele Auch auf dem 22. Chaos Communication Con-
dagegen. gress vom 27. bis zum 30. Dezember 2005 wird
das Vorgehen gegen den Biometrie-Wahn eine
Der berwachungsstaat ist nicht mehr nur ein groe Rolle spielen, dann schon mit ersten
Schreckgespenst der fernen Zukunft. Er steht Erfahrungen und Ergebnissen aus der Hands
direkt vor der Tr. Unsere Politiker haben eine On-Forschung mit den neuen Pssen
Vision von einer Zukunft, die den dramatischen
Ausbau von Repressions- und berwachungs- <Die Redaktion Datenschleuder>
mglichkeiten erfordert. Biometrie in allen Aus-
weisdokumenten ist nur ein Puzzlestein dabei.
Der Reisepa ist nur der erste Schritt, die Perso-
nalausweise werden folgen.
Das zustzliche Sicherheitsmerkmal, also der nach den Ergebnissen einer jngst verffent-
kontaktlose Funk-Mikrochip, soll auerdem lichten BSI-Studie (sog. BioP-II-Studie) zu den
die Flschung erschweren und die Feststellung Erkennungsleistungen biometrischer Systeme
der Echtheit des Dokuments gewhrleisten. (siehe auch den entsprechenden Artikel in die-
Der Bundesinnenminister Otto Schily behaup- ser Ausgabe) zumindest in naher Zukunft als
tet, Flschungen von Pssen wrden mit der ausgeschlossen gelten. Jrg Radek, ebenso wie
Speicherung biometrischer Daten unmglich die Pressestelle des BMI, betont, da die Tech-
gemacht oder mindestens erschwert. Da die nik stets zustzlich eingesetzt, eine Kontrolle
Bundespolizei (frher BGS), der Pahersteller der Reisenden nach den Schengen-Standards
Bundesdruckerei wie auch das BSI bereits den jedoch weiterhin erfolgen wird. Von einer Effek-
bisherigen deutschen Pa als hochsicher ein- tivierung kann also keine Rede sein, die Viel-
stufen, wird ge issentlich verschwiegen. Nach ieger und die Urlauber erwartet vielmehr ein
Angaben von Jrg Radek, Bundesvorstand der erhhter Zeitaufwand.
Gewerkschaft der Polizei, sind Totalflschun-
gen hierzulande eine seltene Ausnahme; sol- Zudem sind die biometrischen Verfahren noch
che in einer guten Qualitt, die nicht schon von derart fehlerbehaftet, da zu erwarten ist, da
Grenzbeamten-Azubis erkannt werden, schlicht viele Pabesitzer von den Gerten an den Gren-
nicht vorhanden. Der Gipfel des Widersinns ist zen flschlich zurckgewiesen werden. Genau-
aber die Tatsache, da der ePass vollstndig gl- eres zu den aufgetretenen Unzulnglichkeiten
tig bleibt, wenn der Funk-Chip den Geist auf- der vier in der BSI-Studie getesteten biometri-
gibt. schen Systemen kann auf ber 170 Seiten nach-
gelesen werden. Zu anderen schwerwiegenden
Die computergesttzte biometrische Identi ka- Problemen wie der berwindungssicherheit
tion von Personen soll weiterhin zur Effektivie- der Verfahren ndet der geneigte Leser der Stu-
rung der Grenzkontrollen dienen und somit fr die jedoch keine Angaben. Eine Lebenderken-
eine Erleichterung des Reiseverkehrs mit dem nung etwa ist in den getesteten Verfahren ent-
entsprechenden Zeitgewinn fr die Reisenden weder nicht implementiert oder wurde fr die
und fr die Bundespolizei sorgen. [1] Dies kann Testdauer deaktiviert, um die Erkennungsleis-
tungen zu verbessern. Ebenso waren die Kosten licht deutlich. Die Interpretation der Ergebnis-
der Systeme nach wie vor kein Thema. So rei- se unterlag offensichtlich einer politische Ein-
hen sich die ungelsten Schwierigkeiten mit der unahme, die eine unabhngige Beurteilung
bereilt eingefhrten Technik aneinander. der Erkennungsleistungen verhinderte. Die
konkrete Datensammlung der Studie bleibt wei-
Wichtige Fragen danach, ob die fr die Signa- ter unverffentlicht. Die vom BSI ermittelten
tur und Authentisierung verwendeten krypto- Werte im niedrigen Prozentbereich erscheinen
graphischen Algorithmen zehn Jahre lang die auf den ersten Blick nicht problematisch, rech-
Integritt der Daten auf dem Chip garantieren net man diese aber auf die Gesamtbevlkerung
knnen, geraten so in den Hintergrund. Auch Deutschlands oder Europas hoch, erkennt man
die Frage nach der Ausgestaltung der bentig- schnell, da es sich hier um mehrere Millionen
ten Public Key Infrastruktur (PKI) fr die Zer- Problemflle handelt.
ti zierung der internationalen Lesegerte ist
noch immer ungelst. Die technische Spezi ka- Und die Personen werden nicht nur einmal
tion wird erst fr den Dezember 2005 erwartet. betroffen sein, sondern bei jeder Pakontrol-
(Siehe dazu auch den Artikel zum Annex G der le erneut die Rckweisung durch die biometri-
ICAO-Spezi kation in dieser Ausgabe.) schen Gerte erleben mssen. Die damit jeweils
verbundenen Extrakontrollen drften klar gegen
Die traurige Wahrheit den Gleichheitsgrundsatz, verankert im Grund-
gesetz, verstoen.
Es mu deutlich ausgesprochen werden: Die
Biometrie in Pssen lst keine Probleme. Wie Folgen fr alle Pabesitzer
aus der BioP-II-Studie hervorgeht, an der weni-
ger als 700 regelmig aktive Probanden teil- Im vielzitierten Volkszhlungsurteil des Bun-
nahmen, ist die Technik bei weitem noch nicht desverfassungsgerichtes von 1984 wurde fest-
einsatzbereit. So werden auf absehbare Zeit die gestellt, da jeder Brger ber die Preisgabe
ePsse nicht zur biometrischen Authenti kati- und Verwendung seiner personenbezogenen
on verwendet. Daten selbst bestimmen darf. Ob die Abnah-
me biometrischer Merkmale und deren durch
Die ebenfalls vom BSI zuvor durchgefhrte Stu- den Pabesitzer nicht mehr kontrollierba-
die BioP I [2], die sich mit der Verwendung der re Speicherung in Datenbanken rund um die
automatischen Gesichtserkennung im Grenz- Welt diesem Urteil zuwiderluft, ist unter Juris-
verkehr beschftigte, ermittelte beispielswei- ten fraglich. Wnschenswert wre ein brger-
se Falschrckweisungsraten (FRR) von 24 bzw. freundliches Urteil des Bundesverfassungsge-
52 Prozent (bei Falschakzeptanzraten von 0,002 richt zur Frage der ePsse. Als Einzelperson
bzw. 0,005 Prozent). Das bedeutet, da jede ist eine Klage gegen die Einfhrung der ePs-
vierte bzw. sogar jede zweite Person bei einer se jedoch erst dann mglich, wenn man direkt
Grenzkontrolle flschlicherweise zurckge- betroffen ist. Man mu sich erst durch die nati-
wiesen wrde. Bei den Fingerabdrcken sah es onalen Instanzen klagen, bevor ein Urteil des
nicht besser aus. So konnten bei ca. zwei Pro- Bundesverfassungsgericht oder des europi-
zent der Bevlkerung gar keine Abdrcke abge- schen Gerichtshof erwartet werden kann. Ein
nommen werden, da sie keine ausreichend aus- betrchtlich langer Zeitraum ginge ins Land,
geprgten Merkmale besaen. [3] ehe entschieden wrde. Die biometrische Tech-
nik wird dann lngst alltglich und unter erheb-
Die neue BioP-II-Studie lt die Gesichts-, Fin- lichen Kosten eingefhrt worden sein.
gerabdruck- und Iriserkennungssysteme wie-
derum nicht gut aussehen. Besonders bei [1] http://www.heise.de/newsticker/meldung/60149
der Gesichtserkennung wird erneut die star- [2] http://www.bsi.de/literat/studien/biop/index.htm
ke Abhngigkeit der Erkennungsleistungen [3] http://www.tab.fzk.de/de/projekt/zusammenfassung/
von Umwelteinssen wie dem Umgebungs- ab93.pdf
Wenn ihr euch fr den ePass entscheidet, gibt es litt wird das aber sicherlich nicht der Fall sein.
hier ein paar Hinweise zum sicheren Umgang Der Prsident des Centralverbandes Deutscher
und fr Spa am Gert. Wie ihr in diesem Heft Berufsfotografen, Hans Starosta, wirkt jeden-
schon gelesen habt oder noch lesen werdet, gibt falls bei seinem Vortrag auf einer Informations-
es ab dem 1. November diesen Jahres eine neue veranstaltung der Bundesdruckerei noch reich-
Generation des deutschen Passes. Er beinhaltet, lich unvorbereitet. Auf Nachfragen reagierte er
neben den bisher schon vorhandenen Daten und mit Schulterzucken. Und selbst wenn die Foto-
Sicherheitsmerkmalen, zustzlich einen RFID- graphen es wissen, ist nicht davon auszugehen,
Chip, auf dem der Inhalt der Maschinenlesba- da sie sich an jedes Detail halten werden, dafr
ren Zone (MRZ) und ein digitales Foto gespei- sind die Vorgaben einfach zu ungenau.
chert werden.
Aber es kostet euch ein Lcheln, ihn mit euren
Das Frontalfoto neuen Kenntnissen ber Gesichtserkennung
etwas aufzuklren. Dieses Lcheln spart ihr
Das Foto ist dafr ausgelegt, von einer automa- euch aber bitte beim Shooting, die Software ist
tischen Gesichtsbilderkennung verwendet zu noch nicht so ganz ausgereift.
werden. Daher wird es nicht, wie bisher blich,
im Halbpro l im Pa erscheinen, sondern in brigens, Geld sparen am
der Frontalansicht. Deshalb nun einige Hinwei- Foto autom ate n i s t
se, was ihr beachten mt, wenn ihr zum Pho- keine gute Idee. Die
tographen geht. Schminken solltet ihr dringend Fotos aus den Auto-
unterlassen, starke Lidstriche oder das Nachzie- maten entsprechen
hen der Augenbrauen verwirrt die Software und allein von der Grund-
knnte euch flschliche Rckweisungen an der qualitt der Kameras
Grenze bescheren. Eure Persnlichkeit kommt kaum den Vorgaben
auch ohne Farbe sicher gut zur Geltung. fr die automatische
Gesichtserkennung.
Auch Piercings oder Ttowierungen im Gesicht Nac h neuesten
sollten gut berlegt sein, denn 10 Jahre sind eine Rechercheergebnis-
lange Zeit. Man mchte schlielich auch in vie- sen wurden zumin-
len Monaten noch erkannt werden. Frisuren mit dest einige der Auto-
vielen ins Gesicht hngenden Haaren, beson- maten aber schon mit
ders in der Stirn, sind out, zumindest wenn ihr den aktuellen Mus-
gern um den Globus reisen wollt. tertafeln ausgestattet.
Fr Spa in der Kabi-
Zwar sollten solche Hinweise inzwischen alle ne ist also auf jeden Fall
Photographen mitbekommen haben, in der Rea- gesorgt.
