Digitaler Ausweis – Das Ende der Anonymität

Hätte diese Technologie schon vor einigen Jahren zur Verfügung gestanden wäre sie vielleicht auch auf den neuen elektronischen Reisepässen und Personalausweisen zum Einsatz gekommen. Jetzt ist es dafür leider zu spät. Die neuen Reisepässe sind schon im Umlauf und in zwei Jahren sollen die neuen Personalausweise eingeführt werden, auch hier ist es zu spät. Leider. Mit dieser Technik wären die neuen Dokumente wesentlich sicherer gegen unbefugtes Auslesen gewesen.

Es ist wohl eher nicht damit zu rechnen, dass die Technik in absehbarer Zeit noch umgestellt wird. Zum einen wären damit immense Kosten verbunden, da an allen Kontrollstellen neue Lesegeräte aufgestellt werden müssten. Entweder zusätzlich, oder abwärtskompatibel ausgestattet, damit auch die Ausweise ohne Krypto-Funktion ausgelesen werden können. Desweiteren müssten ein neues Rollout für die neuen Ausweise gestartet werden. Hinzu kommt, dass unsere derzeitige Regierung – und es steht zu befürchten, dass sich dies bei zukünftigen nicht ändert – davon überzeugt ist, dass die derzeit eingesetzte Technik sicher ist. Wie sicher zeigt ein Bericht der London Times, in dessen Auftrag ein niederländischer Wissenschaftler zwei angeblich sichere Ausweise ausgelesen und anschließend mit neuen Gesischtsbildern von Osama bin Laden und einer palästinensischenSelbstmordattentäterin ausgestattet hat.

Das Problem bei der Sicherheit solcher sehr langlebigen Dokumente (bis zu 10 Jahren bei ePass und ePA) ist, dass in dieser Zeit sehr viele neue Ergebnisse in der Forschung erzielt werden. Zum einen solche die mehr Sicherheit für die Dokumente ermöglichen würden, zum anderen aber auch solche, die die eingesetzten Sicherheitsfunktionen immer mehr schwächen. Neue sicherere Technik einzusetzen ist hier leider sehr schwer bis unmöglich, da dies – wie bereits erwähnt – mit einem sehr großen finanziellen Aufwand verbunden ist. Hinzukommt, dass selbst wenn in regelmäßigen Abständen neue Technik zum Einsatz kommen sollte, nicht garantiert werden kann, dass zu dem Zeitpunkt zu dem diese zum Einsatz kommt diese noch sicher ist, schließlich benötigen solche Maßnahmen immer eine gewisse Vorlaufzeit in der sehr viel passieren kann.

Die Vorkommnisse in der jüngeren Vergangenheit zeigen, dass es nur noch eine Frage der Zeit ist bis die eingesetzte Technik soweit geschwächt ist, dass man mit einfachsten Mitteln die Ausweise aller Bürger ohne großen Aufwand auslesen könnte. Dies wäre aus Sicht des Datenschutzes ein Super-GAU. Die einzige Möglichkeit diesem vorzubeugen wäre die Ausgabe der ePässe und ePAs mit RFID-Chips sofort zu stoppen und auf eine andere Technik umzuschwenken. Mit kontaktbehafteten Chips wie sie zum Beispiel auf EC-Karten zum Einsatz kommen könnte man eine wesentlich höhere Sicherheit für die Daten auf den Ausweisen und Pässen erreichen, da hier nicht ohne Kenntniss des Inhabers die Daten ausgelesen werden können. Ich befürchte jedoch auch dafür ist es zu spät…

Mit Problemen und Kompliaktionen bei der Erfassung und späteren Kontrolle, z.B. an Flüghäfen müssen unter anderem Senioren sowie Personen die z.B. auf Grund ihrer beruflichen Tätigkeit kaum Fingerabdrücke besitzen (Handwerker etc.) rechnen. Durch das Fehlen von Fingerabdrücken können die Personen nicht eindeutig identifiziert werden, so dass diese sich dann schärferen Überprüfungen unter ziehen lassen müssen. In Extremfällen könnte sogar die Einreise in einige Länder verweigert werden.

Reisepässe ohne Fingerabdrücke können noch bis zum Ende des Monats bei den zuständigen Behörden beantragt werden. Auch wer noch einen gültigen Reisepass besitzt kann einen neuen beantragen um sich so der Erfassung durch den Staat noch eine Weile zu entziehen, und so die Zeit bis zu einer Verfassungsprüfung überbrücken. So der CCC.

Die Einführung des biometrischen Reisepasses war in der Vergangenheit schon öfter in die Kritik geraten, unter anderem dadurch, dass – wie die Bundesregierung selber bestätigt hat – kein wirklicher Sicherheitsgewinn vorhanden ist, und die Sicherheit der Daten auf den Pässen nicht gewährleistet ist.

Worum es den Sicherheitshysterikern in der deutschen Politik wirklich geht, offenbart die Forderung der CDU nach Speicherung der sensiblen biometrischen Daten bei den ausgebenden Behörden. “Die Beteuerungen deutscher Politiker, die Fingerabdrücke würden nicht zentral gespeichert, haben angesichts der maßlosen Datengier des Staates nicht mal mehr Unterhaltungswert”, unterstrich der Sprecher des CCC Dirk Engling. “Jetzt zu behaupten, dass es keine zentrale Biometriedatei geben werde, ist eine vorsätzliche Täuschung des Bürgers.”

Der nächste Schritt zur biometrischen Erfassung der Bevölkerung ist die Einführung des biometrischen Personalausweises im nächsten Jahr. Konnte man sich der Erfassung bei den Reisepässen noch entziehen, in dem man auf Reisen verzichtet hat, für die man einen Reisepass benötigt ist die mit dem neuen Personalausweis nicht mehr ohne weiteres möglich, es sei den man verzichtet auf einen Ausweis.

Wenn der CCC hier von einem Risikoexperiment auf Kosten der Bevölkerung spricht, dann hat er da sicherlich recht. Die Systeme sind eben noch nicht soweit um wirklich fehlerfrei jeden zu erkennen, sei es nun durch Abgleich der Bilder oder der Fingerabdrücke. Hinzukommt, dass die Daten die auf den RFID-Chip gespeichert sind nicht sicher genug verschlüsselt sind, und so jeder die Daten auslesen könnte, wenn er wollte.

Der Hintergedanke der EU mit der Einführung von Biometrie in Pässe und Ausweise ist vielleicht gut gemeint, aber gut gemeint ist nicht gleich gut gemacht.Zur Zeit sind die Sicherheitsrisiken und dadurch auch das Missbrauchspotential einfach noch zu hoch. Hier muss erst noch nachgebessert werden bis der Pass wirklich “sicher” ist.