Ausweise mit biometrischen Daten: Zeigt her eure Finger

Ein hipper Name macht ihn nicht besser: Der E-Pass ist der Terminator unter den Reisedokumenten - außen ganz normal und innen Hightech.

Für den E-Pass müssen zwei Fingerabdrücke eingescannt werden. Bild: ap

Wer sich einen neuen Reisepass besorgt, merkt schon beim Aufnehmen des Passfotos: Es hat sich einiges verändert. Der Reisepass ist nun digital und heißt E-Pass . Seit November 2005 verbirgt sich in ihm ein Radiofrequenzidentifikationschip (siehe Artikel RFID-Chip), in dem zurzeit die digitale Version des Passfotos gespeichert wird. Dieses Foto wird systematisch vermessen und es wird eine mathematische Beschreibung des Gesichts erstellt. Die so gewonnenen, biometrischen Daten werden auf dem Chip gespeichert. Das Bild muss deshalb auf ganz bestimmte Weise aufgenommen werden, damit später Maschinen mithilfe der biometrischen Daten , das Gesicht erkennen und vergleichen können.

Ab November 2007 startete die zweite Generation der E-Pässe, in denen zusätzlich die Abdrücke der beiden Zeigefinger digital erfasst werden. In den Ämtern müssen die Menschen dann erkennungsdienstliche Verfahren wie bei Kriminellen über sich ergehen lassen. Wie das funktionieren soll, wurde im Februar getestet. Der kleine Bruder des E-Passes, der E-Personalausweis soll vielleicht schon ab 2008 eingeführt werden, ebenfalls mit RFID-Chip. Er soll den Vorteil haben, dass sich der Passbesitzer auch im Internet sicher ausweisen kann.

Gefälschte Pässe

Die Vorteile des E-Passes hat der damalige Innenminister Otto Schily (SPD) 2005 in seiner Presserede zur Einführung vorgetragen: Der E-Pass schaffe einen notwendigen neuen europäischen Standard und eine neue Hürde für die Passfälscher. Der alte Pass wird oft gefälscht: 2002 hat der Bundesgrenzschutz bei 7.700 Untersuchungsfällen 290 total gefälschte EU-Pässe gefunden, fast 400 Pässe waren inhaltlich verfälscht. Terroristen nutzen diese Sicherheitslücken: Der 21. Attentäter des 11. September 2001 ist mit einem gefälschten französischen Pass eingereist. Bei einer Razzia in fünf Bundesländern im Januar 2005 wurde ein islamistisches Netzwerk aufgedeckt: Dort tauchten zwei inhaltlich gefälschte europäische Pässe und 20 Totalfälschungen, vor allem nach französischem und belgischem Muster, auf.

Sicherheit vor Missbrauch

Durch digitale Signaturen werden die Daten auf dem E-Pass vor Manipulation geschützt. Die Daten werden durch die ausstellende Behörde elektronisch unterschrieben. Der Chip wird nach der Herstellung gegen Löschen oder Ändern der Daten versiegelt .

Der E-Pass schafft Sicherheit vor Missbrauch: Mit dem E-Pass kann festgestellt werden, ob die Person, die vor einem steht, auch diejenige Person ist, zu der der Pass gehört. Das wird durch die biometrischen Merkmale möglich, die im Pass gespeichert sind. Da die Daten maschinenlesbar sind, kann die Überprüfung automatisiert werden, das könnte den Reiseverkehr erleichtern. Außerdem ist die visumsfreie Einreise in die USA für 90 Tage durch den E-Pass im Rahmen des Visa-Waiver-Programms möglich.

Arbeitsplätze durch E-Pass

Deutschland ist eines der ersten EU -Länder, das die Vorgaben der EG-Verordnung (PDF) umsetzt. Ein Hauptgrund, weshalb Deutschland so schnell vorgeprescht ist: Die Pässe sind ein Wirtschaftsfaktor. Die Biometrie-Branche brummt und es lassen sich Unsummen verdienen. Passproduzenten wie die Bundesdruckerei, Giesecke & Devrient und Chiphersteller wie Philips und Infineon wollen sich diesen Vorsprung sichern.