Und auch auf mehr oder weniger Spa mit grnden bisher nur schleppend. Dafr lie
den Grenzbeamten kann man sich einstellen, man eine Software schreiben, welche die Qua-
wenn man die sowieso kaum funktionieren- litt der abgegebenen Pabilder berprfen soll.
de Gesichtserkennung zustzlich mit mani- Natrlich dauert es einige Zeit, bis alle Melde-
pulierten Bildern beglckt. Mit bloem Auge mter damit ausgestattet sein werden. Aus ano-
kaum sichtbare Vernderungen des Augenab- nymen Quellen ist auch leider schon bekannt,
stands oder der Nasenposition werden mit gro- da diese derzeit noch weit von ihrer optimalen
er Sicherheit zum Nichterkennen fhren. Das Funktionsfhigkeit entfernt ist. Sie ndet teil-
ist natrlich nur was fr die Hartgesottenen weise nicht einmal die Augen in den Bildern,
unter euch, die normalerweise viel Zeit beim was eigentlich nur der erste Schritt zur Erken-
Verreisen haben. Zwar ist es nicht erlaubt, Bil- nung ist. Aber das wird sicher noch besser in
der in digitaler Form abzugeben, aber da man Version 1.0.
heutzutage Pabilder auch zuhause ausdrucken
kann, scheint nicht bekannt zu sein. Lustig wr Der RFID-Chip
auch, wenn ihr mal versucht, mit ausgedruck-
tem Foto und sogar mit einem Foto auf dem Trotz des stolzen Betrages von 59 Euro, den
Handy die biometrischen Systeme an der Gren- jeder bei der Ausstellung eines ePasses bezah-
ze zu berlisten. len mu, bleibt der Pa selbst weiterhin Eigen-
tum der Bundesrepublik Deutschland. Deshalb
Gesichtserkennungstechnisch kaum auswert- darf man ihn natrlich nicht absichtlich kaputt
bare Bilder erzielt man durch das Tragen einer machen. Was man also nicht machen darf, wer-
Brille. In der BioP-II-Studie des BSI beispiels- den wir sicherheitshalber mal auisten:
weise trugen ber 90 Prozent der flschlicher-
weise erkannten Personen eine Brille mit dunk- Wer den Pa nach dem versehentlichen Mitwa-
lem Rand. Tja, die Algorithmen suchen sich schen in die Mikrowelle legen will, dem raten
eben sehr markante Punkte des Gesichts. Ein wir zur Vorsicht. Ein ungut aussehendes Brand-
schner Bart tut es brigens auch. loch knnte die Folge sein. Aber auch Leucht-
stoffrhrentester und elektrische Schweiger-
Allgemein ist anzunehmen, da die ungen- te arbeiten auf Basis von 13,56 MHz - hier kann
gende Information der Bevlkerung zu mas- man die in den Chip eingetragene Leistung
siven Spannungen auf den Meldemtern fh- durch den Abstand zum Gert sehr gut steuern.
ren wird. Also, bereitet euch auf etwas Stre Daher sollte der Chip kaputt gehen, ohne Spu-
vor, wenn ihr zum Beantragen geht. Es kann ren zu hinterlassen. Natrlich sollte man sowas
davon ausgegangen werden, da alte Pafotos vermeiden! Obwohl, der Pa bliebe ja weiterhin
schon ab dem 20. Oktober von den Angestell- gltig. Damit knnte man wahrscheinlich auch
ten zurckgewiesen werden, sollten diese schon mehrere Psse, die sich um das Gert herum
von der Neuerung erfahren und eine Schulung befinden, gleichzeitig zerstren. Also bitte
erhalten haben. Auch die dringend besondere Vorsicht walten lassen.
ntige Fortbildung
luft wahrschein- Und wenn solch ein Gert durch Zufall an
lich aus Geld- Grenzbergngen oder in den Meldemtern
steht (da wo
die Antrag-
s t e l le r d ie
D at e n au f
i h rem Pa
berprfen
knnen), wr-
den die St-
rungen den
Auslesevor-
gang unmg- ren mg-
lich machen. Und das will ja wirklich lich sein knnte. Aktiv hiee, da
niemand. der Angreifer Energie erzeugt,
um den Chip zu aktivieren, ihn
Eine andere unbedingt zu vermeidende Mg- also selbst anspricht. Bis zu einer
lichkeit ist das hu ge Knicken der Padecke Entfernung von 10 Metern ist dies mglich. Also
(die flscherlicherweise immer als Deckel empehlt es sich, ab und an die Verhaltenswei-
bezeichnet wird). Die Stelle, an welcher der sen der Personen auf der anderen Straensei-
Chip mit der Antenne verbunden wird, ist sehr te zu beachten. Passives Abhren bedeutet, da
emp ndlich und geht wahrscheinlich schon der Angreifer die ofzielle Kommunikation zwi-
nach ein paar Biegungen kaputt. Also lieber gar schen dem Pa und dem Lesegert (zum Bei-
nicht berhren. Selbst wenn man den Pa nur spiel an der Grenze) mithrt. Dieses ist bis zu
normal mit sich fhrt, drfte die Lebensdauer 30 Metern und unter Laborbedingungen sogar
unter 10 Jahren liegen, daher ist eine vorsichtige schon bis zu 50 Metern mglich. Es sollten also
Handhabung dringend anzuraten. auch die Personenkraftwagen, die vor dem Flug-
hafen warten, beobachtet werden.
Man kann sich nun die Fragen stellen: Was pas-
siert, wenn man einen Pa mit kaputtem Chip Natrlich hat das BSI vorgesorgt. Um das Ausle-
umtauschen will? Machen die das? Mu man sen der biometrischen Daten zu verhindern, gibt
das dann extra bezahlen? Wie oft kann man das es kryptographische Sicherungen. Fr die digi-
denn machen? Fr diese Fragen empfehlen wir talen Gesichtsbilder und alle Daten der maschi-
die Hotline beim Service-Center des BSI: 01805- nenlesbaren Zone (MRZ) gengt die sogenann-
274-300 (8-17 Uhr fr 12 Cent pro Minute). te Basic Access Control. Diese ist keineswegs
sicher und kann gebrochen werden. (Siehe auch
Man braucht den Pa aber nicht kaputt zu den Artikel zum Annex G der ICAO-Spezi ka-
machen, wenn man befrchtet, jemand will tion in dieser Ausgabe.) Sollte ein Angreifer die
ungefragt an die biometrischen Daten ran. Ein- verschlsselten Daten erhalten haben, kann er
faches Mittel um das Auslesen zu verhindern, sich zuhause in Ruhe an die Brute-Force-Ent-
ist schlichte Alufolie. Dabei mu man diese schlsselung machen. Hilfreich wre, wenn
meist nicht mal komplett um das Dokument der Angreifer die Daten der MRZ in Kopie bes-
wickeln, eine Lage in das Pabuch zu legen, e. Dazu mu er nur einmal kurz den Pa in
sollte gengen. Fr Verwirrung beim Lesege- die Hand bekommen. Man denke an die Pa-
rt sorgt auch das Einbringen von zustzlichen kopie bei der Hotelanmeldung im Ausland oder
Chips in den Lesebereich. Deshalb sind sie bri- die Anmeldung fr eine Karte der Fuball-WM
gens auch davon abgerckt, die Visa auf einem 2006.
separaten RFID-Chip auszustellen.
Vielleicht sollte man doch berlegen, ob Mikro-
Warum sollte man sich aber mit Alufolie vor welle und Alufolie gegen diese Unterwande-
dem Auslesen schtzen sollten? Der Grund ist, rung der Informationellen Selbstbestimmung
da unberechtigtes aktives und passives Abh- zu erwgen wren...
Offenkundig nutzte der scheidende Bundesin- zeptanz), zweitens die Abweisung einer geprf-
nenminister Otto Schily die Gelegenheit, im ten Person, obwohl das gespeicherte Merkmal
Schatten der Anschlge der letzten vier Jahre zu dieser Person gehrt (Falschrckweisung).
vorschnell eine berwachungstechnologie ein- Beide Kategorien von Fehlern bedingen anei-
zufhren, die noch nicht einmal richtig funkti- nander und sind unakzeptabel, sobald sie
oniert. (Siehe dazu den Artikel zur BioP-II-Stu- gehuft vorkommen. Fehler der ersten Katego-
die in dieser Ausgabe.) rie fhren den angeblichen Sicherheitsgewinn
ad absurdum, die Fehler der zweiten Kategorie
Die biometrische Technologie kann in eini- stellen die betreffenden Personen unter unbe-
gen Jahren serienreif sein, doch dann knnte grndeten Verdacht. Fr diesen Verdacht ist
sich die politische Landschaft bereits gendert es unerheblich, ob er nun 25, 10 oder 5 Prozent
haben. Vielleicht wird Osama bin Laden dann der Menschen betrifft. Fr sie wird eine ange-
geschnappt sein. Vielleicht wird die Hysterie kndigte verschrfte Kontrolle, wie immer die
um den Terrorismus nicht mehr so frisch in den auch aussehen mag, ntig. Das ist fr die Betrof-
Kpfen der Menschen sein. Vielleicht wrden fenen erstens ungerecht, zweitens zeitaufwen-
gar biometrische Ausweise, eingefhrt mit dem dig und drittens recht unangenehm, denn fr
Argument der Sicherheit, auf Widerstand sto- einmal flschlich zurckgewiesene Pabesit-
en. Auch gegenwrtig scheint die Akzeptanz zer ist die Wahrscheinlichkeit hoch, da sie von
begrenzt, schlielich mute Schily sein Lieb- nun an fter betroffen sein werden.
lingsprojekt ber den Umweg des EU-Minister-
rats auf den Weg bringen und mit Rechtsverord- Sinnvoll gegen Terrorismus?
nungen am Bundestag vorbei umsetzen, da ihm
Vertrauen und Untersttzung der rot-grnen Was bringt nun der Einsatz biometrischer Aus-
Bundestagsfraktionen fehlten. Das ganze Vor- weispapiere im Kampf gegen den Terrorismus?
gehen ist nur ein weiterer Beleg fr die schlei- Kurz gesagt: nichts. Es handelt sich vielmehr
chende Entmndigung der nationalen Par- um ein Sicherheitsplacebo, mit dem Aktivitt
lamente durch die undemokratische EU. Die suggeriert wird. Die neuen Dokumente sollen
Bedenken und Einwnde des EU-Parlamentes angeblich flschungssicherer sein als bisherige
waren bereits zuvor per Erpressung aus dem und die Benutzung echter Papiere durch jeman-
Weg gerumt worden. den anderes als den Eigentmer verhindern.
