Biometrischer Reisepass Der biometrische Reisepass auch elektronischer Reisepass kurz ePass genannt ist eine Kombination

Seit 1998 befasst sich die internationale Zivilluftfahrtbehörde International Civil Aviation Organization (ICAO), eine Sonderorganisation der Vereinten Nationen, mit elektronisch auswertbaren biometrischen Merkmalen in maschinenlesbaren Reisedokumenten. 2003 führte dies zur Vorstellung einer unter der Bezeichnung „Blueprint“ (engl. für „Bauplan“) bekannt gewordenen Empfehlung. Sie fordert alle Mitglieder der Vereinten Nationen dazu auf, zukünftig biometrische Merkmale der Inhaber elektronisch auf dem Reisedokument zu speichern. Kriterien für die Auswahl der zu verwendenden Techniken sind: weltweite Interoperabilität, Einheitlichkeit, technische Zuverlässigkeit, Praktikabilität und Haltbarkeit. Die vier zentralen Punkte des „Blueprint“ sind die Verwendung von kontaktlosen Chips (RFID), die digitale Speicherung des Lichtbildes auf diesen Chips, wobei weitere Merkmale wie Fingerabdrücke oder Irismuster der Augen ergänzt werden können, die Verwendung einer definierten logischen Datenstruktur (Logical Data Structure, LDS) und ein Verfahren zur Verwaltung von digitalen Zugangsschlüsseln (Public-Key-Infrastruktur, PKI). Die Vorgaben wurden in der Weiterentwicklung des Standards 9303 der ICAO zusammengefasst.

Am 13. Dezember 2004 beschloss der Rat der Europäischen Union auf politischen Druck der Vereinigten Staaten, die mit dem Wegfall der Visumfreiheit für europäische Reisende drohten, die Pässe der Mitgliedstaaten gemäß diesem Standard mit maschinenlesbaren biometrischen Daten des Inhabers auszustatten. Am 22. Juni 2005 billigte das deutsche Bundeskabinett einen Vorschlag des damaligen Bundesinnenministers Otto Schily (SPD) zur Einführung eines solchen Reisepasses, der ihn als „wichtigen Schritt auf dem Weg zur Nutzung der großen Fortschritte der Biometrie für die innere Sicherheit“ bezeichnete.

Diese Begründung ist umstritten. Es wird argumentiert, dass der deutsche Reisepass schon vor der Biometrisierung als eines der fälschungssichersten Dokumente weltweit gegolten habe. Es sei beispielsweise kein Terrorakt in Europa bekannt, zu dessen Durchführung ein gefälschter deutscher Pass oder Personalausweis benutzt wurde. Dem wird entgegengehalten, dass bereits die RAF-Terroristen regelmäßig falsche oder verfälschte Dokumente missbrauchten. Dabei ist jedoch zu berücksichtigen, dass zu Zeiten der RAF noch die auch so zwischenzeitlich längst überholten – damals teilweise noch handschriftlich ausgefüllten – Generationen von Ausweisdokumenten (grüner Reisepass, grauer Personalausweis) Stand der Technik waren.

Europäische Union Bearbeiten

Der Rat der Europäischen Union hat die Aufnahme des Gesichtsbildes sowie von Fingerabdrücken in elektronischer Form in der Verordnung Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten verbindlich vorgeschrieben. Da die EG-Verordnung eine elektronische Speicherung der biometrischen Daten im Pass vorsieht, strebt der Entwurf ein durchgängig elektronisches Verfahren der Passbeantragung an. Dieser Rechtsakt gilt nicht für die EU-Länder Dänemark und Irland. Er findet allerdings Anwendung in den mit der EU assoziierten Ländern Island, Liechtenstein, Norwegen und Schweiz.

Deutschland Bearbeiten

Seit dem 1. November 2005 werden von der Bundesrepublik Deutschland Reisedokumente mit biometrischen Daten ausgegeben. Die Reisepässe enthalten einen Chip, in dem zunächst nur ein digitales Foto mit den Gesichtsmerkmalen des Passinhabers gespeichert wurde. Dafür wird ein biometrisches Passbild benötigt. Seit 1. November 2007 werden auch zwei Fingerabdrücke digital integriert, später könnte auch ein Scan der Iris hinzukommen.

Der Kinderreisepass enthält keinen Chip mit biometrischen Merkmalen, das Passbild muss allerdings biometriefähig sein.

Schweiz Bearbeiten

Mit Botschaft vom 8. Juni 2007 unterbreitete der Bundesrat der Bundesversammlung den Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Notenaustauschs zwischen der Schweiz und der Europäischen Gemeinschaft betreffend die Übernahme der Verordnung (EG) Nr. 2252/2004 über biometrische Pässe und Reisedokumente. Die Genehmigung dieses völkerrechtlichen Vertrags wurde verbunden mit einer entsprechenden Änderung des Ausweisgesetzes. Der Bundesrat stellte fest, dass die EG-Ausweisverordnung für die Schweiz eine Weiterentwicklung des Schengen-Besitzstands darstellt und von dieser übernommen werden muss, wenn sie ihre Beteiligung am Schengener Abkommen und die damit verbundenen Vorteile nicht gefährden will.

Die beiden Kammern der Bundesversammlung haben den Bundesbeschluss am 13. Juni 2008 angenommen; der Nationalrat mit 94 zu 81 Stimmen, der Ständerat mit 36 zu 2 Stimmen bei 3 Enthaltungen. Die Opposition gegen die Vorlage ging insbesondere von der Sozialdemokratischen Fraktion und der Grünen Fraktion aus, die sich gegen die Schaffung einer zentralen Datenbank der digitalen Fingerabdrücke stellten. Gleicher Meinung war auch der Schweizer Datenschutzbeauftragte Hanspeter Thür, der sich gegen die zentrale Speicherung von biometrischen Daten aussprach, nicht aber gegen die Speicherung auf dem Chip im Reisepass. Die bürgerliche Mehrheit hielt demgegenüber in der Interessenabwägung zwischen Datenschutz einerseits, öffentlicher Sicherheit sowie Verhinderung von Fälschungen andererseits die Schaffung einer zentralen Datenbank für sinnvoll. Ein Antrag, dass weiterhin Anspruch auf eine preisgünstige nicht biometrische Identitätskarte ohne Chip bestehen soll, wurde vom Nationalrat in seiner ersten Beratung zwar angenommen, vom Ständerat aber gestrichen, worauf sich der Nationalrat ihm anschloss.

Gemäss Art. 141 Abs. 1 Bst. d Ziff. 3 der Bundesverfassung unterstand der Bundesbeschluss dem fakultativen Referendum. Dieses kam mit 63'733 eingereichten gültigen Unterschriften zustande. Gegen die Vorlage sprachen sich sowohl linke wie auch rechte Gegner aus: Die Ersteren sahen den Datenschutz gefährdet, die Letzteren lehnten die Übernahme von EU-Verordnungen grundsätzlich ab. Für die Parteien der Mitte und die Wirtschaftsverbände standen die Fortführung des Schengen-Abkommens und wirtschaftliche Aspekte im Zentrum; die breite Anerkennung der Schweizer Pässe sei für die Wirtschaft von grosser Bedeutung. In der Volksabstimmung vom 17. Mai 2009 wurde die Vorlage knapp mit 50,15 % Ja-Stimmen angenommen. Die Abstimmungsbeteiligung betrug 38,77 %.

Am 1. März 2010 ist die Änderung des Ausweisgesetzes in Kraft getreten.

