Überwachungstechnik: Gescannt, gefilzt
Ein Chip in Reisepässen, der über Funkwellen abgefragt werden kann, lässt nicht nur DatenschützerInnen skeptisch werden.
«Wir zeigen, dass Deutschland das Know-how und die Innovationskraft hat, um im jungen Sektor Biometrie Standards zu setzen!», sagte der scheidende Innenminister Otto Schily am 1. November bei der Vorstellung der neuen Reisepässe. Nicht zuletzt aus wirtschaftlichen Interessen hatte die Bundesrepublik zwei Monate vor allen anderen Staaten einen Beschluss der EU-Kommission über maschinenlesbare Reisepässe mit biometrischen Daten (also Daten über körperliche Merkmale) umgesetzt. Die neuen Reisedokumente sind mit einem winzigen Radio-Frequency-Identification-Chip (RFID) ausgestattet, auf dem eine digitalisierte Version des Passbildes gespeichert ist. Ab März 2007 werden überall in Europa Bilddateien von Fingerabdrücken dazukommen. Die Schweiz tritt in dieser Hinsicht 2006 in die «Pilotphase» (siehe ganz unten).
Nun haben auch die anderen Länder begonnen, die neuen Reisepässe auszugeben. Nach den Anschlägen vom 11. September 2001 hatten die USA angekündigt, den biometrischen Reisepass zur Bedingung für die visafreie Einreise zu machen. EU-Rat und Kommission beeilten sich, den Forderungen nachzukommen. Man einigte sich auf die Standards der Internationalen Organisation für Zivile Luftfahrt (ICAO). Biometrie soll die Bindung zwischen Dokument und Person erhöhen. Fälschungen würden so «unmöglich gemacht oder mindestens erschwert», behauptete Schily.
Keine eindeutigen Merkmale
Unter SicherheitsexpertInnen sind Biometrie und Funkerkennung höchst umstritten. Entgegen einer weit verbreiteten Ansicht sind biometrische Daten keineswegs eindeutig. Gesichtsmasse verändern sich im Lauf der Zeit, weshalb sie oft schon nach wenigen Monaten von den Lesesystemen nicht mehr erkannt werden. Die ICAO empfiehlt deshalb, die Gültigkeit der Pässe künftig auf fünf Jahre zu begrenzen. Biometrische Kontrollsysteme liefern keine eindeutige Identifizierung, sondern lassen nur die Wahl zwischen verschiedenen Toleranzgrenzen - werden das gespeicherte Bild und der Scan rigide verglichen, kommt es zu einer hohen Quote falscher Zurückweisungen, das heisst: Berechtigte werden nicht erkannt. Werden aber grössere Abweichungen toleriert, akzeptiert das System unberechtigte Personen. Fingerabdrücke sind zwar eindeutiger als Iris und Gesichtsmasse, lassen sich aber leichter fälschen. Japanische Forscher haben kürzlich Fingerabdrücke in Latex gegossen und elf von fünfzehn getesteten Systemen überlistet. Der Hamburger Chaos Computer Club demonstriert auf seiner Webseite, wie sich Fingerabdrücke mit Grafitpulver, Sekundenkleber, einer Digitalkamera und Holzleim nachbilden lassen.
«Biometrische Prüfverfahren arbeiten stets mit Wahrscheinlichkeiten», sagt der deutsche Rechtswissenschaftler Gerrit Hornung. Er arbeitet in der Projektgruppe Verfassungsverträgliche Technikgestaltung an der Universität Kassel und hat kürzlich ein Buch* über die Rechtsprobleme der digitalen Identifizierung geschrieben. Die biometrischen Ausweise stellten einen bedeutenden Grundrechtseingriff dar, und es habe bisher kein repräsentativer Feldversuch stattgefunden. Für Hornung ist auch der Entscheid über die neuen Pässe unzureichend legitimiert: «Weder auf europäischer noch nationaler Ebene haben Parlamente darüber entschieden.»
Gefahren der Funkübertragung
Noch kontroverser als die Speicherung biometrischer Merkmale ist der Funkchip. Bei RFID werden Daten mittels Funkwellen übertragen. Manche haben nicht nur eine Antenne, sondern auch eine Batterie und können so aktiv senden. Anders die passiven Chips in den Reisepässen, die von einem Sender abgefragt werden.
Für Speditionen beispielsweise ist RFID ein Traum. Mit den kostengünstigen Chips lässt sich Personal einsparen und trotzdem der Weg einer Ware vom Hersteller bis zum Kunden (und weiter) verfolgen. Datenschützer dagegen erinnert dieses Szenario eher an einen Albtraum: Durch die Funkidentifizierung werden Kontrollen prinzipiell möglich, ohne dass der Passbesitzer es bemerkt. RFID bietet StrafverfolgerInnen, Geheimdiensten und staatlichen Behörden nahezu unbegrenzte Möglichkeiten. So ist vorstellbar, dass mit der entsprechenden Autorisierung eine Menschenmenge, etwa bei einer politischen Demonstration, einem Massenscreening mittels Funkwellen unterzogen wird. Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) funktioniert die Übertragung auf eine Distanz zwischen dreissig und fünfzig Metern.