Den ersten Punkt kann man getrost als schlech-
Die innewohnenden Probleme der biometri- ten Scherz verbuchen. Wie weithin bekannt,
schen Systeme lassen sich in zwei Kategorien zhlen die deutschen Ausweispapiere heute
unterteilen; erstens die Veri zierung vom rea- bereits zu den flschungssichersten Dokumen-
len Menschen mit dem gespeichertem Merkmal, ten der Welt. In den letzten Jahren gab es nur
obwohl diese nicht bereinstimmen (Falschak- wenige Flschungsversuche, und die waren alle-
samt reichlich erfolglos. Das Bundesinnenmi- und vieles mehr wre gesamtgesellschaftlich
nisterium behauptet jedoch, es gbe ein groes eine sinnvollere Investition als die Verschwen-
Geflle innerhalb der EU, was die Flschungs- dung fr nicht funktionierende biometrische
sicherheit angeht. Das ist wahr, auch hinlng- Psse oder Ausweise.
lich bekannt. Die Frage aber, warum dann nicht
einfach alle EU-Staaten den jetzigen deutschen Sollte die Technologie eines Tages doch funk-
Standard bernehmen, bleibt unbeantwortet. tionieren, drohen uns noch grere Schwie-
Wre ja auch ein schnes Geschft fr die pro- rigkeiten. Biometrie und RFID bieten mannig-
tegierte Bundesdruckerei. Auch die Aussage faltige Mglichkeiten der berwachung von
Schilys, da der 21. Attentter des 11. Septem- Menschen. Beides wird nun Schritt fr Schritt
ber monatelang mit einem geflschten franz- eingefhrt. Erst das digitale Gesichtsbild, dann
sischen Pa durch Europa gereist sei, rechtfer- die Fingerabdrcke, erst im Reisepa, dann im
tigt wohl kaum die Einfhrung biometrischer Personalausweis - die klassische Salami-Taktik.
Psse. Der Kriminelle hatte nmlich schlicht
einen Meldebeamten bestochen und sich einen Gefahren fr Freiheit und Demokratie
Pa ausstellen lassen. Warum Biometrie dies
in Zukunft verhindern soll, kann auch Schily Die RFID-Chips sind nicht umsonst auch als
nicht erklren. Schnffelchips bekannt. Mit der entsprechen-
den Infrastruktur an Lesegerten, etwa in jeder
Der Test auf bereinstimmung zwischen Tr, in jeder Straenlaterne oder unter Gehweg-
Painhaber und Pabenutzer ist etwas inter- platten, kann man die Bewegungen eines Men-
essanter. Hierbei unterstellt man dem Inhaber schen, der einen solchen Chip bei sich trgt,
eines EU-Ausweisdokumentes, da er seinen mhelos verfolgen und archivieren. Beliebige
Pa an einen Doppelgnger, der beispielsweise Orwellsche Szenarien kann man sich vorstel-
gesucht wird oder kein EU-Staatsbrger ist, wei- len. Ob die kryptographischen Sicherungen die
tergeben knnte, der damit umherreisen wrde. Gefahr, die in den RFID-Chips steckt, dauerhaft
Dies zu unterbinden, knnte illegale Einrei- eindmmen kann, darf bezweifelt werden.
sen verhindern. Htte es jedoch die Anschlge
in den USA, in Madrid oder in London verhin- Neben der Gefahr durch die Schnffelchips
dert? Sicher nicht, da die Tter nicht polizeilich birgt auch der Einsatz biometrischer Merkmale
gesucht wurden, legal einreisten und folglich enorme Risiken. Durch die Interventionen des
ihre echten Psse benutzen konnten, biome- EU-Parlaments konnte gerade noch verhindert
trisch oder nicht. Das Argument, die neuen werden, da alle biometrischen Daten in einer
Dokumente seien ein Werkzeug gegen den Ter- zentralen Datei gespeichert werden. Dies hatten
rorismus, ist somit in jeder Hinsicht unhaltbar. die Innenminister der EU in der ihnen eigenen
dreisten Selbstverstndlichkeit gefordert. Doch
Gute Geldanlage bei knapper Kasse? auch ohne eine zentrale Referenzdatei besteht
die Mglichkeit, da staatliche Bedarfstrger
Ein weiterer Aspekt sind die enormen nanziel- die biometrischen Daten jedes Menschen einse-
len Kosten der ganzen Manahme. Dabei ndet hen knnen, wenn diese dezentral in den Mel-
eine gigantische Fehlallokation von Ressour- destellen gespeichert und beispielsweise ber
cen statt. Denn die Milliarden fr die Herstel- eine Suchmaschine abgefragt werden. Das wre
lung der Psse, die Herstellung und Wartung praktisch dasselbe wie eine zentrale Daten-
der Lesegerte, die Schulung des Grenzperso- sammlung, es klingt nur nicht so nach Drittem
nals etc. fehlen an anderer Stelle. Die Bereitstel- Reich und Zentralkartei.
lung nanzieller Mittel fr die Integration von
Menschen mit Migrationshintergrund, die Kon- Ein digitalisiertes Gesichtsbild kann mit der
trolle an Grenzen auf Waffen und Sprengstoffe, Gesichtserkennungssoftware von berwa-
die Ausrstung und das Training von Rettungs- chungskameras, die sich in Europa wie eine
krften, die Resozialisierung von Strafflligen Plage ausbreiten, kombiniert werden. Bisher
werden Menschen vielerorts einfach anonym mente reiht sich ein in eine Folge von Verletzun-
gelmt, man knnte mit den Kameras jedoch gen dieses Grundrechtes. Die sich immer weiter
an das Gesicht der Person auch heranzoomen, ausdehnende Videoberwachung, die automa-
es mit biometrischen Daten abgleichen und die tische Kennzeichenerfassung, der groe Lau-
Person identizieren. Hiermit lieen sich die schangriff, die Jahr fr Jahr steigenden Telefon-
Bewegungen von Menschen berwachen oder berwachungsmanahmen, die Speicherung
die Teilnehmer einer Demonstration identizie- von genetischen Informationen in digitaler
ren. Da der einmal bekanntgewordene Einsatz Form, die Auf hebung des Bankgeheimnisses,
solcher Techniken Menschen davon abhalten die noch immer diskutierte Vorratsdatenspei-
knnte, noch an Demonstrationen teilzuneh- cherung von Telefon- und Internetdaten; die
men, wre ein Sndenfall der Demokratie. Liste auf dem Weg zum berwachungsstaat
liee sich noch fortsetzen. Das alles wird im
Neben dem Bild kommt ab 2007 die Aufnahme Namen der Sicherheit durchgefhrt, und viele
des Fingerabdrucks hinzu. Pltzlich mssen Menschen akzeptieren das aufgrund der gestie-
gesetzestreue Menschen ihre Fingerabdrcke genen Angst vor Terrorismus oder Verbrechen.
abgeben wie gewhnliche Kriminelle. Da jeder Wohlgemerkt, aus bloer Angst, denn tatsch-
Mensch seinen Fingerabdruck an vielen Stellen lich sinkt die Kriminalitt real seit Jahren.
hinterlt, ffnet dies der Kreativitt von Krimi-
nellen, falsche Fhrten am Tatort zu legen, Tr Durch immer mehr berwachung in Kombi-
und Tor. So knnten aber auch zufllig die Fin- nation mit den Mglichkeiten durch biometri-
gerabdrcke eines Menschen an einem Gegen- sche Erfassung wird ein Datennetz gesponnen,
stand sein, der ber irgendwelche Umwege am das die freie Entfaltung der Menschen nachhal-
Schauplatz eines Mordes oder einer Entfh- tig verndert und zunehmend verhindert. Dies
rung landet. Obgleich diese Person nichts mit stellt eine Gefahr fr die ohnehin durch die
der Tat zu tun hat, wird sie pltzlich zum Ver- Schleichwege ber EU-Verordnungen gefhrde-
dchtigen. te Demokratie dar. Wer sich immerzu berwacht
wei, der wird alles tun, um nicht aufzufallen.
Der ePass wird das Recht auf Informationelle Die Demokratie lebt jedoch vom Mitmachen
Selbstbestimmung noch weiter aushhlen. Die und von der Auseinandersetzung.
Einfhrung der biometrischen Ausweisdoku-
Schlagbaum am Bahnhof
Winsen an der Luhe
Der Begriff Biometrie setzt sich aus den griechi- FRR (False Rejection Rate): Die Falschrckwei-
schen Worten bio (das Leben) und metron (das sungsrate gibt die Wahrscheinlichkeit an, mit
Ma) zusammen und bedeutet die Vermes- der der rechtmige Besitzer der biometrischen
sung des Lebens. Heutzutage bezeichnet der Referenzdaten flschlicherweise zurckgewie-
Begriff die Erfassung oder Erkennung von Per- sen wird.
sonen anhand von spezischen Krpermerkma-
len. FAR (False Acception Rate): Die Falschakzep-
tanzrate gibt die Wahrscheinlichkeit an, mit der
EAC (Extended Access Control): ein fremdes Individuum bei der Prsentation
seines biometrischen Merkmals flschlicher-
Die EAC ist ein kryptographisches Verfahren weise als der rechtmige Eigentmer der Refe-
zur zustzlichen Verschlsselung der Kommu- renzdaten erkannt wird.
nikation fr sensitivere Daten des ePasses, wie
z.B. die Fingerabdruck- oder Irisbilder. Grund-
lage ist RSA/DSA mit elliptischen Kurven und
Hashes von 224 Bit (in Deutschland). Dabei
mu einzelnen Staaten der Zugriff auf die
Nun mu die Attrappe nur noch in Fingerab- Der Chaos Computer Club wnscht viel Spa
druckgre ausgeschnitten und mit ein wenig mit ihrer neuen Identitt.
Kleber (am unbedenklichsten: Maskenkleber,
aber nicht in jedem Haushalt zu nden) xiert
werden.
Electronic passports that are deployed arond the world (including Germany) will be based
on RFID technology. To understand its implication, knowledge about those technologies
is essential.
Technically speaking, ePassports are ICAO com- Data on the ePassport is organized according
pliant MRTDs. ICAO is an international body to a specication called LDS (logical data struc-
that already species the current OCR readab- ture). LDS specifies a number of DG (Data
le lines on travel documents. The ICAO MRTD Groups), as well as the encoding of the data. The
specications are publicly available from the most important data groups are:
ICAO homepage.
DG1 (mandatory) contains the same data as
From a technical point of view, ePassports are printed on the cover page like name, date of
ISO 14443-1,2,3,4 compliant contactless smart birth, expiration date, document number, nati-
cards. On top of 14443-4 transport layer protocol, onality, etc.
APDUs according to ISO 7816-4 are exchanged. DG2 (mandatory) contains the JPEG2000
For those readers who are not familiar with encoded facial image and corresponding biome-
smart card technology: ISO 7816-4 tries to spe- tric data
cify interindustry commands for interchange DG3 (optional) contains biometric ngerprint
with ID cards. data - not in German passports
DG4 (optional) contains biometric iris data -
The ISO 7816-4 smartcard provides a lesys- not in German passports
tem based interface to the information stored on
the ePassport. The application software issues ICAO requires data in DG1 and DG2 to be stored
high-level commands such as SELECT FILE, unencrypted, since it only resembles the data
READ BINARY to the
MRTD. The ICAO recom-
mends a minimum memo-
ry size of 32kBytes. Howe-
ver, it recommends as much
memory as possible, and
indicates 512kBytes as a tar-
get. As of now, the MRTD
chip has to operate in a write
once, read many fashion.