Der schweizerische Reisepass erhält folgende Daten:

• Amtlicher Name (Allianzname, falls beantragt)
• Vorname/n
• Geschlecht
• Geburtsdatum
• ein Heimatort (bei mehreren der gewünschte)
• Nationalität
• Grösse (bei Kindern bis zum vollendeten 14. Lebensjahr erscheinen drei Sternchen im Ausweis [***])
• Fotografie
• Ausstellende Behörde
• Datum der Ausstellung
• Datum des Ablaufs der Gültigkeit
• Ausweisnummer und Ausweisart
• Datenchip mit Gesichtsbild und Fingerabdrücken ist nur im Pass enthalten (Fingerabdrücke nur, wenn Inhaber über zwölf Jahre alt ist)
• Unterschrift gemäss Antrag (betr. nur IDK). Im Pass muss die Unterschrift eigenhändig angebracht werden; bei Kindern unter sieben Jahren und nicht schreibfähigen Personen ist die Unterschrift nicht zwingend notwendig. Pässe von Kindern oder bevormundeten Personen dürfen nicht von den Eltern bzw. dem Vormund unterschrieben werden
• Amtliche Ergänzungen (wenn im Antrag vorhanden, sind nur im Pass möglich)
• Maschinenlesbare Zone (MRZ)

Vereinigte Staaten Bearbeiten

Die Terroranschläge am 11. September 2001 in den Vereinigten Staaten hatten viele politische und wirtschaftliche Folgen. So wurde u. a. die Einführung biometrischer Reisedokumente, die als ein Schlüssel zur wirksameren Bekämpfung von organisiertem Verbrechen und illegaler Einwanderung angesehen werden, stark beschleunigt.

Den ersten Schritt machte der UN-Sicherheitsrat mit der Resolution 1373 am 28. September 2001, in der beschlossen wurde, dass

Anfang 2002 erfolgte in Deutschland eine entsprechende Anpassung des Passgesetzes, das ab dann die Einführung biometrischer Merkmale erlaubte (BGBl. I S. 361).

Ebenfalls im Jahr 2002 erließen die USA im Rahmen des US-Visit-Programm den Enhanced Border Security Act und verpflichteten die 36 Nationen, die an ihrem Visa-Waiver-Programm (VWP) teilnehmen, bis 26. Oktober 2004 Reisepässe einzuführen, die die Speicherung von biometrischen Daten nach den ICAO-Standards ermöglichen, wenn sie im Visa-Waiver-Programm bleiben möchten. Im Laufe der weiteren Entwicklung verschoben die USA den Pflichttermin zwei Mal, je um ein Jahr, auf den 26. Oktober 2006.

Die internationale Zivilluftfahrtbehörde ICAO erhielt den Auftrag, zu diesem Zweck Richtlinien zu entwickeln. Diese Richtlinien fordern den Einsatz eines RFID-Chips in den Reisepass. Der RFID-Chip soll die Speicherung und die kabellose Übertragung von Daten ermöglichen. Die Richtlinie stellt bis zu diesem Zeitpunkt einen De-facto-Standard dar. In Zukunft wird erwartet, dass sich diese Form der Identifikation weltweit durchsetzt.

Im Oktober 2004 begannen die USA, von allen visumspflichtigen und den meisten nicht-visumspflichtigen Einreisenden Fingerabdrücke und Fotos zu erfassen. Einreisende müssen den linken und den rechten Zeigefinger von einem Fingerabdruckscanner erfassen und das Gesicht fotografieren lassen. Das System gleicht die Daten dann mit einer Liste gesuchter Personen ab. Dieses Verfahren soll nicht nur der Terrorismusbekämpfung dienen, sondern es auch ermöglichen, die Einhaltung der erteilten Aufenthaltsgenehmigungen besser zu überwachen. Reisende sollen ab diesem Zeitpunkt einen maschinenlesbaren Pass mit biometrischen Merkmalen vorlegen, um ohne Visum durch einfaches Ausfüllen eines Formulars in die USA einreisen zu können.

Der damalige Bundesinnenminister Otto Schily hat in einer Pressekonferenz in Berlin am 1. Juni 2005 die folgenden Vorteile des neuen ePasses geschildert.

Erhöhte Sicherheit der Reisedokumente Bearbeiten

Deutsche Pässe galten schon vorher als sehr fälschungssicher. Das nutzte aber wenig, da bereits innerhalb der Europäischen Union ein großes Gefälle bei den Sicherheitsstandards herrschte. Es soll verhindert werden, dass gefälschte europäische Pässe zur Begehung von Straftaten benutzt werden. Deshalb wurde mit dem ePass auf den hohen deutschen Standards aufgesetzt, ergänzt durch eine zusätzliche Fälschungshürde – die Biometrie. Damit sollte ein neuer hoher, EU-weiter Standard definiert werden. Auf diese Weise wurde zum einen eine höhere Fälschungssicherheit erreicht, zum anderen eine maschinelle Überprüfbarkeit anhand der Biometrie, ob ein Dokument zu der verwendenden Person gehört oder nicht.

Verbesserte Identifizierung von Reisenden Bearbeiten

Bei Visumantragstellern muss schon zum Zeitpunkt der Antragstellung gründlich überprüft werden, ob Zweifel an der Identität bestehen. Zukünftig wird die biometrische Identifizierung von Visumantragstellern vor der Einreise der Regelfall sein. Bis Ende 2007 richtet die EU ein zentrales Visum-Informationssystem ein, in dem die Lichtbilder und Fingerabdrücke aller Antragsteller gespeichert werden. Mit Hilfe der Fingerabdrücke wird dann vor der Einreise festgestellt, ob ein Antragsteller zu einem früheren Zeitpunkt bereits ein Visum erhalten oder verweigert bekommen hat. Nach und nach werden an allen Grenzübergängen Geräte aufgestellt, mit deren Hilfe ein biometrischer Vergleich möglich wird – entweder zwischen dem Dokument und dem, der es benutzt, oder zwischen dem Reisenden und einer biometrischen Datenbank. Bei EU-Bürgern und visumfrei Reisenden wird das Dokument verwendet, bei Visuminhabern wird auf das Visuminformationssystem zugegriffen werden können. Die Nutzung gefälschter Schengen-Visa oder echter Schengen-Visa anderer Personen wird erheblich erschwert.

Nutzung biometrischer Hilfsmittel bei der Personenfahndung Bearbeiten

Mit Hilfe erkennungsdienstlicher Behandlungen können die Polizeien des Bundes und der Länder bereits heute Fingerabdrücke und Lichtbilder Verdächtiger aufnehmen und mit den Beständen im Bundeskriminalamt vergleichen. Mit biometrischen Technologien wird die biometrische Unterstützung der Personenfahndung erheblich einfacher sein. Die anzustrebende technische Erweiterung der Automatisierten Fingerabdruckidentifizierungssystem-Datenbank um die Möglichkeit der Echtzeit-Suche in Teildatenbeständen sowie die vorgesehene Ausstattung der Grenzübergänge mit Fingerabdruckscannern wird eine Fahndungsabfrage mit Fingerabdruck möglich machen – zukünftig auch unter Einsatz mobiler Geräte. Zur Unterstützung grenzüberschreitender Fahndungen werden darüber hinaus in der nächsten Generation des europaweiten polizeilichen Informationssystems – Schengener Informationssystem II (SIS) – Fingerabdrücke und Lichtbilder gespeichert. Ziel ist es hier, in einer künftigen Entwicklungsstufe des SIS, Fahndungsabfragen im SIS auf der Grundlage solcher biometrischer Daten durchzuführen.

Erleichterter Reiseverkehr durch biometrieunterstützte Kontrolle Bearbeiten

Die technische Unterstützung der Grenzkontrollen durch Biometrie kann genutzt werden, um die Kontrolle von vertrauenswürdigen Personen zu erleichtern – mit Zeitgewinn für den Reisenden und die Bundespolizei. Allerdings werden aktuell (Stand: Ende 2015) durch die Bundespolizei weder Fingerabdrücke noch biometrische Gesichtsmerkmale standardmäßig bei der Einreise erfasst bzw. mit den in den Reisedokumenten hinterlegten biometrischen Daten elektronisch abgeglichen. Ein Zeitgewinn besteht de facto also bislang nicht.

Radio-Frequency Identification Bearbeiten

Der neue elektronische Reisepass ist mit einem RFID-Chip ausgestattet. Bei diesem RFID-Chip handelt es sich um einen zertifizierten Sicherheitschip mit kryptographischem Koprozessor, auf dem neben den bisher üblichen Passdaten auch biometrische Merkmale gespeichert werden.

Im RFID-Chip wurden in der ersten Stufe des EU-Reisepasses im Wesentlichen folgende personenbezogenen Daten gespeichert: der Name, der Geburtstag, das Geschlecht und das Gesichtsbild des Inhabers. Bereits jetzt sind alle diese Daten in maschinenlesbarer Form in dem maschinenlesbaren Bereich (engl. Machine Readable Zone [MRZ]) auf der Datenseite des Reisepasses enthalten (mit Ausnahme des Gesichtsbildes, das zwar auf der Datenseite abgedruckt, aber nur bedingt maschinenlesbar ist).