Die Innenminister der G5-Staaten Deutschland, Frankreich, Großbritannien, Italien und Spanien hatten 2004 auf Druck der USA beschlossen, den Fingerabdruck als biometrisches Merkmal für Reisepässe einzuführen. In der Schweiz ist die Umstellung auf den E-Pass hingegen freiwillig. Im internationalen Reiseverkehr sollen langfristig nur noch biometrisch unterstützte Dokumente verwendet werden.

Kurzfilm zum Pass

Nach und nach werden an allen Grenzübergängen Geräte aufgestellt , mit deren Hilfe ein biometrischer Vergleich möglich wird. Entweder zwischen dem Dokument und dem, der es benutzt, oder zwischen dem Reisenden und einer biometrischen Datenbank, wofür eine entsprechende Rechtsgrundlage erst noch geschaffen werden muss.

Alle Rechtsvorschriften rund um den E-Pass kann man hier nachlesen. Wie toll sich das Bundesministerium des Inneren (BMI) den Einsatz der E-Pässe vorstellt, sieht man in dem Kurzfilm "Sicher reisen mit dem E-Pass". Wer danach noch Fragen hat, kann sich die FAQs des BMI durchlesen.

Kritik am E-Pass gibt es reichlich: Nach Auffassung der Humanistischen Union (HU), des Chaos Computer Clubs (CCC), des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FifF), der JungdemokratInnen / Junge Linke und des Netzwerks Neue Medien werde hier ein Sicherheitsplacebo mit inakzeptablen bürgerrechtlichen Nebenwirkungen zwangsverabreicht, wie in einer gemeinsamen Erklärung steht.

Argumente der Datenschützer

Die HU hat gegen den E-Pass protestiert: Die biometrischen Daten auf dem Pass ermöglichen die unbemerkte Identifikation via Überwachungskameras, das schneide das Recht auf informationelle Selbstbestimmung massiv ein. Biometrische Daten wie der Irishintergrund ermöglichen Rückschlüsse auf den Gesundheitszustand des Menschen. Bei jedem Abgleich zwischen Pass und Besitzer müssten solche Informationen wieder neu erhoben werden, via Gesichtsscan. Andere Länder könnten sich aus den bei der Einreise ausgelesenen Pässen eigene biometrische Datenbanken anlegen, auf die der deutsche Staat keinen Einfluss mehr habe. Eine unerwünschte Verbreitung solle durch die Verschlüsselung erreicht werden, sodass nur vertrauenswürdige Staaten den Schlüssel erhalten. Doch Lesegeräte können gestohlen und nachgebaut werden.

Biometrische Datenbanken zusammenzuführen und zu vernetzten, ist technisch möglich. Doch das Passgesetz verbietet eine solche zentrale Passdatei. Der Bund Deutscher Kriminalbeamter möchte die Passdaten mit der Fahndungsdatenbank abgleichen können. Im Februar hat der Bundesrat den zentralen Abgleich biometrischer Passdaten gefordert. Auch die anfallenden Daten bei der Autobahnmaut sollen für Fahndungszwecke genutzt werden.

Der CCC dokumentiert, wie unausgereift das biometrische Verfahren für den Einsatz in der Praxis ist. Auch die ARD-Sendung "Monitor" stellte in einem Beitrag (Video) dar, wie unsicher die Biometrie-Technologie ist. Der Heise-Verlag berichtet umfangreich und kritisch über den E-Pass. Die Studie des Bundesamts für Sicherheit in der Informationsgesellschaft zeigt, dass die neue Technologie weder praxistauglich noch einsatzbereit ist.

Doppelte Identität

Der Chip wurde schon geknackt: Der Sicherheitsexperte Lukas Grunwald klonte 2006 den RFID-Chip mit einer recht kostengünstigen Methode und demonstrierte das Verfahren auf der Sicherheitskonferenz Black Hat. Steffen Kraft aus Hildesheim hat ihm einmal dabei über die Schulter geschaut und im Tagesspiegel davon erzählt.

Den Inhalt des Chips konnte Grunwald zwar wegen der Signatur und der Versiegelung nicht ändern, aber er zeigte, dass auf diesem Weg eine Identität erfolgreich verdoppelt werden kann: So könnten Kriminelle oder Terroristen prinzipiell Pässe mit Funkchips ausstatten, auf denen fremde Identitäten gespeichert sind. Wird nun ein Verbrechen mit der geklonten Identität verübt, wird es für den rechtmäßigen Inhaber der Identität schwierig: Die Beweislast dreht sich um und er muss nachweisen, dass er es nicht war. Aber wie?