After the document is issu-
ed, it must not be allowed
to change any data. Future
standards may include the
possibility to store electro-
nic visa data. Passport-Sample (14443-B) and CM5121 Reader PCB
that is human-readable on the printed pages of the EF.SOD signature(s). This assures that the
the passport. Additional biometric data such content of the data groups is signed by the issu-
as iris and/or ngerprint information may be ing country. However, passive authentication
stored in an encrypted format. As of now, this is does not prevent copying of a MRTD.
up to the issuing country. Any form of encryp-
tion is outside the ICAO MRTD specications Active Authentication (optional)
and will thus not work interoperable on an inter- Active authentication can be employed to verify
national level. that the chip has not been substituted. It is
based on a challenge response protocol. The
All biometric information stored within LDS MRTD chip contains an active authentication
is further encoded according to CBEFF (Com- public key pair (KPrAA and KPuAA). A hash
mon Biometric Exchange File Format, NISTIR representation of KPuAA is stored in EF.SOD
6529-A), a common le format that facilita- and therefore authenticated by the issuing
tes exchange and interoperablity of biometric country certiate. KPrAA is stored in on-chip
data. Each data group is cryptographically sig- secure memory.
ned. The signature is stored in EF.SOD (Securi-
ty Object Data). Basic Access Control (optional, implemented
in Geman ePassports)
Security Features Basic access control denies access to the MRTD
Randomization of unique serial number chip until the inspection system proves that it
All ISO14443 compatible RFID chips disclose a is authorized to access the chip. This proof of
unique serial number during the anticollision authorization is done by deriving a pair of keys
procedure. This poses the potential threat of (Kmac and Kenc) from the OCR-read machine
pseudonymised tracking. The German BSI readable zone (MRZ). BAC can therefore pre-
therefore requires this randomization of the vent unauthorized harvesting of passport
serial number. data without being noticed by the passport hol-
der. BAC also mandates that any communica-
Passive Authentication (mandatory) tion following-up to BAC has to be encrypted
Passive authentication performs verication of via ISO 7816-7/8 secure messaging (SM). This
The PKI hierarchy is obviously nothing that ECDSA 160 224 256
directly affects the passport itself. However, it
is integral to the security of the system, so this Security threats
paper provides a quick overview: Small Keyspace of basic access control
The entropy of the MRZ data used to derive
All keys are issued in the familiar form of X.509 Kenc and Kmac for basic access control is very
certicates. Each issuing state operates its own limited. The nine digit document number is
Country Singing CA. There is no supernati- concatenated with the date of birth and the
onal Root CA. This is neccessary, since every expiration date of the document.
country decides on its own if it recognizes a par-
ticular other country. This also means that every Since ICAO MRTD specications recommend
reader (inspection system) has to store the ePassports not to be valid for more than ve
Document Signer Certicate of every recogni- years, the expiration date can only be one out of
zed issuing country. (365*5 = 1325) values.
The individual ePassports are signed using The date of birth can realistically assume only
Document Signer Keys. The Document Signer values between 18 and 90 years old (365*72 =
Keys are in turn signed by the Country Signing 26280). Also, in case of a specic person, the
CA. Document Signer keys have limited lifeti- range of the DOB can often be estimated to a
me, and it is recommended that issuing coun- certain range.
tries delete the private key after the last passport
for that key has been issued. Issuing coun- Document Numbers are issued sequentially in
tries have to provide certicate revocation lists some countries, and can therefore be reduced to
(CRLs) at least every 90 days, but not more often certain ranges. In Germany, the rst four digits
than every 48 hours. specify the issuing department, and the follo-
wing ve digits increment sequentially.
The ICAO operates a public key directory
which will be set up as X.500 directory, updates Grandmaster Chess Attack
are performed over LDAP. All communication
with the PKD is SSL authenticated. The PKD The Active Authentication mechanism is meant
stores Document Signer Certicates, but not to prevemt chip substitution (e.g. carbon copy-
Country signing CA certicates. ICAO veri- ing). However, it cannot prevent a grandmaster
es signatures of all incoming Certicates and chess attack, where the inspection system talks
CRLs before making them available. The PKD to a proxy chip that would temporarily com-
has public read access on the internet. Coun- municate with the original MRTD.
try signing CA certicates will be provided bila-
terally between countries.
Auf die 170-seitige Studie BioP II, die vom BSI beauftragt wurde, um die Praxistauglich-
keit biometrischer Systeme zu testen, lohnt ein etwas lngerer Blick. Wir haben ihn gewagt
und wollen euch die Ergebnisse nicht vorenthalten.
Vor dem Gesetzemachen sollte die Sachkunde jahr 2005 Teilergebnisse auf Symposien und
kommen. So wre es zumindest idealerweise. Informationsveranstaltungen herum.
Biometrie ist ein recht neues und unerforsch-
tes Feld. Also, dachte sich der Gesetzgeber, wre Das BSI, eine deutsche Behrde mit allen Vor-
es eine gute Idee, vor der massenweisen Ein- und Nachteilen, publizierte mit mehrmonatiger
fhrung von biometrischen Merkmalen in Per- Versptung dann das Ergebnis mit dem lapida-
sonaldokumenten erstmal zu prfen, ob das ren Hinweis, da die politischen Gegebenhei-
Ganze berhaupt funktioniert. Da das Ergebnis ten die Zielsetzung der Studie leider berholt
der ersten Studie des Bundesamtes fr Sicher- htten. Nun ist aber das BSI eine nachgeord-
heit in der Informationstechnik (BSI) dazu nicht nete und damit weisungsgebundene Behrde
so ganz praxisnah war, wurde nunmehr ein gr- des Innenministeriums. Dies schlug sich dann
er angelegter Feldtest angesetzt, die BioP-II- auch deutlich in der Interpretation der Studi-
Studie. Durchgefhrt von der Secunet Securi- enresultate und der Flle der nicht publizier-
ty Networks AG, dem Dienstleister fr (fast) alle ten Details nieder. Das Amt stellte die Version
Flle des BSI. 1.8 der Studie fr einige Stunden online, zog sie
dann wieder zurck und publizierte Tage spter
Nun interessiert sich aber der dazumalige die Version 2.0.
Innenminister, der allseits beliebte und bekann-
te Otto Schily, nicht allzusehr fr Fakten. Da Durch diesen Zufall ist ein gewisser Einblick
die ganze hochgelobte Biometrie nicht funkti- in den Proze der Bearbeitung mglich. Leider
onieren knnte, war keine in Frage kommen- gehen die daraus zu gewinnenden Erkenntnis-
de Mglichkeit. Es ging ja schlielich um die se nicht ber die Besttigung des Verdachts der
Sicherheit des Abendlandes vor den Gefahren dramatischen politischen Einunahme hin-
des internationalen Terrors und die Frderung aus. Eine Version 1.0 oder so mit allen Anhn-
der darniederliegenden deutschen Industrie. gen wre sehr interessant (falls die jemand
Also drckten seine Ministerialen unter Schilys rumliegen hat: email an ds@ccc.de oder im vor-
gide ber den Umweg EU und ICAO am Bun- geschriebenen neutralen braunen Umschlag an
destag vorbei durch, da Fingerabdrcke und die bekannte Adresse aus dem Impressum).
Gesichtserkennung in die Reisepsse kommen.
Wohlgemerkt, bevor die Ergebnisse der BioP-II- Hier nun eine Auswertung der Studie unter
Studie of ziell vorlagen, die doch Hilfestel- Bercksichtigung beider Versionen. Der
lung fr die Art und Weise der Einfhrung der geneigten Leser kann die Studie als Referenz
neuen ePsse geben sollten. Nicht, da Schily hinzuziehen, da wir fr einige Anmerkun-
die Ergebnisse der Studie nicht schon gekannt gen die Seitenzahlen der Version 2.0 angeben:
hat; Mitarbeiter des BSI zeigten bereits ab Frh- http://www.bsi.de/literat/studien/biop/biopabschluss2.pdf
Da war ihnen wohl die null Prozent FTE bei fentrger konnten schlicht die Positionierungs-
der Gesichtserkennung selbst unheimlich. Das markierungen ohne Brille nicht sehen).
unrealistische Enrolment-Setup (speziell von
Experten angefertigte Bilder, Nachbearbeitung In der Studie klingt das dann so: Bei SD Indus-
mit Adobe Photoshop) drfte aber der eigentli- tries traten Positionierungsschwierigkeiten
che Grund fr die unrealistisch niedrige FTE- gehuft auf, da Teilnehmer gleichzeitig den
Rate sein. richtigen Abstand zum Gert und den Fokus-
punkt (Positionierung des Auges in der Mitte
Doch nicht nur das, denn die Messung der FTE des Spiegels der Sensoreinheit) nden muten.
in der Studie schliet Fehler, die durch falsche Teilnehmer muten sich oft ein Auge zuhal-
Bedienung der Systeme beim Enrolment ent- ten, um zu fokussieren. Die Kopplung mit einer
standen sind, explizit aus. Sie werden gar nicht trgen akustischen Rckmeldung bzgl. des
als Fehlversuch ausgewiesen. In der Praxis ist Abstands fhrte zu Schaukel-Bewegungen.
daher natrlich eine hhere FTE zu erwarten. Auerdem wurde von einer Reihe von Teilneh-
Hinzu kommt, da die Ergebnisse der FTE mern die Sensoreinheit nicht auf die der Kr-
nochmals dadurch geschnt wurden, da ein pergre angemessene Position eingestellt.
Re-Enrolment vorgenommen wurde. Man mach- Viele grere Teilnehmer bckten sich, anstatt
te kurzen Proze und erfate bis zu 5 Prozent die Einstellung zu verndern. Wenn man das
der Teilnehmer einfach nochmals. Die Begrn- mal vor seinem inneren Auge ablaufen lt, so
dung ist so einfach, wie sie vermutlich gelo- scheint es an der Grenze in Zukunft auch lusti-
gen ist: Systemfehler. Behauptet wird, da ge Momente zu geben.
whrend des ersten Enrolments teilweise keine
Templates in der Datenbank gespeichert wor- Personen, die kleiner als 1,55 m waren, konn-
den wren. Dies erscheint ziemlich zweifelhaft, ten gar nicht oder nur unter groen Mhen am
da jeweils nach einem Enrolment immer eine Test teilnehmen. Warum auch, der Brger kann
Testverikation stattndet. Diese kann ohne schlielich seine Krpergre oder Sehstrke
ein Template aber nicht funktioniert haben. Es den Gerten anpassen, und nicht umgekehrt.
bleibt also der Verdacht, da die in der Einfh-
rungsphase besonders hug zurckgewiese- berwindungssicherheit
nen Personen re-enrolt wurden, um die Ergeb-
nisse der FTE zu verbessern. Gnstig ist dabei Der geneigte Hacker fragt sich bei biometri-
auch der Mitnahmeeffekt - die Falschrckwei- schen Systemen natrlich als erstes: Kommt
sungsrate sinkt ebenfalls. Praktisch bedeute- man da durch? So ging es offenbar auch den
te dieses Vorgehen jedoch, da 5 Prozent der Studienbetreuern beim BSI und den Durchfh-
Personen jeweils einen neuen Pa bekommen rern bei Secunet. In den Kriterien zur Bewer-
wrden. Der geneigte Leser darf sich die auf die tung der getesten Systeme heit es denn auch:
Gesamtbevlkerung hochgerechneten Zahlen Fake-Resistenz: Biometrische Systeme ms-
selbst berlegen. sen insbesondere bei unberwachtem Betrieb
eine ausreichende Resistenz gegen Kopien des
Weitere Probleme zeigten sich bei der Aufnah- betreffenden Merkmals aufweisen. In Abhn-
me der biometrischen Merkmale in die Daten- gigkeit des verwendeten Verfahrens kann aber
banken. Die Positionierung vor dem Iriserken- auch bei berwachtem Betrieb eine ausrei-
nungssystem erwies sich fr die Probanden chende Fake-Resistenz erforderlich sein. Des-
als auerordentliche Schwierigkeit. Besonders halb stellt die Fake-Resistenz ein wichtiges
bei den Brillentrgern (42 Prozent der Popula- Bewertungskriterium dar. Deswegen iet die-
tion), die ihre Brille zur Prsentation der Iris ses Kriterium dann auch mit atemberauben-
abnehmen muten, zeigte das System von SD den 4 Prozent in die Gewichtung der Gesamt-
Industries whrend des Enrolments sowie im bewertung ein. Eine hhere Gewichtung htte
gesamten Feldtest seine Schwchen. Die Benut- wohl sonst die Auswertung nachhaltig versaut.