RFID (Radio-Frequenz Identification) ist ein Verfahren zur automatischen Identifizierung von Objekten über Funk. Der Einsatz von RFID-Systemen eignet sich grundsätzlich überall dort, wo automatisch gekennzeichnet, erkannt, registriert, gelagert, überwacht oder transportiert werden muss.

Jedes RFID-System ist durch die folgenden Eigenschaften definiert:

• Elektronische Identifikation – Das System ermöglicht eine eindeutige Kennzeichnung von Objekten durch elektronisch gespeicherte Daten.
• Kontaktlose Datenübertragung – Die Daten können zur Identifikation des Objektes drahtlos über einen Funkfrequenzkanal ausgelesen werden.
• Senden auf Abruf – Ein gekennzeichnetes Objekt sendet seine Daten nur dann, wenn ein dafür vorgesehenes Lesegerät diesen Vorgang abruft.

Ein RFID-System besteht technologisch betrachtet aus zwei Komponenten, einem Transponder und einem Lesegerät:

• Der Transponder ist der eigentliche Datenträger. Er wird in ein Objekt integriert (z. B. eine Chip-Karte) und kann kontaktlos über Funktechnologie ausgelesen und wieder beschrieben werden. Grundsätzlich setzt sich der Transponder aus einer integrierten Schaltung und einem Radiofrequenzmodul zusammen. Auf dem Transponder sind eine Identifikationsnummer und weitere Daten über den Transponder selbst bzw. das Objekt, mit dem dieser verbunden ist, gespeichert.
• Das Lesegerät besteht je nach eingesetzter Technologie aus einer Lese- oder einer Schreib-/Lese-Einheit sowie aus einer Antenne. Es liest Daten vom Transponder und weist möglicherweise den Transponder an, weitere Daten zu speichern. Weiterhin kontrolliert das Lesegerät die Qualität der Datenübermittlung. Die Lesegeräte sind typischerweise mit einer zusätzlichen Schnittstelle ausgestattet, um die empfangenen Daten an ein anderes System (z. B. PC, Automatensteuerung) weiterzuleiten und dort weiterzuverarbeiten.

Zugriffsschutz und sichere Kommunikation Bearbeiten

Die Mechanismen des Zugriffschutzes stellen sicher, dass ein unautorisiertes Auslesen der Daten aus dem RFID-Chip sowie ein Belauschen der Kommunikation unterbunden werden. Der Begriff „unautorisiert“ muss hierbei genauer differenziert werden: Primär ist darunter der Zugriff auf die Daten eines Passbuches im zugeklappten Zustand zu verstehen, also z. B. während sich der Pass in einer Reisetasche befindet (Basic Access Control). Für das Auslesen der Fingerabdrucksdaten aus Reisepässen der zweiten Stufe wird diese Anforderung so erweitert, dass lediglich durch berechtigte Lesegeräte ein Zugriff erfolgen kann (Extended Access Control).

Basic Access Control (BAC) Bearbeiten

Dieser Zugriffsschutz soll für die im RFID-Chip abgelegten Daten genau die Eigenschaften des bisherigen Reisepasses nachbilden:

Um auf die im RFID-Chip gespeicherten Daten zugreifen zu können, muss das Lesegerät dem Chip beweisen, dass es die Maschinenlesbare Zone des Passes kennt. Damit soll sichergestellt werden, dass die Daten nur dann ausgelesen werden können, wenn ein optischer Zugriff auf die Datenseite des Reisepasses gewährt wurde. Konkret muss sich das Lesegerät gegenüber dem RFID-Chip authentisieren, und zwar mit einem geheimen Zugriffsschlüssel, der aus der maschinenlesbaren Zone des Reisepasses berechnet wird. Das Lesegerät muss also die maschinenlesbare Zone optisch lesen, daraus den Zugriffsschlüssel berechnen und sich damit gegenüber dem RFID-Chip authentisieren. Parallel dazu findet auch ein Schlüsselaustausch statt, bei dem der Chip und das Lesegerät mit Hilfe des Zugriffschlüssels einen neuen gemeinsamen Session Key (Sitzungsschlüssel) berechnen. Mit diesem wird die anschließende Kommunikation zwischen Chip und Lesegerät abgesichert.

In die Berechnung des Zugriffsschlüssels gehen die durch Prüfziffern gegen Lesefehler gesicherten Felder der MRZ ein: die Passnummer, das Geburtsdatum des Inhabers und das Ablaufdatum des Reisepasses. Geht man vom derzeitigen Reisepass aus, ist die Passnummer eine neunstellige Zahl, das heißt, es gibt 10⁹ Möglichkeiten. Für das Geburtsdatum gibt es näherungsweise 365 × 10² Möglichkeiten und für das Ablaufdatum gibt es – bei einer Gültigkeit des Reisepasses von zehn Jahren – 365 × 10 Möglichkeiten. Insgesamt entspricht die Stärke des Zugriffschlüssels theoretisch etwa 56 Bit (3652 × 10¹² ≈ 2⁵⁶) was der Stärke eines normalen Data Encryption Standard (DES)-Schlüssels entsprechen würde. Praktisch wird diese Stärke aber nicht erreicht. So lässt sich z. B. das Alter einer Person ungefähr abschätzen und es besteht oft eine Korrelation zwischen der Passnummer und dem Ablaufdatum. Die tatsächliche Entropie der MRZ wird daher auf 40 bis 50 Bits geschätzt.

Dies bietet zwar einen genügenden Schutz gegen das Auslesen der Daten, nicht aber gegen das Abhören (und Entschlüsseln) der Kommunikation zwischen Chip und Lesegerät. Konkret ist es möglich, durch eine Brute-Force Attacke den Session-Key nachträglich zu berechnen und somit die abgehörte Kommunikation offline zu entschlüsseln. Aus diesem Grund wurde zum Schutz der Basisdaten ein neues Verfahren (Password Authenticated Connection Establishment, PACE) eingeführt, das in den EU-Ländern zusätzlich zum BAC implementiert wird, mit dem Ziel das BAC längerfristig zu ersetzen.

Password Authenticated Connection Establishment (PACE) Bearbeiten

PACE hat das gleiche Ziel wie BAC (Schutz der Basisdaten vor Auslesen und Abhören), dank dem Einsatz von asymmetrischer Kryptographie erreicht es aber eine deutlich höhere Sicherheit. Konkret ist PACE ein passwort-authentisierter Diffie-Hellman-Schlüssellaustauch-Protokoll, das ein (möglicherweise schwaches) Passwort verifiziert und einen kryptographisch starken Session-Key generiert. Das Passwort wird, wie schon bei BAC, aus der Maschinenlesbaren Zone des Passes berechnet und für die Authentisierung verwendet. Da beim Schlüsselaustausch aber das Diffie-Hellman Protokoll eingesetzt wird, hängt die Stärke des ausgehandelten Session-Keys nicht von der Stärke des Passworts ab, womit offline Attacken trotz der schwachen Entropie der MRZ unmöglich sind.

PACE wurde im Jahr 2007 durch das BSI vorgestellt und ist mittlerweile als eine sicherere Alternative zu BAC standardisiert. Aus Kompatibilitätsgründen mussten bis 2017 beide Verfahren (BAC und PACE) implementiert werden.

Extended Access Control (EAC) Bearbeiten

In der zweiten Stufe des EU-Reisepasses werden zusätzlich Fingerabdrücke auf dem RFID-Chip gespeichert. Derart sensible Daten bedürfen eines besonders starken Schutzes und vor allem der Vorgabe einer engen Zweckbindung. Innerhalb der Arbeitsgruppe zur technischen Standardisierung des EU-Reisepasses fand daher die Spezifikation eines erweiterten Zugriffsschutzes statt. Dieser erweiterte Zugriffsschutz spezifiziert einen zusätzlichen Public-Key Authentisierungsmechanismus, mit dem sich das Lesegerät als zum Lesen von Fingerabdrücken berechtigt ausweist. Dazu muss das Lesegerät mit einem eigenen Schlüsselpaar und einem vom RFID-Chip verifizierbaren Zertifikat ausgestattet werden. In diesem Zertifikat sind dann die Rechte des Lesegerätes exakt festgelegt. Dabei bestimmt immer das Land, das den Reisepass herausgegeben hat, auf welche Daten ein Lesegerät zugreifen kann.