Im März 2007 wurde vom Sicherheitsexperten Adam Laurie auch der RFID-Chip in britischen Pässen geknackt. Im niederländischen TV wurde ein E-Pass-Hack demonstriert, dort gibt es den E-Pass seit 2006.

Durch die Kleidung

Ein weiteres Problem: Der E-Pass kann kontaktfrei ausgelesen werden, das ist der Vorteil der RFID-Technik. Der Pass muss also nicht einmal mehr gestohlen werden, um ihn zu kopieren. Er kann durch Kleidung hindurch ausgelesen werden, ohne dass der Besitzer etwas dazu tun muss oder das Auslesen bemerkt. Die Person mit dem mobilen Lesegerät muss sich lediglich im Umkreis befinden. Der Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs (FoeBuD) bietet auf seiner Internetseite eine RFID-Pass-Schutzhülle an: Die mit Metall beschichtete Folie macht das unbemerkte Auslesen unmöglich.

Das Bundesinnenministerium streitet das ab: Angeblich sei ein Auslesen nur mit einem Abstand von wenigen Zentimetern möglich. Lesegerät und Pass müssten sich dazu in einer ruhigen Position befinden. Außerdem sei die Kommunikation zwischen Chip und Lesegerät mit einem 112-Bit-Schlüssel verschlüsselt. Der Schlüsselaustausch erfolge mit einer Stärke von 56 Bit. Dies wird als völlig ausreichend angesehen.

Mit Holzleim kopiert

Der CCC zeigt auf seiner Webseite zudem, wie leicht es ist, Fingerabdrücke nachzubilden. Mit Holzleim lassen sich Kappen mit fremden Abdrücken erstellen, die sich Verbrecher dann auf die Finger kleben können. Die Basisabdrücke können von glatten Oberflächen abgezogen werden. Mit dem Leim-Fingerabdruck und dem geklonten Pass können sich Terroristen so unbemerkt als jemand anderes ausweisen, zum Beispiel im Internet.

Aufgrund der vielen Mängel der Technik und der Probleme beim Datenschutz hat der CCC schon im Vorfeld der Passeinführung folgende Forderungen aufgestellt: Es sollen nur Systeme verwendet werden, die eine aktive Teilnahme der Personen gewährleisten. Personen mit schwach oder gar nicht ausgeprägten Merkmalen wie Fingerabdrücke, die aufgrund von körperlicher Arbeit in Mitleidenschaft gezogen wurden, sollen nicht diskriminiert werden. Sie müssten bei jedem Check mit Zurückweisung und Extrakontrollen rechnen, das verstoße gegen den Gleichheitsgrundsatz. Der CCC fordert am besten den kompletten Verzicht auf RFID-Technologie zur Speicherung der biometrischen Daten. Teures Lebenswerk

Der E-Pass kostet mit 59 Euro deutlich mehr als sein Vorgänger. Auch der Steuerzahler muss für den E-Pass tief in die Tasche greifen, denn durch die Passgebühr werden die Kosten keineswegs gedeckt. Otto Schily , der den E-Pass eingeführt hat, wurde bei den Big Brother Awards 2005, organisiert vom FoeBuD, für sein Lebenswerk "ausgezeichnet".

Schily saß zwischenzeitlich sogar im Aufsichtsrat von zwei Biometriefirmen, die während seiner Amtszeit Aufträge erhielten. Die Vermutung liegt für die Humanistische Union nahe: Die Lobbyisten haben ganze Arbeit geleistet. Die marode Bundesdruckerei mit ihren unklaren Besitzverhältnissen und die Biometrieindustrie erwarten blendende Umsätze.

Andere machens nach

Die Bundesdruckerei liefert bereits Venezuela RFID-Passkarten und die entsprechenden Geräte, damit Venezuela als erstes lateinamerikanisches Land biometrische Reisepässe ausgeben kann.

Russland wollte Ende 2006 den E-Pass produzieren. Die Aktion musste nach massiven Anlaufschwierigkeiten gestoppt werden. Vermutlich wird die Technik erst 2010 dort eingesetzt, wie die russische Zeitung Kommersant berichtete.

Zu den weiteren Brennpunkten: Biometrische Systeme im Einsatz, Heimliche PC-Durchsuchungen, Überwachte Kommunikation und Schnüffelchips in Kleidung.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.