zerfhrung war einfach untauglich (die Sehhil- Die Ergebnisse der Versuche waren offenbar
hnlich erschreckend wie jene aus den (bereits tet. Die Erluterung auf Seite 158 gibt die Note 4
hinlnglich in der Datenschleuder publizierten) wie folgt an: berwindung mit mittlerem Auf-
Forschungen des CCC. wand erfolgreich (mit Zugriff auf das Merkmal
eines Berechtigten). Um das etwas besser ein-
Bei den hier erfolgten berwindungsversu- ordnen zu knnen, hier der Klartext der nchst-
chen handelt es sich ganz berwiegend um besseren Note 3: berwindung mit mittlerem
Labortests, die nur vorluge Aussagen zulas- Aufwand sowie Spezialwissen und/oder spezi-
sen. Auf eine detaillierte Darstellung wird in ellen Hilfsmitteln erfolgreich.
diesem Bericht daher verzichtet. So lautet der
peinlich drre Kommentar zum Thema ber- Zu deutsch: eine Note 4 bedeutet, da ohne Spe-
windungssicherheit in der Studie, in verschiede- zialwissen und spezielle Hilfsmittel eine ber-
nen Formulierungsvarianten. Da die Systeme windung problemlos mglich ist. Das deckt sich
berwindungssicher sind, konnte also wieder- mit unseren Erkenntnissen, auch wenn das BSI
einmal nicht gezeigt werden. Der IT-Direktor vermutlich die in der Datenschleuder beschrie-
des BMI, Martin Schallbruch, merkte auf einer bene Vorgehensweise zum Nachbau eines Fin-
Informationsveranstaltung an, man wolle gerabdrucks als Spezialwissen sowie Holz-
schlielich den Flschern keinen Vorschub leis- kaltleim, Digitalkamera und Sekundenkleber
ten. Warum deshalb aber nicht mal die Ergeb- als spezielle Hilfsmittel einstufen wrde.
nisse der berwindungssicherheitstests publi-
ziert werden, bleibt sein Geheimnis. Er wollte es Der Kommentar des Innenministeriums, da
auch auf Nachfrage nicht lften. Aufmerksames Details zur berwindungssicherheit nicht
Lesen der Studie frdert jedoch ein paar Hin- publiziert wrden, um Flschern keine Anlei-
Abschluauswertung (Seite 161) in der Rubrik clevere beltter kein Problem beim berwin-
Fake-Resistenz
jeweils mit der Note 4 bewer- den haben werden. Beide Fingerabdrucksyste-
die datenschleuder. #87 / 2005 23
23
BSI BERRASCHT: BIOMETRIE FUNKTIONIERT NICHT!
Die Masterreferenz zur Messung der Erken- die ermittelten Werte noch weiter verschnert
nungsleistungen blieb dennoch entgegen der haben. In der Studie wird hier von einer gewis-
Zielsetzung der Studie das jeweilige Systemtem- sen Bereinigung gesprochen. Zunchst gin-
plate des Herstellers. Die Gesichtserkennung gen keine Messungen in die FRR ein, die durch
von Cognitec in Testzyklus 2 ist hier die einzi- signikant variierte Testbedingungen beein-
ge Ausnahme. Das Systemtemplate schneidet ut worden waren. An den Grenzbergngen
natrlich gegenber dem ICAO-Bild bei allen mten demnach also recht homogene Bedin-
anderen Verfahren hinsichtlich der FRR besser gungen herrschen - eine reichlich praxisferne
ab. Es ist daher nicht schwer zu erraten, warum Annahme.
bei der Ermittlung der Erkennungsleistungen
vom eigentlich zu untersuchenden ICAO-Stan- Auerdem prsentierten viele Teilnehmer den
dard abgewichen wurde. Es ist offenbar jedes falschen Finger (5 bis 7 Prozent) oder das fal-
Mittel recht, die Ergebnisse zu verschnern. sche Auge (23 Prozent). Sicher ein Verhalten,
das auch in der Praxis oft vorkommen wird.
Dennoch ergab die Auswertung der Ergebnisse Dieses verschlechtert aber natrlich die Erken-
noch einiges erstaunliches: Bei allen Systemen nungsleistungen weiter. Also wurde die FRR-
wurde ein Teil der Wenignutzer einfach immer Ermittlung sowohl bei dem Fingerabdruck- als
zurckgewiesen. Bei der Iriserkennung betraf auch bei den Iriserkennungssystemen kurzer-
dies sogar ber 50 Personen, bei denen die FRR hand auf Basis eines 1:2-Vergleiches vorgenom-
bei 100 Prozent lag. Diese Teilnehmer hatten men. Das heit, der Vergleich des aktuell pr-
sicher wenig zu lachen. In der Studie wird daher sentierten Merkmals wurde mit dem primren
vermutet, da besonders bei der Fingerabdruck- und dem sekundren Referenzmerkmal (bei-
und Iriserkennung das Training fr die Merk- spielsweise das andere Auge) durchgefhrt.
malsprsentation schwieriger und langwieri- Dies senkt wie gewnscht die FRR, fhrt jedoch
ger sein wird als fr die Gesichtserkennung. gleichzeitig zu einer hheren Falschakzeptanz-
Bis zum Ende des achtwchigen Testzyklus rate (False Acceptance Rate, FAR).
ist jedoch ein Sinken der FRR in allen Nutzer-
klassen zu beobachten. Das lt doch hoffen. In die Auswertung gingen auerdem die Ergeb-
Offenbar auch die Macher der Studie, denn sie nisse der Startphase nicht mit ein. Im Testzyk-
behaupten bei der Gelegenheit, da mit einer lus 1 war die Dauer dieses sogenannten Teach-
erhhten Kooperationsbereitschaft sei- Ins immerhin sieben Tage. Die signifikant
tens der Brger sowie mit Gewhnungseffek- schlechteren Ergebnisse dieses Zeitraums
ten gerechnet werden kann. Der Reisende will wurden fr das Ergebnis der FRR komplett weg-
schlielich schnell in sein Flugzeug und kann gelassen. Auch im zweiten Testzyklus wurden
sich also ruhig etwas anstrengen. wieder keine Ergebnisse von ganzen 5 Tagen
Teach-In in die FRR aufgenommen, obgleich die die Testresultate sind so desastrs, da ohne
Testteilnehmer mit den Systemen ja bereits ver- einen echten und wirklich umfangreichen Feld-
traut waren und ihnen zustzlich von Betreuern test ein Einsatz der Systeme unverantwortlich
stets Hinweise und Hilfestellungen angebo- erscheint.
ten wurden. Der zuknftige Pabesitzer kann
in der Praxis keine derartigen Trainingsphasen Als Hot Fix ist in der neuesten Version des
erwarten, schon gar nicht, wenn er zu den ers- ICAO-Standards die Aufnahme von Templates
ten Testern im Realszenario gehrt. Da winkt in die Daten auf dem RFID-Chip vorgesehen
dann eher die angekndigte intensive Pr- (vorerst nur fr den nationalen oder bilatera-
fung an der Grenze. len Einsatz). Damit sollen die drftigen Erken-
nungsleistungen bei den ICAO-Bildern umgan-
Weitere ungelste Probleme, neben den schon gen werden. Fr die Gesichtserkennung sollen
erwhnten Brillen, waren Brte und Kontakt- beim Enrolment manuell diverse Klassi kati-
linsen. Beispielsweise wurden Voll- oder Teil- onsdaten (Bart, hohe Stirn, Augenklappe usw.)
barttrger von der Cognitec-Software signi - erfat werden, damit die Herausforderung fr
kant besser erkannt. Da die Psse ja 10 Jahre die Erkennungssysteme nicht gar zu sportlich
gelten werden, ist anzunehmen, da die Abnah- ist. Damit ist dann aber die Behauptung, da
me eines Bartes zu vermehrten Rckweisungen bis auf den Fingerabdruck nur Daten erfat
fhren wird. Bei den Brillentrgern zeigte die werden, die ohnehin im Reisepa vorhanden
Gesichtserkennung von Cognitec whrend des sind, hinfllig. Die systematische Erfassung
gesamten Tests sehr ausgeprgte Unzulnglich- derartiger Merkmale ffnet ein komplett neues
keiten. 97 Prozent der Personen, die unberech- Problemfeld fr den Datenschutz, da somit eine
tigt veri ziert wurden, trugen eine Brille. Die einfache Rasterung beispielsweise fr Fahn-
Weiterentwicklung des Algorithmus brachte lei- dungszwecke mglich wird.
der auch keine Besserung, das Problem blieb
in gleichem Mae vorhanden und ist weiterhin Praxistauglichkeit
ungelst.
Die Studienergebnisse hinsichtlich der Praxis-
In den Empfehlungen der Studie heit es tauglichkeit der getesteten Systeme sprechen
schlielich, eine grndliche Untersuchung eine klare Sprache. Eine Flle von Detailproble-
der Funktionstchtigkeit, der Erkennungsleis- men sorgte fr Frust. Zumindest an dieser Stel-
tung und der berwindungssicherheit der le ist die Studie vergleichsweise ehrlich und gibt
Verfahren sei angeraten. Dem knnen wir uns den Herstellern deutliche Mngellisten mit, die
nur nachdrcklich anschlieen. Die Aussage- schon sehr deutlich machen, welche Probleme
kraft der Ergebnisse der Studie ist begrenzt und
Eine Diskriminierung, gegen die man nichts Wenignutzer waren weniger als 500 Probanden.
machen kann - auer stets ein bichen mehr Das BSI mu also statistisch aussagekrftige
Zeit einplanen. Beispielsweise bei der Finger- Daten wohl mit den unfreiwilligen Betatestern
abdruckerkennung ergeben sich Schwierigkei- an den Grenzbergngen sammeln.
ten bei Personengruppe wie Senioren oder Men-
schen, deren Fingerkuppen durch Arbeit oder Was kostet der berwachungsstaat?
Hobby starker Abnutzung ausgesetzt sind.