Datenauthentizität Bearbeiten

Passive Authentication (PA) Bearbeiten

Passive Authentication dient der Sicherstellung der Datenauthentizität. Konkret wird die Integrität und Authentizität der im RFID-Chip gespeicherten Daten über eine digitale Signatur gesichert, sodass jede Form von manipulierten Daten zu erkennen ist. Somit kann überprüft werden, dass die signierten Daten von einer berechtigten Stelle erzeugt und seit der Erzeugung nicht mehr verändert wurden.

Zum Signieren und Überprüfen der digitalen Dokumente wird eine global interoperable Public Key Infrastruktur (PKI) benötigt. Jedes teilnehmende Land erzeugt dazu eine zweistufige PKI, die aus genau einer Country Signing CA (CA – Certification Authority) und mindestens einem Document Signer besteht:

• Country Signing CA: Die Country Signing CA ist im Kontext der Reisepässe die oberste Zertifizierungsstelle eines Landes. International gibt es keine übergeordnete Zertifizierungsstelle, da nur so garantiert werden kann, dass jedes Land die volle Kontrolle über seine eigenen Schlüssel besitzt. Das von der Country Signing CA erzeugte Schlüsselpaar wird ausschließlich zur Zertifizierung von Document Signern verwendet. Die Verwendungsdauer des privaten Schlüssels der Country Signing CA wurde auf drei bis fünf Jahre festgelegt. Entsprechend der Gültigkeitsdauer der Reisepässe von derzeit zehn Jahren muss der zugehörige öffentliche Schlüssel zwischen 13 und 15 Jahren gültig sein.
• Document Signer: Document Signer sind zum Signieren der digitalen Dokumente berechtigte Stellen, zum Beispiel die Druckereien, die auch die physikalischen Dokumente produzieren. Jeder Document Signer besitzt mindestens ein von ihm erzeugtes Schlüsselpaar. Der private Schlüssel wird ausschließlich zum Signieren der digitalen Dokumente verwendet, der öffentliche Schlüssel muss von der nationalen Country Signing CA zertifiziert werden. Die Verwendungsdauer des privaten Schlüssels des Document Signers beträgt maximal drei Monate, so dass im Falle einer Kompromittierung des Schlüssels möglichst wenig Pässe von den Auswirkungen betroffen sind. Entsprechend muss der zugehörige öffentliche Schlüssel zehn Jahre und drei Monate gültig sein.

Chipauthentizität Bearbeiten

Die oben beschriebene Passive Authentication schützt zwar die gespeicherten Daten vor Manipulation, verhindert aber nicht das Klonen des Chips. Will das Lesegerät sicher sein, dass es mit einem Original-Chip kommuniziert, muss auch die Chipauthentizität überprüft werden. Dabei beweist der Chip die Kenntnis seines eigenen privaten Schlüssels (Secret-Key, SK_c), zu dem er einen zugehörigen, durch Passive Authentication gesicherten, öffentlichen Schlüssel (Public-Key, PK_c) besitzt. Der PK_c wird vom Lesegerät ausgelesen und geprüft, der SK_c befindet sich hingegen im gesicherten Speicher des Chips und kann nicht ausgelesen werden. ICAO beschreibt zwei Verfahren, mit denen der Chip die Kenntnis seines Secret-Keys SK_c beweisen kann: Active Authentication und Chip Authentication.

Active Authentication (AA) Bearbeiten

Die Active Authentication ist ein Challenge-Response-Verfahren, bei dem der Pass eine vom Lesegerät erhaltene Challenge mit dem Secret-Key SK_c unterschreibt und ans Lesegerät schickt. Damit kann sich das Lesegerät überzeugen, dass es mit dem Inhaber des Secret-Keys kommuniziert. Die Challenge sollte vom Lesegerät zufällig gewählt werden, dies kann vom Chip jedoch nicht überprüft werden. Damit ist es dem Lesegerät möglich sich eine beliebige Challenge vom Pass unterschreiben zu lassen. Deswegen wird Active Authentication von vielen Ländern nicht implementiert.

Chip Authentication (CA) Bearbeiten

Die Chip Authentication ist faktisch ein Diffie-Hellman-Schlüsselaustausch, bei dem der Chip immer das gleiche Schlüsselpaar (SK_c, PK_c) verwendet, während das Lesegerät sein Schlüsselpaar jeweils zufällig neu wählt. Beim Diffie-Hellman-Protokoll tauschen zwei Parteien ihre Public-Keys aus, um einen gemeinsamen geheimen Schlüssel zu berechnen. Dieser ist durch die zwei Public-Keys zwar eindeutig definiert, um ihn berechnen zu können muss man allerdings auch einen der beiden Secret-Keys kennen. Wenn der Chip also beweisen kann, dass er den neu ausgehandelten Schlüssel kennt, hat er damit implizit die Kenntnis seines Secret-Keys SK_c bewiesen. Da der bei der Chip Authentication ausgehandelte Schlüssel deutlich sicherer ist als der Sitzungsschlüssel, der bei BAC berechnet wurde, wird er auch zur Absicherung der weiteren Kommunikation zwischen dem Chip und dem Lesegerät verwendet.

Der neue ePass soll zwei biometrische Merkmale enthalten, anhand derer der Eigentümer identifiziert werden kann. Das ist zum einen ein Bild des Gesichts und zum anderen zwei Fingerabdruckbilder.

Die Erkennung von Personen anhand von biometrischen Merkmalen ist ein Ansatz zur Authentifizierung von Personen. Biometrie bietet sich in Ergänzung oder als Ersatz herkömmlicher Methoden wie PIN/Passwort und Karte oder anderer Token deshalb an, weil die körperlichen Merkmale im Gegensatz zu Wissens- und Besitzelementen unmittelbar personengebunden sind. Ziel einer biometrischen Erkennung ist stets, die Identität einer Person zu ermitteln (Identifikation) oder eine behauptete Identität zu bestätigen bzw. zu widerlegen (Verifikation).

Verfahren zur Erkennung der Iris wurde erst Mitte der 1980er Jahre entwickelt. Sie genügten ansatzweise den Anforderungen an eine Automatisierung der Gesichtserkennung, die das US-Verteidigungsministerium 1994 ausschrieb, wodurch es die erste Kommerzialisierungswelle biometrischer Systeme auslöste, an die sich die Entwicklung des Marktwettbewerbs entsprechender Produkte anschloss.

Überblick biometrischer Merkmale Bearbeiten

Biometrische Merkmale lassen sich in zwei Merkmalsgruppen einteilen: verhaltenstypische Merkmale und physiologische Merkmale.

Bei den verhaltenstypischen Merkmalen spricht man von dynamischen Merkmalen, da diese sich abhängig von der Umgebung oder der Verfassung der Person ändern. Verhaltenstypische Merkmale sind, die Erzeugung einer persönlichen Unterschrift, die Bewegung der Lippen beim Sprechen, der Klangcharakter der Stimme, die Gangart und das Tippverhalten an einer Tastatur.

Die physiologischen Merkmale sind sogenannte „statische Merkmale“; das bedeutet, dass diese eine nahezu unveränderliche Struktur aufweisen. Physiologische Merkmale sind der Fingerabdruck, die Handgeometrie, das heißt beispielsweise Form und Maße der Finger und des Handballens, das Gesicht und die Anordnung der Attribute wie z. B. Nase, Mund, die Iris, deren Gewebemuster vermessen werden können, die Venen der Hand oder der Finger, deren Blutgefäßmuster vermessbar ist, sowie der Geruch, die DNS und das Blut.

Anwendung im ePass Bearbeiten

Auf den biometrischen Reisepass (ePass) bezogen können keine verhaltenstypischen Merkmale zur Erkennung einer Person herangezogen werden. Der Grund ist, dass diese, wie zuvor beschrieben von der Verfassung der Person und der Umgebung abhängig sind. Außerdem können einige Merkmale, wie zum Beispiel eine Unterschrift, durch Übung sehr gut nachgeahmt werden.