Um das unberechtigte Abfragen der persönlichen Daten zu verhindern, haben das BSI und das Bundeskriminalamt (BKA) einen Standard für die künftigen Lesegeräte entwickelt. Die «Golden Reader Tool» genannte Software arbeitet mit Kryptografie (Verschlüsselungstechnik). Bevor sich ein Funkkanal herstellen lässt, muss der maschinenlesbare Teil des Passes optisch eingelesen - sprich: gescannt - werden. Erst dann antwortet der Chip und generiert einen zufälligen Code, der als sicherer «Kanal» zwischen Pass und Lesegerät dient. Das Auslesen der Chips an internationalen Grenzen soll durch zwischenstaatliche Verträge geregelt werden - was DatenschützerInnen weiterhin misstrauisch stimmt. Sie befürchten, dass nicht kontrolliert werden kann, was dann mit den Daten passiert.
Prinzipielle Abhörbarkeit
Ähnliche Sicherungssysteme sollen in Britannien, den Niederlanden und später auch in der Schweiz verwendet werden. Aber warum überhaupt RFID benutzen, wenn die Pässe ohnehin optisch eingelesen werden müssen? Unter ExpertInnen ist auch die kryptografische Sicherung umstritten. Tobias Straub vom Fraunhofer-Institut für Sichere Informationstechnik hält die kryptografische Absicherung für ausreichend, spricht aber gleichzeitig von einer «prinzipiellen Abhörbarkeit der RFID-Kommunikation». Anders Jan Hennig, der als Informatiker an der Universität Bielefeld arbeitet: «Es gibt deutliche Schwachstellen durch die mögliche Wiedererkennbarkeit bei Verwenden von nichtzufälligen Nummern beim Antikollisionsprotokoll.» Der amerikanische Sicherheitsexperte Bruce Schneier hat kürzlich in einem Versuch mit US-Reisepässen die Seriennummern der Chips problemlos erkennen können. Mit diesen Nummern werden mehrere Chips im Funkbereich auseinander gehalten. Die EU hat die Verwendung zufälliger Nummern zwar empfohlen, aber nicht zur Bedingung gemacht.
In den nächsten Monaten werden die ersten Lesegeräte an die GrenzkontrolleurInnen ausliefert werden. Allerdings hält selbst manche staatliche Behörde die Technik für noch nicht einsatzbereit. In einer Machbarkeitsstudie des BSI von August 2005 heisst es über biometrische Identifizierung: «Die bisherigen Systemerfahrungen zeigen noch erhebliche Fehlerraten.» Auch sei die Frage nach der erforderlichen Interoperabilität der eingesetzten technischen Systeme «noch nicht geklärt».
Biometriedatenbank für Europa?
Ben Hayes, Sprecher der britischen Initiative Statewatch, sieht die Einführung der neuartigen Pässe noch in einem anderen Zusammenhang: dem Entstehen einer biometrischen Datenbank auf europäischer Ebene. Dessen Zentrum ist das Schengener Informationssystem (SIS). Bisher diente es als europäisches Fahndungsregister; bis 2007 soll es zu SIS II erweitert werden, neue Suchfunktionen und biometrische Daten enthalten. Dazu kommen noch das Visa-Informationssystem (VIS) und die Datenbank mit den Fingerabdrücken von AsylbewerberInnen und illegalen EinwanderInnen (Eurodac). Letztere arbeitet erstmalig mit einem automatisierten Fingerabdruck-Identifizierungssystem (AFIS), mit dem die Merkmale der Kontrollierten mit bereits gespeicherten entsprechenden Daten abgeglichen werden können.
Für Hayes entsteht durch die absehbare Zusammenführung dieser Datenbanken eine «panoptische Überwachungsmaschine», durch die «internationale Bewegungsprofile» möglich werden. Noch gefährlicher aber als die scheinbar unbegrenzten technischen Überwachungsmöglichkeiten ist, dass die europäische Öffentlichkeit das Ausmass der anstehenden Veränderungen nicht einmal erkennt oder debattiert.
* Gerrit Hornung: «Die digitale Identität. Rechtsprobleme von Chipkartenausweisen». Baden-Baden 2005. 492 Seiten. Zirka 140 Franken.
RFID im Schweizer Pass
Ab September 2006 sollen in der Schweiz im Rahmen einer Pilotphase biometrische Pässe ausgestellt werden, wie das Bundesamt für Polizei im vergangenen Juni mitteilte. Während rund fünf Jahren können Schweizer BürgerInnen wählen, ob sie einen herkömmlichen oder einen biometrischen Pass wollen. Das Wort «Pilotphase» ist allerdings etwas irreführend: Es geht nämlich nicht mehr darum herauszufinden, ob dieser Pass eingeführt werden soll - das ist beschlossene Sache. Dazu verpflichtet das Schengener Abkommen. Anders als Deutschland will die Schweiz eine zentrale Passdatenbank aufbauen. Deren Benützung zu Fahndungszwecken soll der Polizei aber verboten sein. Als Schengen-Staat ist die Schweiz auch an die Eurodac-Datenbank (Fingerabdrücke von AsylbewerberInnen und «illegalen» AusländerInnen) angeschlossen.
Während der neue Pass beim Preisüberwacher, Rudolf Strahm, Protest ausgelöst hat, weil er mit 250 Franken zu teuer sei, hat der Eidgenössische Datenschutzbeauftragte, Hanspeter Thür, sich bisher nicht kritisch dazu geäussert.
Marcel Hänggi