Die Kosten der Biometrie-Einfhrng werden
In dieser Hinsicht ist die Auswahl der Teil- vom Innenministerium in einer Weise vernied-
nehmer der Studie zwar der Verbesserung der licht, die stark an vorherige deutsche Technik-
Erkennungsleistungen frderlich, die Testper- desaster erinnert. Auf Anfrage antwortet das
sonen reprsentieren jedoch in keiner Weise die BMI, da die notwendige Hardware im Rahmen
Gesamtbevlkerung. Das rumen die Macher von ohnehin anstehenden Ersatzbeschaffungen
der Studie auch ein. Zunchst waren 70 Pro- durchgefhrt werde. Das schtzen wir als so
zent der Probanden mnnlich. Dagegen ist nicht haltbar ein.
im Grunde nichts zu sagen, wre da nicht das
nicht unbedeutende Detail, da Mnner bei den Wie in der BioP-II-Studie klar dargelegt wird,
gestesteten Systemen in der Studie wie auch sind auch nur annhernd praxistaugliche Ergeb-
in vorangegangenen Tests durchweg bessere nisse bei der Gesichtserkennung nur zu erzie-
Erkennungsleistungen erzielten. Die unterre- len, wenn quasi Laborbedingungen am Grenz-
prsentierten Frauen bewirken also eine weite- bergang geschaffen werden. Um gleichbleibende
re Beschnigung der Ergebnisse. Lichtverhltnisse und Hintergrundsituationen
zu erzeugen, mssen umfangreiche Umbau-
Schlimmer noch die Alterszusammensetzung: ten durchgefhrt werden. Das Gesichtserken-
Die hinsichtlich der biometrischen Merkmale nungssystem erfordert einen schnellen Compu-
deutlich schlechter zu erfassenden Menschen ter, eine Kamera mit brauchbarer Qualitt und
ab 60 Jahren tauchen in der Testgruppe kaum ein spezielles homogenes Beleuchtungssystem.
auf (lediglich ein Prozent), obwohl sie in der Schon der Ausfall einer der Ausleuchtungslam-
Gesamtbevlkerung einen Anteil von 30 Prozent pen wrde den jeweiligen Grenzbergangs-
haben. Betrachtet man nun die einzelnen Nut- schalter auer Gefecht setzen.
zerklassen, kann man Zweifel bekommen, ob
noch von einem Feldtest gesprochen werden Auf der Enrolment-Seite nden sich in der Stu-
kann. Besonders die fr die Praxis relevanten die auch diverse Merkwrdigkeiten. Die Fotos
fr die Gesichtserken-
nung wurden aufwendig
von Experten des Bundes-
kriminalamtes (BKA) mit
einer eigens beschafften
digitalen Spiegelref lexka-
mera im Wert von etwa ein-
tausend Euro erstellt und
dann noch mit dem nicht
eben preisgnstigen Adobe
Photoshop nachbearbeitet.
Das ganze klingt so der-
maen unrealistisch im
Praxisbezug, da sich die
Frage stellt, warum die Not-
wendigkeit eines sol-
Das Diagramm zeigt die Altersstruktur der Testteilnehmer an der BioP2-Studie im Vergleich
zur Verteilung in der Gesamtbevlkerung Deutschlands. chen Vorgehens nicht
schon als Disquali kationskriterium ausreich- Wenn ca. 6000 Meldestellen im Schnitt mit je
te. Wenn man das Verfahren auf die Meldestel- vier Gertestzen fr das Enrolment ausgestat-
len extrapoliert, kommen selbst bei Substitution tet werden, an den 419 Grenzbergangsstel-
der BKA-Experten durch den Fotografen an der len im Schnitt je 15 Erfassungssysteme aufge-
Ecke erhebliche Summen fr Software-Lizen- stellt werden (konservative Annahme) und man
zen, Schulungen und Personalaufwand fr die ca. 5000 Euro pro System ansetzt (ebenfalls
zustzlichen Bearbeitungsschritte zusammen. uerst konservativ), ergeben sich alleine fr
Wenn jedes Bild nicht nur eingescannt, son- die Hardware Investitionskosten von mindes-
dern auch noch nachbearbeitet und (wie in der tens 150 Millionen Euro. Hinzu kommen War-
aktuellen ICAO-Spezi kation vorgesehen) nach tungskosten, Ersatzbeschaffungen, Umbauten
verschiedenen Kriterien klassifiziert werden fr die Gesichtserkennung und die Kompensa-
mu, wird es kaum ohne zustzliches Personal, tion der lngeren Abfertigungszeiten, zustzli-
zustzliche Computer usw. abgehen. ches Personal, Ausbildungskosten etc. pp. Die
Weiterentwicklung und die Anpassung der bio-
Die bermittlung der Daten von den Meldestel- metrischen Systeme mssen ebenfalls in eine
len zur Bundesdruckerei soll mit Hilfe der fr serise Kalkukation eingehen. Hier sollte auch
deutsche Regierungsverschlsselung standar- der RF-Chip in Betracht gezogen werden, des-
disierten SINA-Boxen erfolgen (die rein zufllig sen Lebensdauer fr zehn Jahre ohnehin frag-
die Firma Secunet herstellt, die auch die BioP-II- lich ist. Die geplante Ausweitung der biometri-
Studie durchgefhrt hat). Inwieweit zustzlich schen Technik auf den Personalausweis wrde
zu den bisher in den Meldestellen vorhandenen zustzlich auch die Ausstattung mit Gerten
SINA-Boxen neue beschafft werden mssen, ist fr die Polizei bercksichtigen mssen. Alles in
derzeit noch unklar. allem war die Einfhrung der Autobahn-Maut
dagegen ein Schnppchen.
Bei Einfhrung von Fingerabdrcken ist fr
jede Meldestelle und jeden Grenzbergangs- Folgerichtig nehmen die Autoren der Studie
schalter ein schneller Computer mit zustzli- auch Abstand davon, sich zu den Kosten zu
cher Sicherheitshardware (sicheres Speicher- uern (welcher Beamte widerspricht schon
modul, SINA-Box fr Certicate Updates etc.) gern Otto Schily). Wie selbstverstndlich wird
fr die Extended Access Control, kostenp ich- die marode Bundesdruckerei die Herstellung der
tigem Betriebssystem (freilich alles Windows neuen Psse bernehmen. Der Rahmenvertrag,
2000 Professional) und weiterem Zubehr zu den die Bundesregierung alle drei Jahre verln-
beschaffen. Hinzu kommen natrlich die Kos- gert, sichert dem vormals dem Bund gehren-
ten fr den Fingerabdruck-Scanner. Der Ver- den Privatunternehmen den lukrativen Auftrag.
schlei der Fingerabdruckscanner ist derzeit Eine EU-weite Ausschreibung des krisensiche-
unklar. Wie jeder Gegenstand, der nicht aus ren Geschfts fand nicht statt. Trotz professio-
solidem Metall besteht und einige tausend Mal neller Produktprsentation im eigens errich-
am Tag von Menschen angefat wird, drfte teten Showroom der Bundesdruckerei werden
hier deutlicher Verschlei anzunehmen sein. Fragen nach den Kosten fr Hard- und Softwa-
In der Studie wird von einem Grauschleier auf re auch dort nicht beantwortet. Zu den Gesamt-
den Fingerabdruckbildern der Bundesdrucke- kosten der Einfhrung des ePasses wollte Schily
rei-Gerte nach 4 Monaten berichtet, und das, natrlich noch immer keine Angaben machen.
obwohl die Scanner mehrmals tglich gereinigt Die erhhte Pagebhr soll aber wenigstens die
wurden. Wir knnen also davon ausgehen, da jhrlichen Betriebskosten fr die biometrische
die Scanner an den Flughfen nur eine recht Erfassung bei der Neuausstellung decken. Die
begrenzte Haltbarkeitsdauer haben werden. einmaligen Kosten fr die Gerte sollen 2006
Whrend der Studie wurden im Schnitt etwa im Haushalt der Bundespolizei enthalten sein.
15.000 Sensorbenutzungen pro System durch- Aber auch ber deren Hhe schweigt sich Schi-
gefhrt, eine Zahl die an einem Flughafen in ly aus.
nur einigen Tagen zustandekommt.
on of Document Signer Certicates and CRLs. the attacker, the attacker communicates with
Those attacks cannot be prevented, it is there- another attacker, and the other attacker (tem-
fore RECOMMENDED that the Document Sig- porarily) gains access to the genuine chip. The
ner Certicate required to validate the Docu- inspection system is not able to notice that it has
ment Security Object is also included in the authenticated a remote chip instead of the pre-
Document Security Object itself. Receiving Sta- sented chip. This attack is called Grandmaster
tes SHOULD make use of a provided Document Chess Attack.
Signer Certicate.
G.3 Privacy Threats
To distribute CRLs bilaterally it is RECOMMEN- G.3.1 No Access Control
DED to establish multiple channels (e.g. inter-
net, phone, fax, mail, etc.) with other States and The use of proximity chips already minimi-
to conrm reception of received CRLs. zes privacy risks as reader devices have to be
very close to the chips, therefore skimming is
G.2 Cloning Threats not considered to be a serious threat. However
eavesdropping on an existing communication
Compared to paper based MRTDs copying the between a chip and a reader is possible in a lar-
signed data stored on the RF-Chip is easily pos- ger distance. States wishing to address this thre-
sible in general. States concerned about the pos- at SHOULD implement Basic Access Control.
sibility of having data of their citizens copied
to another chip SHOULD implement Active G.3.2 Basic Access Control
Authentication that prevents this to a certain
extent. The Basic Access Keys used to authenticate the
reader and to setup session keys to encrypt the
G.2.1 Passive Authentication communication between chip and reader are
generated from the 9 digit Document-Number,
Passive Authentication does not prevent copying the Date- of-Birth, and the Date-of-Expiry. Thus,
the data stored on the chip. As a consequence, the entropy of the keys is relatively low. For a 10
it is possible to substitute the chip of a MRTD year valid MRTD the entropy is 56 bits at maxi-
against a fake chip storing the data copied from mum. With additional knowledge (e.g. appro-
the chip of another MRTD. Receiving States ximate age of the bearer, or relations between
SHOULD verify that the data read from the chip Document-Number and Date-of-Expiry) the
indeed belongs to the presented MRTD. This entropy is lowered even more. Due to the rela-
can be done by comparing DG1 stored on the tively low entropy, in principle an attacker might
chip to the MRZ printed on the datapage of the record an encrypted session, calculate the Basic
MRTD. If DG1 and the MRZ compare and the Access Keys by Brute-Force from the authenti-
document security object is valid and the pre- cation, derive the session keys and decrypt the
sented MRTD has not been tampered with (is recorded session. However this still requires a
not counterfeited), then the MRTD and the data considerable effort compared to obtaining the
stored on the chip can be considered to be belon- data from other sources.
ging together.
G.3.3 Active Authentication (Data
G.2.2 Active Authentication Traces)
Active Authentication makes chip substitution In the challenge-response protocol used for
more difcult, but not impossible: The MRTD Active Authentication, the chip signs a bit string
presented by the attacker to the inspection sys- that has been chosen more or less randomly by
tem could be equipped with a special chip. This the inspection system. If a receiving State uses
chip works as proxy for a genuine chip located the current date, time, and location to generate
in a remote place: the chip communicates with this bit string in an unpredictable but veriable
way (e.g. using secure hardware), a third party cal advances and the availability of non-standard
can be convinced afterwards that the signer was computing devices. Therefore, the recommen-
at a certain date and time at a certain location. dations for key lengths are mainly based on the
extrapolated computing power. States SHOULD
G.4 Cryptographic Threats review the key lengths for their own but also for
received MRTDs often for reasons mentioned
The recommended minimal key lengths have above.
been chosen so that breaking those keys requires
a certain (assumed) effort, independent of the Generating key pairs of a special form may
chosen signature algorithm: improve the overall performance of the signa-
ture algorithm, but may also be exploited for
Type of Key Level of Security cryptanalysis in the future. Therefore, such spe-
cial key pairs SHOULD be avoided.
Country Signing CA 128 bits
Document Signer 112 bits G.4.2 Hash Collisions
Active Authentication 80 bits While it is computationally infeasible to nd
another message that produces the same hash
value as a given message, it is considerably easier
G.2.1 Passive Authentication to nd two message that produce the same hash
value. This is called the Birthday Paradoxon.