Bei den physiologischen Merkmalen können keine Merkmale genutzt werden, die einen körperlichen Eingriff erfordern. Das heißt, dass die menschliche DNS und das Blut nicht zur biometrischen Erkennung herangezogen werden können.

Daraus resultierend bleiben die folgenden Merkmale als mögliche Merkmale übrig:

• Der Fingerabdruck,
• die Geometrie der Hand,
• das Gesicht,
• die Iris und
• die Blutgefäßmuster.

Aus diesen Möglichkeiten hat sich die Europäische Union dazu entschieden, ein Foto des Gesichts (zur Erkennung der Gesichtsgeometrie) und Fingerabdrücke in die neuen biometrischen Reisepässe aufzunehmen. In Deutschland enthalten die neuen biometrischen Reisepässe:

• Seit 1. November 2005 ein Bild des Gesichts und
• seit 1. November 2007 zusätzlich zwei Fingerabdruckbilder.

Das Gesichtsbild wurde aufgrund der Empfehlung der UN-Zivilluftfahrt-Organisation (International Civil Aviation Organization, ICAO) ausgewählt.

Durchführung einer biometrischen Erkennung Bearbeiten

Erstmalige Erfassung Bearbeiten

Zunächst müssen die benötigten biometrischen Merkmale erstmals erfasst werden, um sie später vergleichen und wiedererkennen zu können. Gesichtsmerkmale erfasst zum Beispiel eine Kamera, Fingerabdrücke ein Fingerabdruckscanner. Die Daten für den ePass erfassen die Meldebehörden. Diese sogenannten Rohdaten, also Bilder des Gesichts und der Fingerabdrücke, werden auf dem RFID-Chip des ePasses gespeichert und können bei einer Passkontrolle mit den an Ort und Stelle verfügbaren Merkmalen derjenigen Person verglichen werden, die den Pass vorlegt.

Damit auch computergestützte Systeme diese Daten nutzen können, werden die Rohdaten mit mathematischen und statistischen Verfahren abstrahiert, sodass die wesentlichen, charakteristischen Merkmale als sogenannte Referenzmuster oder Templates vorliegen. Ein Fingerabdruck zum Beispiel wird so aufbereitet, dass man trotz Schmutzpartikeln die Rillen der Fingerkuppen gut erkennen und damit auch gut vergleichen kann. Auf dem ePass werden allerdings nicht direkt solche Templates gespeichert, sondern die Rohdaten, weil sich die Berechnungsverfahren international stark unterscheiden. Als Alternative werden auch templatefreie, sogenannte „anonyme Verfahren“ entwickelt, bei denen keine Templates aus Rohdaten erstellt, sondern kryptografische Schlüssel errechnet werden. Jedoch steckt diese Entwicklung noch in den Anfängen.

Vergleich von biometrischen Merkmalen Bearbeiten

Der Vergleich biometrischer Merkmale basiert auf dem Vergleich aktueller biometrischer Daten und Referenzdaten, die zum Beispiel auf dem RFID-Chip des ePass gespeichert werden.

Durchführen eines Matchings Bearbeiten

Beim sogenannten „Matching“ wird ein Vergleich zwischen dem gespeicherten Template auf dem ePass und der bei der erneuten Präsentation des Merkmals gegenüber dem biometrischen System erstellt wird, vorgenommen. Bei Übereinstimmung meldet das Gerät, das das Matching durchführt, die Wiedererkennung der Person, die ihr biometrisches Merkmal präsentiert hat.

Veränderung eines biometrischen Merkmals Bearbeiten

Bei Veränderung eines biometrischen Merkmals, wie zum Beispiel der Änderung des Fingerabdrucks durch Verletzung eines Fingers, sind die biometrischen Systeme in der Lage die Referenzdaten in der Datenbank anzupassen. Wichtig ist des Weiteren, dass biometrische Merkmale vor dem Zugriff Unbefugter gesichert werden müssen, da diese, wenn sie allgemein bekannt sind, nicht mehr zur Authentifizierung einer bestimmten Person genutzt werden können. Dies müssen entsprechende Systeme sicherstellen.

Automatisierter Vergleich von biometrischen Merkmalen Bearbeiten

Da die Erfassung und der Vergleich von biometrischen Merkmalen täglich in großer Menge erfolgt, können hierfür nur computergestützte Systeme eingesetzt werden, da mit Hilfe dieser die Bewältigung in einer akzeptablen Zeit zu bewältigen ist. Exemplarisch soll an dieser Stelle an die Passabfertigung an einem Großflughafen gedacht werden. Bei der Kontrolle eines biometrischen Merkmals mit einer Referenzdatenbank bietet der Computer mehrere Vorteile:

• Immer wiederkehrende monotone Arbeiten werden von computergestützten Systeme in der immer gleichbleibenden Qualität ausgeführt,
• die Geschwindigkeit, mit der die Arbeit durch ein computergestütztes System ausgeführt wird, ist um ein Vielfaches schneller als bei der Ausführung durch eine Person,
• das computergestützte System ist, im Vergleich zu einer Person, in der Lage, kleinste Unterschiede der biometrischen Merkmale zu erfassen und
• computergestützte Systeme bieten, in Verbindung mit einer Datenbank, die Möglichkeit, die biometrischen Merkmale vor dem Zugriff von Dritten zu schützen.

Toleranzbereich während des Abgleichs Bearbeiten

Ein exakter Datenabgleich zwischen dem erstmals erfassten Merkmal und einer zu einem späteren Zeitpunkt durchgeführten Erfassung kann nicht erreicht werden. Dies ist darin begründet, das sich zum einen die Merkmale im Laufe der Zeit verändern können. Beispielsweise wird eine Iris mit und ohne Kontaktlinse nicht als identisch erkannt. Zum anderen werden die Merkmale nie auf die gleiche Art und Weise dargebracht. Der Blickwinkel des Gesichts ist bei jeder Messung immer ein wenig unterschiedlich, da eine Person kein starres Objekt ist.

Die tatsächliche Entscheidung, ob eine Übereinstimmung vorliegt oder nicht, beruht auf zuvor eingestellten Parametern, die einen Toleranzbereich bilden, in dem biometrische Daten vom System als „gleich“ erkannt werden. Die biometrischen Merkmale werden nicht auf Gleichheit, sondern nur auf „annähernde Ähnlichkeit“ geprüft.

Dies hat zur Folge, dass biometrische Systeme nur mit systemtypischer Wahrscheinlichkeit bestimmen können, ob es sich um die vorgegebene Person handelt.

Fallen die Vergleichswerte außerhalb des zutreffenden Toleranzbereichs, so tritt ein Fehler auf: entweder ein „false reject“ oder ein „false accept“. Die Wahrscheinlichkeit, mit der dies geschieht, wird mit der False Rejection Rate (FRR) oder Falschrückweisungsrate bzw. der False Acceptance Rate (FAR) oder Falschakzeptanzrate bezeichnet.

Einschätzung biometrischer Systeme Bearbeiten

Biometrische Verfahren weisen sowohl Vor- als auch Nachteile auf, die im Folgenden erläutert werden:

Vorteile biometrischer Verfahren Bearbeiten

• Biometrische Merkmale sind personengebunden. Das bedeutet, dass eine Person anhand ihrer Individualität erkannt wird. Sie sind mit dem Körper der Person verbunden und müssen nicht künstlich zugeordnet werden wie etwa ein Name.
  Daraus können ganz neue und einfachere Formen der resultieren Authentifizierung von Personen geschaffen werden. Hierbei sei an das „Bezahlen per Fingerabdruck“ oder „Zugangskontrolle mit Hilfe der Iris“ gedacht.
• Dem Bedürfnis „In einer zunehmend elektronisch kommunizierenden Welt wächst das Bedürfnis nach vertrauenswürdiger und automatisierter Personenidentifikation.“ kann durch den neuen biometrischen Reisepass, also dem ePass, entgegengekommen werden, da mit dessen Hilfe die Identifikation einer Person – mit Unterstützung der Informationstechnologie – automatisiert durchgeführt werden kann.