Passive Authentication does not prevent copying
the data stored on the chip. As a consequence, In general all messages to be signed are produ-
it is possible to substitute the chip of a MRTD ced by the Document Signer itself. Therefore,
against a fake chip storing the data copied from nding hash collisions does not help an attacker
the chip of another MRTD. Receiving States very much. However, if photographs provided by
SHOULD verify that the data read from the chip the applicant in digital form are accepted by the
indeed belongs to the presented MRTD. This Document Signer without additional randomi-
can be done by comparing DG1 stored on the zed modication, the following attack is possib-
chip to the MRZ printed on the datapage of the le:
MRTD. If DG1 and the MRZ compare and the
document security object is valid and the pre- Two persons share their digital photos. Then
sented MRTD has not been tampered with (is they repeatedly ip a small number of bits at
not counterfeited), then the MRTD and the data randomly in each photo until two photos produ-
stored on the chip can be considered to be belon- ce the same hash value.
ging together.
Both persons apply for a new MRTD using the
G.4.1 Mathematical advances and manipulated photo. Either person can now use
non-standard computing the MRTD of the other person provided that
it is possible to replace the digital photo in the
According to Moores Law computation power chip (e.g. by chip substitution).
doubles every 18 month. However, the security
of the signature algorithm is not only inuenced The hash function SHA-1 only provides 80 bits
by computing power, advances in mathematics of security against hash collisions. Thus, it is
(cryptanalysis) and the availability of new non- considerably easier to nd a hash collision than
standard computation methods (e.g. quantum to break the Document Signer Key which pro-
computers) also have to be taken into account. vides 112 bits of security. Therefore, whenever
hash collisions are of concern (e.g. as described
Due to the long validity periods of keys it is very above), it is RECOMMENDED not to use SHA-1
difcult to make predictions about mathemati- as hash function.
Seit ihrer Grndung 1879 als Reichsdruckerei Der Kaufpreis von einer Milliarde Euro galt
befand sich die Behrde im Staatsbesitz. Nach- schon zum Kaufzeitpunkt als deutlich ber-
dem sie 1945 mit Staatsdruckerei und durch hht. Er wurde jedoch nicht vollstndig bezahlt:
die bernahme in die Bundesverwaltung 1951 Ein Anteil von 230 Millionen Euro stundete der
mit Bundesdruckerei zwei Umbenennungen Bund fr zehn Jahre, weitere ca. 450 Millio-
erfuhr, begann fr sie nach der Wiedervereini- nen Euro gab
gung Deutschlands der Weg in die Privatwirt- die Hes-
schaft. sische
Landesbank (HeLaBa) als Darlehen. Tilgung Gesellschafter, Kreditgeber und der Bund auf
und Zinsaufwand fr dieses Darlehen betragen einen Zahlungsverzicht geeinigt hatten.
jhrlich 50 bis 75 Mio. Euro - Summen, die der
Konzern fr mehrere Jahre nicht auf bringen September 2002 wurde fr den symbolischen
konnte. Kaufpreis von einem Euro die authentos-Grup-
pe an zwei Zwischenerwerber bertragen: die
In der Folge wurden die Bundesdruckerei Berliner JVVG Neununddreiigste Vermgens-
GmbH, die Bundesdruckerei International Ser- verwaltungsgesellschaft (94 Prozent) und die
vices GmbH, die ORGA Kartensysteme GmbH, Dinos Vermgensverwaltung in Heidelberg
die Holographic Systems Mnchen GmbH, die (sechs Prozent).
Maurer Electronics GmbH, die D-Trust GmbH
und die INCO SP.Z.o.o. unter dem Dach der Die Gesellschaft sollte saniert und dann wie-
authentos GmbH zusammengefaSteuert, die der verkauft werden. 300 der 1650 Arbeitsplt-
als Holding fungiert und ihren Sitz in der Berli- ze waren akut in Gefahr. Roland Berger erstellte
ner Zentrale der Bundesdruckerei in der Orani- ein Sanierungskonzept. Seit 2002 gab es einige
enstrae 91 hat. Bewegung in der Fhrungsebene der Bundes-
druckerei.
Im Februar 2001 erwarb die authentos-Grup-
pe das britische Unternehmen Security Prin- Die Anwaltssoziett Clifford Chance Pnder ist
ting and Systems Limited und stieg dadurch mit mittelbarer Mehrheitsgesellschafter der authen-
einer Jahresproduktion von 40 Millionen Ps- tos. Sie vertreten vermutlich die Interessen der
sen und Fhrerscheinen zum weltgrten Her- Neununddreiigsten Vermgensverwaltungs-
steller dieser Dokumente auf. gesellschaft und damit die Verbindlichkeiten
gegenber der Hessischen Landesbank und gel-
Im August 2002 wurde die Zahlungsunfhig- ten als Ansprechpartner fr mgliche Kaunte-
keit von authentos abgewendet, nachdem sich ressenten.
Vorsitzender der Geschftsfhrung der authen- GmbH. Dies war im Jahr 2002 abgeschlossen;
tos GmbH und der Bundesdruckerei GmbH war in der Folge reduzierte sich das Auftragsvolu-
bis 10. Februar 2004 Dr. Ulrich Whr. Seither men der Bundesdruckerei auf die Produktion
sind der ehemalige In neon-Manager Ulrich von weniger als 750 Millionen nachzudrucken-
Hamann und Klaus-Dieter Langen Geschfts- den Scheinen. Da sich an der Produktion der
fhrer der authentos GmbH. Diese sind zusam- Reisepsse kaum etwas ndern wird, knnen
men mit Joachim Eilert ebenfalls Geschftsfh- sich Bundesdruckerei und Komponentenher-
rer der Bundesdruckerei GmbH. steller die Mehrkosten aufteilen und dadurch
die Konzernbilanzen aufwerten.
Aufsichtsratsvorsitzender der authentos-Grup-
pe war Prof. Manfred Lahnstein, Mitglied der Interessant am Verhltnis zur Giesecke & Dev-
Trilateralen Kommission und ehemaliges Auf- rient GmbH ist neben der traditionellen Auf-
sichtsratsmitglied der Bertelsmann AG. Mittler- teilung der Druckauftrge auch die personelle
weile ist Heinz-Gnter Gondert Aufsichtsrats- Dimension. So wurde Matthias Merx von GDM
vorsitzender. Er ist Rechtsanwalt und Partner am 01.10.2004 Leiter der Produktion der Bun-
bei der Frankfurter Anwaltssoziett Clifford desdruckerei, am Ende desselben Monats stie
Chance sowie Steuerberater und Wirtschafts- berraschend Willi Berchtold zur - der bis dahin
prfer bei der Frankfurter PVW GmbH. Vorsitzender der Geschftsfhrung von Giese-
cke & Devrient war - und am 01.01.2005 wurde
Weitere Aufsichtsratsmitglieder sind, neben den GDM-Vertriebschef Jrg Baumgartl neuer Lei-
Arbeitnehmervertretern, der Rechtsanwalt Die- ter Technik, Marketing, Consult und Entwick-
ter Ostheimer, der Unternehmensberater Dirk lung bei der Bundesdruckerei.
Pfeil, der Rechtsanwalt Dr. Wolfgang Scholz
(ebenfalls Clifford Chance), Ministerialrat Dr. Ebenfalls brisant: auch beim sogenannten Gol-
Wolf-Dieter Schmidberger (Bundesministeri- den Reader Tool, dem Programm zum Ausle-
um der Finanzen) sowie Dr. Norbert Schraad sen der Tags bei der Grenzkontrolle, wirkten
von der Landesbank Hessen-Thringen (Stand: beide Unternehmen mit (neben der Secunet
Juni 2005). Security Networks AG, dem Bundeskriminal-
amt und der cv cryptovision GmbH).
Die Bundesdruckerei kann die zustzlichen
Einnahmen aus der drastischen Verteuerung Ein Fall fr das Bundeskartellamt?
des Reisepasses gut gebrauchen. Ein Drittel der
europaweit 14 Milliarden Euro-Scheine wur-
den in der Bundesrepublik Deutschland
gedruckt. Davon wurden 2,3 Milli-
arden Scheine bei der
Bundesdruckerei
GmbH produ-
ziert, die ande-
re Hlfte bei
der Mnch-
ner D r u-
ckerei Gie-
secke &
Devrient
2. Frage: Antwort:
Welchen Lndern auerhalb Europas wird Um Ihre Annahmen richtigzustellen, weise ich
Deutschland die erweiterten biometrischen auf folgendes hin: Bei der Gebhrenbemessung
Daten anvertrauen und was genau sind die Kri- wurde darauf geachtet, da sich Deutschland
terien fr einen Lesezugriff auf die Rohdaten? auch knftig im unteren Bereich vergleichba-
rer europischer sowie internationaler Lnder
Antwort: be ndet. Smtliche technischen Anforderun-
gen auf europischer und internationaler Ebene,
Die gespeicherten Daten zum Gesichtsbild kn- Datenschutz und -sicherheit, wurden und wer-
nen weltweit unter den in Antwort 1) genannten den selbstverstndlich bercksichtigt.
Voraussetzungen gelesen werden. Die Daten
der Fingerabdrcke sind durch ein zustzliches Die Gebhren setzen sich zusammen aus den
kryptographisches Protokoll geschtzt. Welche Produktionskosten des Passes (Pabuch, die
Lnder auerhalb der EU auf die Daten der Fin- Herstellung und Integration der Chips sowie
gerabdrcke zugreifen, kann deshalb vom aus- das Speichern der biometrischen Merkmale auf
stellenden Staat geregelt werden. dem Chip), den Kosten der zur Erfassung und
Qualittssicherung der biometrischen Merkma-
Kommentar der Redaktion: le notwendigen Ausstattung in den Pabehr-
den (QS-Sicherung der Lichtbilder, Hard- und
Welche Lnder auerhalb der EU Zugriff auf Software zur Erfassung und QS der Fingerab-
die Daten bekommen, war aber grade die Frage. druckdaten, ePass-Lesegerte), den Schulungs-
Offensichtlich gibt es hier noch keine Antwor- kosten fr die Mitarbeiter in den Pabehrden
ten. Alptraum der Datenschtzer drfte ein sowie der Verwaltungsgebhr.
Zugriff auf die Daten durch Lnder wie z.B.
die USA sein, wo die gesetzlichen Regelungen Die Lesegerte an den 419 Grenzbergangs-
oder die bliche Praxis stark von den EU-Stan- stellen werden im Rahmen von Ersatzbeschaf-
dards abweichen. Auerhalb der EU sind die fungen erneuert, die unabhngig von der Ein-
Datenschutzbestimmungen meist weit weni- fhrung des ePass sind. Diese Gerte verfgen
ger restriktiv als hierzulande. Biometrischen auch ber eine Funktion zum Auslesen von
Datensammlungen ohne jegliche zeitliche digital gespeicherten Fotographien auf RF-
Beschrnkungen stnde in vielen dieser Lnder Chips. Bei der Ausstattung mit Lesegerten ent-
nichts entgegen. stehen keine zustzliche Kosten.