Nachteile biometrischer Verfahren Bearbeiten

• Für die praxistaugliche Massennutzung biometrischer Systeme muss sichergestellt sein, dass die Fehlerrate solcher Systeme relativ gering ist.
• Die Datensicherheit muss gewährleistet sein. Sollten die auf dem Chip gespeicherten biometrischen Daten in die Hände Dritter gelangen, sind sie kompromittiert und können – im Gegensatz zu kryptografischen Schlüsseln – nicht für ungültig erklärt bzw. neu erzeugt werden.
• Fehlende Informationstransparenz. Viele Personen sind nicht oder nur unzureichend aufgeklärt, was mit den biometrischen Daten geschieht, wenn die Kontrolle beendet ist. Konkret stellt sich diese Frage beispielsweise bei der Einreise in die USA.

Technische Bedenken Bearbeiten

Störsender können die Kommunikation zwischen dem biometrischen Reisepass und dem Lesegerät behindern, was das Auslesen der Daten behindern oder unterbinden könnte.

Der auf dem biometrischen Reisepass befindliche Chip kann auf mechanische Weise zerstört werden, indem der ePass geknickt wird oder ein starker Druck auf ihn ausgeübt wird. Es bleibt abzuwarten, ob zum Beispiel das Stempeln des biometrischen Reisepasses ein größeres Problem darstellt.

Durch nichtmechanische Weise kann der Chip ebenfalls zerstört werden. Beispielsweise kann die Chip-Oberfläche durch eine elektrostatische Aufladung zerstört werden. Allerdings ist der Aufwand für diese Art der Zerstörung sehr hoch.

Biometrische Informationen in MRTDs können nicht widerrufen werden. Da physische Merkmale wie das Gesicht oder Fingerkuppen nicht einfach zu ändern sind, können einmal gestohlene biometrische Merkmale lange Zeit missbraucht werden.

Denkbar ist auch eine Form des zivilen Ungehorsams gegenüber der Verwendung biometrischer Merkmale: so könnten Bürger ihre biometrischen Merkmale wie Fingerabdruck und Irisscan als Public Domain deklarieren und in eine öffentliche Datenbank hochladen. Damit wären diese Merkmale "verbrannt" und könnten nicht mehr zur eindeutigen Identifizierung verwendet werden.

Mehrere Szenarien sind denkbar, um die Sicherheitsfeatures des biometrischen Reisepasses zu umgehen:

• Gefälschte Pässe aus Ländern, die keinen ePass nutzen
  Da es immer noch viele Länder gibt, die keinen ePass einsetzen, ist es bei Kontrolle derer Bürger nicht möglich, auf die biometrischen Pass-Features zurückzugreifen. In diesen Fällen kann ein gefälschter Pass nicht mit Hilfe der biometrischen Daten erkannt werden.
• Einreise über schlecht bewachte Grenzen
  Illegale Einwanderer werden weiterhin über schlecht bewachte Landesgrenzen kommen. Der ePass wird dies nicht verhindern können.

Politische Bedenken Bearbeiten

Die politischen Parteien im Deutschen Bundestag sind sich nicht einig, was die Aufnahme biometrischer Merkmale in den ePass angeht. Da die Opposition Bedenken gegen die Novelle des Passgesetzes hat, wurde diese ohne die Stimmen der Opposition am 24. Mai 2007 von der großen Koalition verabschiedet. Die Novelle des Passgesetzes beinhaltet die Aufnahme von Fingerabdrücken in Reisepässe als zweites biometrisches Merkmal.

Ein weiteres Problem stellt der Datenaustausch mit anderen Staaten dar. Grundsätzlich kann nicht garantiert werden, dass andere Staaten die biometrischen Daten des ePasses nicht zentral speichern und nach der Passkontrolle weiterhin, für andere Zwecke, nutzen können. Will die Bundesregierung Spannungen mit anderen Staaten vermeiden, kann sie nur schwer gegen die Nutzung der biometrischen Daten angehen, wenn Bundesbürger in andere Staaten einreisen. Allerdings tritt dieselbe Problematik auf, wenn Ausländer in die Bundesrepublik einreisen und an der Grenze ihre biometrischen Daten überprüfen lassen.

Datenschutzrechtliche Bestimmungen Bearbeiten

Zu den Gruppen, die Zugriff auf biometrische Daten verlangen, gehören u. a. private Unternehmen (z. B. Flughafenbetreiber, Fluglinien) und Sicherheitsbehörden (z. B. zur Strafverfolgung). Die Nutzung biometrischer Daten zu diesen Zwecken wird rechtlich legitimiert. Nachfolgend werden die derzeit gültigen rechtlichen Rahmenbedingungen zur Haltung biometrischer Daten in staatlichen Ausweisen, deren Nutzung und datenschutzrechtlichen Anforderungen aufgeführt.

Gemäß § 4 Abs. 3 PassG darf der ePass neben dem Lichtbild und der Unterschrift des Passinhabers weitere biometrische Merkmale von Fingern oder Händen oder Gesicht enthalten. Diese dürfen auch in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden. Auch die in § 4 Abs. 1 Satz 2 PassG aufgeführten Angaben über die Person dürfen in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden.

Die drei alternativ festgelegten biometrischen Merkmale sollen eine zweifelsfreie Identifizierung der Passinhaber ermöglichen. Die Verbesserung der Ausweisdokumente durch Aufnahme biometrischer Merkmale gegenüber den bisherigen Ausweisen wird darin gesehen, dass eine Identifizierung durch einen bloßen visuellen Abgleich von Merkmalen von der subjektiven Wahrnehmungsfähigkeit der Kontrollperson abhängt. Die Wahrnehmungsfähigkeit könnte durch weitere Faktoren (z. B. Lichtbildqualität, Differenz zwischen Bild und Wirklichkeit wegen Alter und Änderungen des Erscheinungsbildes durch Brille, Frisur, Bart) beeinträchtigt werden.

Die Arten der biometrischen Merkmale, ihre Einzelheiten und die Einbringung von Merkmalen und Angaben in verschlüsselter Form nach § 4 Abs. 3 PassG sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung werden durch Bundesgesetz geregelt. Eine bundesweite Datei wird nicht eingerichtet.

Bei diesen biometrischen Daten handelt es sich gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) um personenbezogene (personenbeziehbare) Daten, wodurch ihre Erhebung, Speicherung und Verarbeitung nur zulässig ist, wenn entweder eine gesetzliche Grundlage (in diesem Fall das PassG) oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt.

Laut Information des Bundesbeauftragten für den Datenschutz besteht die Möglichkeit eines datenschutzgerechten Einsatzes der biometrischen Daten. Unter datenschutzrechtlichen Aspekten sollten bei der Verwendung von biometrischen Merkmalen im ePass folgende Punkte Berücksichtigung finden: Es sollten nur solche Verfahren zum Einsatz kommen, die eine Benachteiligung bestimmter Personengruppen weitgehend ausschließen; nur die für den späteren Vergleich notwendigen Merkmale und keine Überschussinformationen aufgenommen und gespeichert werden; wenn von der Anwendung nicht anders vorgegeben, nur Templates der Merkmale gespeichert werden; eine strenge Zweckbindung der Daten sichergestellt sein; die Datensätze nur in einer gesicherten Umgebung (Netzwerk, Datenbank) verarbeitet werden; nach Möglichkeit auf eine zentrale Speicherung der Daten verzichtet werden, z. B. durch Speicherung der Daten auf einer Chipkarte oder einem Ausweis; nur kooperative biometrische Verfahren eingesetzt werden (die zu überprüfende Person muss aktiv in die Überprüfung einbezogen werden, keine verdeckte Erfassung); eine umfassende Information über die gesamte Anwendung beim beteiligten Personenkreis erfolgten und eine gesetzliche Regelung für den Einsatz vorliegen; die Biometrie nicht dazu herangezogen werden, über Auswerteprogramme Bewegungs- und Verhaltensprofile zu erstellen; Transparenz der Verfahren und der Sicherheitsmechanismen gegeben sein; Schutz der biometrischen Daten vor unbefugter Kenntnisnahme gegeben sein (Einsatz von Verschlüsselung) und eine sofortige Löschung der Daten vorgenommen werden, sobald ein Betroffener nicht mehr an der Anwendung teilnimmt.

Gemäß § 16 Abs. 1 PassG dürfen die Seriennummer und die Prüfziffern keine Daten über die Person des Passinhabers oder Hinweise auf solche Daten enthalten; jeder Pass erhält eine neue Seriennummer.

Die Beantragung, Ausstellung und Ausgabe von Pässen dürfen nicht zum Anlass genommen werden, die hierfür erforderlichen Angaben außer bei den zuständigen Passbehörden zu speichern. Entsprechendes gilt für die zur Ausstellung des Passes erforderlichen Antragsunterlagen sowie für personenbezogene fotografische Datenträger (§ 16 Abs. 2 PassG).

Laut § 16 Abs. 3 PassG darf eine zentrale, alle Seriennummern umfassende Speicherung nur bei der Bundesdruckerei und ausschließlich zum Nachweis des Verbleibs der Pässe erfolgen. Diese darf jedoch nicht die übrigen unter § 4 Abs. 1 PassG aufgeführten Angaben dauerhaft speichern. Diese dürfen nur vorübergehend und ausschließlich zur Herstellung des Passes durch die Bundesdruckerei GmbH gespeichert werden und müssen anschließend gelöscht werden.

Die Seriennummern dürfen gemäß § 16 Abs. 4 PassG nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist. Allerdings dürfen die Passbehörden die Seriennummern für den Abruf personenbezogener Daten aus ihren Dateien nutzen. Weiterhin dürfen Polizeibehörden und -dienststellen des Bundes und der Länder die Seriennummern für den Abruf der in Dateien gespeicherten Seriennummern solcher Pässe nutzen, die für ungültig erklärt wurden, abhandengekommen sind oder bei denen der Verdacht einer Benutzung durch Nichtberechtigte besteht.

Die im Pass enthaltenen verschlüsselten Merkmale und Angaben dürfen gemäß § 16 Abs. 4 PassG nur zur Überprüfung der Echtheit des Dokumentes und zur Identitätsprüfung des Passinhabers ausgelesen und verwendet werden. Auf Verlangen des Passinhabers hat die Passbehörde Auskunft über den Inhalt der verschlüsselten Merkmale und Angaben zu erteilen.

Verwendung im öffentlichen Bereich Bearbeiten

Behörden und sonstige öffentliche Stellen dürfen gemäß § 17 Abs. 1 PassG den Pass nicht zum automatischen Abruf personenbezogener Daten verwenden. Ausnahmen bilden hier die Polizeibehörden des Bundes und der Länder und die Zollbehörden (soweit sie Aufgaben der Grenzkontrolle wahrnehmen). Diese sind dazu berechtigt, den Pass im Rahmen ihrer Aufgaben und Befugnisse zum automatischen Abruf personenbezogener Daten zu verwenden. Diese Berechtigung ist zweckgebunden und darf zur Grenzkontrolle und Fahndung oder Aufenthaltsfeststellung aus Gründen der Strafverfolgung, Strafvollstreckung oder der Abwehr von Gefahren für die öffentliche Sicherheit erfolgen.

Weiterhin dürfen personenbezogene Daten, soweit gesetzlich nichts anderes bestimmt ist, beim automatischen Lesen des Passes nicht in Dateien gespeichert werden (§ 17 Abs. 2 PassG).

Verwendung im nichtöffentlichen Bereich Bearbeiten

Im nichtöffentlichen Bereich dürfen die Seriennummern nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist (§ 18 Abs. 2 PassG). Weiterhin darf der Pass weder zum automatischen Abruf personenbezogener Daten noch zur automatischen Speicherung personenbezogener Daten verwendet werden (§ 18 Abs. 3 PassG).

Datenschutzrechtliche Kritikpunkte Bearbeiten

• Der Bundesbeauftragte für den Datenschutz hält es für notwendig, dass die biometrischen Daten nur im Pass selbst und nicht in externen Dateien abgespeichert werden. Auf nationaler Ebene wird dieser Forderung durch eine entsprechende gesetzliche Regelung nachgekommen (§ 4 Abs. 5 PassG). Weiterhin weist der Bundesbeauftragte für den Datenschutz darauf hin, dass bisher internationale Regelungen zu dieser Problematik ausstehen, wodurch die Möglichkeit bestehen würde, dass ausländische Staaten die biometrischen Angaben von Reisenden nach dem Auslesen der Pässe speichern (in Dateien, Datenbanken).
• Ein weiterer Kritikpunkt aus Sicht des Datenschutzes besteht darin, dass sich aus dem Gesichtsbild Rückschlüsse auf die ethnische Herkunft und bestimmte Krankheiten und Lebensumstände ziehen lassen, die mit Hilfe des neuen biometrischen Passfotos automatisiert ausgewertet werden können.
• Hinsichtlich des unberechtigten Auslesens der biometrischen Daten warnt der Bundesbeauftragte für den Datenschutz davor, dass das Auslesen der im Chip gespeicherten Daten möglich ist, wenn die maschinenlesbare Zone des Passes bekannt ist.
• Hinsichtlich der Gefährdung von Grundrechten des Einzelnen ist beim ePass zu beachten, dass hier Biometrie nicht freiwillig, sondern unfreiwillig genutzt wird, da der Einsatz von Biometrie im ePass durch den Staat/ Gesetzgeber vorgegeben wird und somit auch jeder Bürger dazu verpflichtet ist, seine biometrischen Merkmale abzugeben und überprüfen zu lassen.
• Art. 1 Grundgesetz behandelt die geschützte Menschenwürde und könnte den Einsatz neuer Techniken einschränken. Mit diesem Recht soll verhindert werden, dass alle Lebensäußerungen einer Person mit technischen Mitteln überwacht werden. Die in Art. 1 GG geschützte Menschenwürde wird allerdings erst dann verletzt, wenn eine Kontrolltechnik sehr umfangreich und sehr intensiv für die Überwachung genutzt wird.
• Ein weiterer Punkt ist die Vereinbarkeit von Biometrie im ePass mit dem Recht auf informationelle Selbstbestimmung. Dieses Recht wurde vom Bundesverfassungsgericht aufgrund der Risiken der automatischen Datenverarbeitung entwickelt und soll die freie Entfaltung der Persönlichkeit und die Menschenwürde wahren. Das Recht auf informationelle Selbstbestimmung soll dem Einzelnen ermöglichen, selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen. In dieses Grundrecht darf eine staatliche Anordnung nur in Form eines Gesetzes eingehen (in diesem Fall das PassG).
• Wie die Europäische Union selbst feststellte, kann die Verbindung zwischen Leser und RFID-Chip abgehört und mittels sogenannter „Brute-Force-Attacken“ unter Nutzung bekannter kryptografischer Schwächen gehackt werden.

Datenschutzrechtliche Problematik Bearbeiten

Ohne ausreichende Sicherheitsmaßnahmen könnten RFID-Chips im Reisepass dazu führen, dass die gespeicherten Daten ohne willentliche und aktive Handlung des Besitzers (wie dem Vorzeigen des Ausweises) verdeckt ausgelesen werden könnten. Dieses unbemerkte Auslesen könnte zum Beispiel durch den Aufenthalt in einem mit RFID-Lesetechnik bestückten Bereich erfolgen oder durch Annäherung einer Person mit einem mobilen Lesegerät auf kurze Distanz zum Betroffenen und seinem Reisepass. Das Ansprechen des Chips und damit das unbemerkte Auslesen der elektronisch gespeicherten Daten per RFID-Technik kann allerdings recht einfach durch eine abschirmende RFID-Schutzhülle für den Reisepass ausgeschlossen werden.

Bei europäischen Reisepässen soll das Auslesen durch Unbefugte allerdings durch das Basic-Access-Control-Verfahren unterbunden werden. Dabei ist das Auslesen des Chips möglich, wenn zuvor die maschinenlesbare Zone des Passes optisch gelesen wurde, das Dokument also einem Beamten oder einer im Besitz eines Lesegerätes befindlichen Person ausgehändigt wurde. Alternativ können die Daten des maschinenlesbaren Bereichs auch aus einer Datenbank stammen, was ein verdecktes Detektieren eines bestimmten, erwarteten Dokuments ermöglicht. Das Lesegerät muss sich mit den Daten aus der maschinenlesbaren Zone am RFID-Chip anmelden. Schlägt diese Anmeldung fehl, so gibt der Chip keine Daten seines Inhabers preis. Weiterhin sollen nur dafür vorgesehene Lesegeräte den Chip auslesen können; die Kommunikation zwischen Lesegerät und Chip erfolgt verschlüsselt. Das Verfahren stellt sicher, dass keine personenbezogenen Daten gelesen werden können, die nicht schon zuvor bekannt sind.