Da die Lesegerte an den Grenzen im Rahmen a) Die Ergebnisse der Labor- und Feldtests der
von Ersatzbeschaffungen erneuert werden, Studie BioP II werden vom BSI verffentlicht
wrde entweder bedeuten, da auf eine auto- (www.bsi.bund.de).
matisierte Gesichtsbild- und Fingerabdruckve-
ri kation verzichtet wird. Vielleicht wird aber b) und c) Die Aufnahme biometrischer Merk-
absichtlich zu den wirklich anfallenden Kosten male in Reisepssen dient dazu, die sichere
geschwiegen wird. Die anfallenden Ersatzbe- Identizierung von Personen durch das Grenz-
schaffungskosten werden wohl im Etat der Bun- kontrollpersonal zu untersttzen. Davon unab-
despolizei versteckt. hngig kontrolliert die Bundespolizei stets nach
Schengenstandard.
Die bisherigen Lesegerte fr die MRZ in Reise-
dokumenten kosten je ca. 1500 Euro. Ein auto- Kommentar der Redaktion:
matisches Gesichtsbild- und Fingerabdrucksys-
tem drfte pro Gert ein Vielfaches kosten. Der Die BioP-II-Studie wurde zwischenzeitlich tat-
TAB-Bericht spricht brigens von Gesamtkos- schlich verffentlicht - und nach krzester Zeit
ten in Hhe von einmalig 670 Millionen Euro wieder von der BSI-Webseite entfernt. Einige
und jhrlich etwa 610 Millionen Euro an laufen- Tage spter wurde eine leicht vernderte Ver-
den Kosten. sion verffentlich. Weiterhin geheimgehalten
wird allerdings die Studie zur berwindungssi-
Da die Kosten fr die Schulung des Personal cherheit der biometrischen Systeme. Auch gibt
nur gering seien, widerspricht den Ergebnissen die Pressestelle zu der Frage nach der einfachen
der BioP-II-Studie. Fr den der Studie zugrun- Flschbarkeit keinen Kommentar ab. Damit ist
deliegenden Feldtest waren nmlich umfang- eine ffentliche Diskussion ber den Sicher-
reiche Personalschulungen ntig. Auerdem heitsgewinn unmglich.
muten kostspielige Umbauten im Umfeld der
Gesichtserkennungssysteme vorgenommen 5. Frage:
werden, um deren Anforderungen an die Licht-
verhltnisse zu erfllen. Auch solche Kosten Worauf beruht die Annahme, da Systeme zur
gehren zu einer serisen Kalkulation. Gesichtsbild-Verifikation ausgereift und vor
allem praxistauglich sind? Die BioFace-Studie
des BSI kommt dabei ausdrcklich nicht zu
dem Ergebnis, da die getesten Verfahren pra-
xistauglich sind (vgl. http://www.heise.de/new-
sticker/meldung/41289 )
Antwort: 8. Frage:
7. Frage: Antwort:
Welchen Nutzen hat der elektronische Pa, Die gesetzlich vorgegebenen Richtwerte fr den
wenn jeder potentielle Terrorist seinen Chip im Strahlenschutz werden von allen im Einsatz
Pa unbrauchbar macht? bendlichen RFID-Systemen eingehalten.
Die Aufnahme biometrischer Merkmale in Rei- Eine konkrete Studie oder Mewerte gibt es
sepssen dient dazu, die sichere Identizierung also nicht. Davon abgesehen sind noch keinerlei
von Personen durch das Grenzkontrollperso- RFID-Systeme im Einsatz be ndlich, hchs-
nal zu untersttzen. Davon unabhngig kon- tens im Labor- oder Testbetrieb. Die Beschaf-
trolliert die Bundespolizei stets nach Schengen- fung der Gerte beginnt gerade erst.
Wir drucken hier das Interview ab, das unsere Korrespondentin Cornelia C. Cortschloss
mit der Bundesministerin fr Inneres, Justiz und Heimatschutz Gertrud Backstein ber
die am 1. Juni 2017 bevorstehende Einfhrung des neuen Bio-iPasses fhrte.
CCC: Frau Backstein, in wenigen Tagen, nm- CCC: Welchen Vorteil hat dann diese Technik,
lich am 1. Juni 2017, soll der neue iPass der zweiten wenn nur der Tod des Trgers festgestellt werden
Generation, der Bio-iPass, obligatorisch eingefhrt kann?
werden. Welche Neuerungen bringt er mit sich?
GB: Wir konnten in der Vergangenheit Flle
GB: Nach der breiten Akzeptanz, auf die die beobachten, in denen abgetrennte Krperteile
erste Generation des implantated Passports, mit dem Chip zur Identi kation verwendet wur-
kurz iPass getroffen ist, lassen wir das erfolgrei- den. Dies wird mit dem neuen Bio-iPass nicht
che Konzept eines in den Krper seines Trgers mehr mglich sein.
implantierten Reisepasses fast vllig unvern-
dert. Dennoch gibt es eine sehr wichtige Ver- CCC: Aber die Presse berichtete doch unlngst,
besserung: Der Chip bezieht auch Informatio- da ein Trger des neuen iPasses beim Grenzber-
nen aus den Krperzellen seines Trgers, soda tritt festgenommen wurde, weil der iPass anzeigte,
im Todesfall ein sogenanntes Death Bit gesetzt da er schon tot sei.
wird und das berwachungsgert feststellen
kann, da der Trger verstorben ist. Leider ist GB: Wie Sie wissen, erlag die fragliche Person
es noch nicht mglich, den Chip auch zur Kran- den Verletzungen, die sie sich bei ihrer Fest-
kendiagnostik oder fr Alkoholkontrollen zu nahme zugezogen hatte. Deshalb konnte nicht
verwenden. Dies ist das Ziel zuknftiger Ent- ermittelt wer- den, ob
wicklungen. ber-
haupt ein Fehler vorlag. Ich gehe jedoch nach CCC: Die Akzeptanz des iPasses ist gesunken, seit
wie vor davon aus, da der iPass nach seiner er obligatorisch in die Nasenscheidewand implan-
Implantation nicht mehr verndert werden tiert wird. Wollen Sie an der umstrittenen Lsung
kann. festhalten?
CCC: In der Vergangenheit wurde kritisiert, da GB: Die Implantation in die Nasenscheidewand
die Daten auf dem Chip unzureichend verschlsselt ist ohne uere Narben mglich, was einem ver-
sind. Wird sich mit dem neuen iPass-Chip auf die- breiteten Wunsch entgegenkommt. Wir sehen
sem Gebiet etwas ndern? es als notwendig an, da der Chip in einem
unverdeckten Bereich des Gesichts implantiert
GB: Nein, der bisherige Verschlsselungsstan- ist, da somit keine Mglichkeit besteht, ihn mit
dard bleibt bestehen. Inzwischen wird der iPass Isolationsmaterial zu verdecken und darber
fr viele Sekundranwendungen zur Identi ka- einen anderen Chip anzubringen. Auerdem
tion verwendet; er ist Kreditkarte, Autoschls- ist die Nasenscheidewand gro genug, um auch
sel, Payback- und Gesundheitskarte zugleich. noch zum Beispiel einen Chip mit einem iVi-
Das macht ja gerade seine groe Akzeptanz aus! sum anzubringen.
Wir wollten schon aus Kostengrnden dar-
auf nicht verzichten, so viele Partner wie mg- CCC: Ist es nicht mglich, das iVisum auf dem
lich in das Unternehmen iPass einzubinden. iPass zu integrieren?
Die Bevlkerung will eine allgemeine Nutz-
barkeit des iPasses. Das hier die Bedenken der GB: Leider nicht, da andere Staaten wie zum
Datenschtzer einmal zurcktreten mssen, ist Beispiel die USA auf eine vllig andere Techno-
bedauerlich, aber unvermeidlich. logie setzen. Als sich Bayern nach der Aufnah-
me der Trkei in die EU aus dieser zurckzog
CCC: Datenschutzverbnde wie der Chaos Com- und ein US-Bundesstaat wurde, war es ntig,
puter Club oder auch die Datenschutzbeauftragte eine schnelle Lsung fr die Visumsfrage zu
haben doch... nden, um Grenzformalitten zu vermeiden,
denn eine neue deutsch-deutsche Grenze soll-
GB: Ach, kommen Sie mir doch nicht mit die- te unbedingt vermieden werden. Daher wurde
sen ewig gestrigen Bedenkentrgern. Ange- das US-amerikanische iVisum auch in Europa
sichts der Bedrohung durch den Terror sind in groer Zahl implantiert.
solche Bedenken lebensge-
fhrlich und stehen dem
Auf bau eines modernen,
brokratiefreien Staats
entgegen.
CCC: Als sich die Niederlande den USA als Bun- CCC: Der iPass wird aber auch in vielen umstrit-
desstaat anschlossen, wurde kein spezielles iVisum tenen Bereichen eingesetzt; ich denke da an DRM,
eingefhrt. Anwesenheitskontrollen am Arbeitsplatz oder in
Schulen und Universitten.
GB: Bayern ist ja nicht Holland! Wir woll-
ten nicht ganz Deutschland auf US-Standards GB: Wissen Sie, DRM war in dem Augenblick
umstellen, zumal dieser Standard keinerlei Ver- akzeptiert, wo es bequem mit dem iPass umge-
schlsselung vorsieht. Den glsernen Brger setzt werden konnte. Raubkopierer gibt es seit-
wollte hierzulande niemand. her nicht mehr; auerdem ist die Arbeitslo-
sigkeit zurckgegangen, seit Schwarzarbeit
CCC: Aber mit dem iVisum fr Bayern ist doch praktisch unmglich geworden ist, weil jeder
dieser Standard neben dem deutschen auch sehr Arbeiter sofort identiziert werden kann. Ich
verbreitet. werte das als Erfolg unserer Politik!
GB: Niemand ist verpichtet, sich ein iVisum CCC: Aber die Gegner des iPasses beklagen den
implantieren zu lassen... totalen Verlust der Privatsphre!
CCC: ...einen iPass aber doch! GB: Auch seine Gegner nutzen seine Vortei-
le! Ich denke, da von einem Verlust der Privat-
GB: Sicher! Der iPass ist ja schon in der ersten sphre gar keine Rede sein kann: Viele Compu-
Generation seit ber einem Jahr obligatorisch, terprogramme erlauben nur noch Benutzern
und das ist auch gut so! Allein der Rckgang der mit registriertem iPass Zugang zu persnlichen
Kriminalitt ist enorm! Die Vereinfachung von Daten. Der Schutz persnlicher Daten ist doch
Kontrollen ist fr die Brgerinnen und Brger ein unbestreitbarer Vorteil.
sehr bequem. Nicht mal bei Verkehrskontrollen
mu mehr angehalten werden! CCC: Es sei denn, jemand kann die Identitt eines
iPasses stehlen.
CCC: Aber auch die Zahl der Kontrollen hat sich
vervielfacht, ja potenziert! Wird Deutschland zum GB: Das ist schon technisch unmglich.
berwachungsstaat? Geflschte iPsse sind und bleiben Science Fic-
tion!
GB: Nun lassen Sie die Kirche mal im Dorf,
Frau Curtsschluss! Unser iPass ist
ein Exportschlager. Inzwischen wird
er weltweit eingesetzt und ist zum
Synonym von Reisefreiheit, ja von
Freiheit schlechthin gewor-
den. Kontrollen waren ges-
tern! Heute erledigen das unse-
re Autobahn-Mautbrcken
gleich mit. Und wenn Sie
am Strand Ihren Drink
bezahlen wollen, ms-
sen Sie nicht mehr Ihre
Kreditkarte aus dem
Bikini ziehen. Ihr Wunsch
wird Ihnen buchstblich von den
Augen oder besser von der Nase abge-
lesen. Das ist doch eine Freiheit, die sich
jeder nehmen will!