Einige empfinden auch die bestimmungsgemäße Verwendung des ePasses als Sicherheitsrisiko für den Schutz der persönlichen Daten. Jedes Land, das die entsprechenden Lesegeräte angeschafft hat, kann die mit Biometrie-Technik nutzbaren Daten des Passes auslesen, speichern und verarbeiten, ohne dass der Benutzer dies bemerkt. Technisch kann dies verhindert werden: Der RFID-Chip lässt sich in einer handelsüblichen Mikrowelle zerstören. Dazu wird der ePass hineingelegt und der Einschalter nur für Bruchteile von Sekunden eingeschaltet. Danach ist der Chip in der Regel zerstört. Dabei kann allerdings durch ein kurzes Aufflammen des RFID-Chips der Pass zerstört werden. Der Pass behält im Prinzip seine Gültigkeit, da er bei Lesbarkeit der Daten weiterhin eine Identifikation der Person ermöglicht. Diesem Vorgehen wird entgegengehalten, dass es sich bei Zerstörung des Chips um Sachbeschädigung handele, da der Reisepass Eigentum des ausstellenden Staates sei. In Deutschland droht bei Veränderung amtlicher Ausweise eine Geld- oder Haftstrafe. Staaten, die biometrische Daten bei der Einreise vorschreiben, können bei funktionslosem Chip die Abgabe biometrischer Merkmale mit entsprechenden Sensoren vor Ort verlangen. Bei der Einreise in die USA sind dies beispielsweise eine digitale Fotografie und die Abnahme mindestens zweier Fingerabdruckbilder.

Der deutsche Anwalt Udo Vetter klagte im Jahr 2007 gegen die Stadt Bochum auf Erteilung eines Reisepasses ohne Erfassung seiner Fingerabdrücke. Zu dieser Klage erfolgte im Mai 2012 ein Beschluss des Verwaltungsgerichts Gelsenkirchen, das dem Europäischen Gerichtshofs (EuGH) verschiedene Fragen zur Vorabentscheidung vorlegte, nämlich ob die Rechtsgrundlage für die Fingerabdruckpflicht unzureichend sei, ein Verfahrensfehler beim Erlass der europäischen Verordnung Nr. 2252/2004 in geänderter Fassung vorliege und/oder ob ein Verstoß gegen Art. 8 der Charta der Grundrechte der Europäischen Union vorliege. Nach den Schlussanträgen des Generalanwalts Mengozzi hat der Europäische Gerichtshof 2013 entschieden, dass die Speicherung digitaler Fingerabdrücke auf EU-Reisepässen zulässig ist.

Bereits im September 2011 hatte das Verwaltungsgericht Dresden die Pflicht zur Speicherung der Fingerabdrücke im Reisepass als zulässig beurteilt. Die Juristin und Schriftstellerin Juli Zeh, die insbesondere ihr Grundrecht auf Menschenwürde verletzt sieht, hat am 28. Januar 2008 Verfassungsbeschwerde gegen die Einführung biometrischer Merkmale in Reisepässen mit dem Antrag erhoben, die entsprechenden Regelungen im Passgesetz für nichtig zu erklären. Am 30. Dezember 2012 urteilte das Bundesverfassungsgericht, der vorgelegten Beschwerde fehle eine „genügende Begründung“, weshalb sie „aus formellen Gründen nicht anzunehmen“ sei.

Seit dem 1. November 2007 werden in den Chips zusätzlich die Fingerabdruckbilder von zwei Fingern gespeichert. Einige Auslandsvertretungen meldeten in diesem Zusammenhang technische Probleme und nahmen ab Mitte Oktober 2007 für mehrere Monate keine neuen Anträge an. In dieser Zeit konnten dort nur vorläufige Reisepässe ausgestellt werden. Diese technischen Probleme bezogen sich allerdings nicht auf den Chip oder das Dokument, sondern auf die technische Ausstattung der Botschaften und Konsulate, in denen die für die Ausstellung der Dokumente notwendige Infrastruktur (Software und Geräte) fehlte. Hintergrund war die Tatsache, dass ein bei der vom Auswärtigen Amt für die Beschaffung der Fingerabdruckscanner durchgeführten Ausschreibung unterlegener Anbieter gegen diese Vergabeentscheidung geklagt hatte. Obwohl das Auswärtige Amt – wie in der späteren Gerichtsentscheidung festgestellt wurde – die Vergabe korrekt abgewickelt hatte, führte dies zu deutlichen Verzögerungen bei der Beschaffung der Geräte.

Gleichzeitig entfiel zu diesem Zeitpunkt die Möglichkeit, Kinder mit im Pass eintragen zu lassen. Das Feld Ordens- oder Künstlername entfiel ersatzlos (auf Druck der katholischen Kirche sowie von Künstlerverbänden auf das Bundesinnenministerium wurde dieses Feld bei der Neufassung des Personalausweisgesetzes 2008 wieder eingeführt). Die Gültigkeitsdauer für Pässe jüngerer Antragsteller unter 24 Jahren wurde von fünf auf sechs Jahre angehoben. Antragsteller ab dem 24. Lebensjahr (bislang 26. Lebensjahr) erhalten nunmehr einen für zehn Jahre gültigen Reisepass. Die EU-Amtssprachen Rumänisch und Bulgarisch wurden im Pass aufgenommen. Auf der letzten Vorsatzseite wurde eine „Gebrauchsanweisung“ eingefügt. Die Seriennummern wurden auf zufällig zu vergebende alphanumerische Seriennummern umgestellt.

Die Seriennummern enthalten seit dem 1. November 2007 alphanumerische Seriennummern. Diese alphanumerischen Zeichen setzen sich zusammen aus der vierstelligen Behördenkennzahl (alphanumerisch), einer zufälligen fünfstelligen alphanumerischen Passnummer (ZAP), gefolgt von einer Prüfziffer.

• Die Behördenkennzahl (BHKZ) als Bestandteil der Pass-Seriennummer beginnt zwingend mit einem Buchstaben und zwar mit einem der Zeichen C, F, G, H, J oder K; zunächst wird nur das C verwendet.
• Die Passnummer (fünfstellig) als Bestandteil der Seriennummer wird zentral durch die Bundesdruckerei erzeugt.
• Zulässig für die Seriennummer des Reisepasses sind nur die Ziffern 0, 1, 2, 3, 4, 5, 6, 7, 8, und 9 sowie die Buchstaben C, F, G, H, J, K, L, M, N, P, R, T, V, W, X, Y und Z. Eine Verwechslung der Zahl „0“ mit dem Buchstaben „O“ ist damit ausgeschlossen.
• Alphanumerische Seriennummern werden im ePass (auch mit 48 Seiten sowie im Express-Pass), im Dienstpass und im Diplomatenpass verwendet.

Amtliche Weblinks

• Deutscher Pass und Personalausweis (offizielle Behördenseite des Bundesministeriums des Innern zum Reisepass)
• schweizerpass.ch (offizielle Behördenseite des Eidgenössischen Justizdepartement)
• Reisepass in Österreich (offizielle österreichische Behördenseite)
• Einreisebestimmungen (Einreisebestimmungen in anderen Ländern)
• Einreisebestimmungen in die USA (Ministerium für Innere Sicherheit der Vereinigten Staaten)

Dossiers

• Chaos Computer Club Materialsammlung und Hintergrundinformationen zum Thema elektronischer Reisepass
• globaltravel.tk: (Memento vom 1. Juni 2013 im Internet Archive)
• GlobalTester – Open Source Tool zum Testen von e-Passports und Smart Cards allgemein

ICAO-Informationen

• Internationale Zivilluftfahrtorganisation
• (Memento vom 11. August 2011 im Internet Archive)
• (Memento vom 23. November 2012 im Internet Archive) (PDF; 1,1 MB)
• (Memento vom 23. November 2012 im Internet Archive; PDF; 852 kB)
• (Memento vom 5. September 2012 im Internet Archive; PDF; 1,8 MB)
• (Memento vom 20. März 2012 im Internet Archive; PDF; 1,3 MB)
• ICAO Dokument 9303, Teil 11 (PDF; 12 MB)