Menü

Expertenstreit über Fingerabdrücke in Pässen

Bei einer Anhörung im Innenausschuss des Bundestags am heutigen Montag lagen die Einschätzungen Sachverständiger zur geplanten Änderung des Passgesetzes weit auseinander. Der Dresdener Informatikprofessor Andreas Pfitzmann warnte angesichts der von der Bundesregierung vorgesehenen Aufnahme von Fingerabdrücken in die E-Pässe als weiteres biometrisches Merkmal neben den digitalen Gesichtsbildern vor einer "sicherheitstechnischen Katastrophe". Der Präsident des Bundeskriminalamts (BKA), Jörg Ziercke, verwies dagegen darauf, dass der missbräuchlichen Benutzung von Identitätsdokumenten durch die zweite Generation der biometrisch aufgerüsteten Reisepässe und dem damit ermöglichten Einsatz "messtechnischer Verfahren" noch besser begegnet werden könne. Auch der innerhalb der großen Koalition heftig umkämpfte Online-Abruf biometrischer Daten könne Ermittlungen beschleunigen.

Ziercke räumte auf Nachfragen ein, dass hierzulande in den vergangenen zweieinhalb Jahren etwa 100 Verfälschungen deutscher Pässe festgestellt worden seien. Eine tatsächlich "recherchierbare" Speicherung der zwei Fingerabdruckmerkmale aus den Identitätsnachweisen bei den Meldeämtern, für die erst mit vergleichsweise hohem finanziellen Aufwand gemeinsame Standards eingeführt werden müssten, würde ihm zufolge etwa die Identifizierung Vermisster oder Toter genauso erleichtern wie die Suche nach Verkehrsstraftätern. Direkt vergleichbar wäre der Datenbestand bei den rund 5300 Meldebehörden mit dem BKA-Bestand aber auch im Fall der Online-Abrufbarkeit nicht. Im dortigen automatischen Fingerabdruck-Identifizierungssystem (AFIS) würden nämlich die Ausformungen aller zehn Finger und der Handfläche gespeichert. Jeder Abgleich würde auch "sechzig Sekunden und länger" dauern, was etwa bei einer Prüfung im Rahmen einer Grenzkontrolle zu berücksichtigen sei.

Anzeige

Laut Pfitzmann träte bei den Bürgern mit der Gesetzesänderung der Gewöhnungseffekt ein, ihre Fingerabdrücke nicht mehr nur in "Schurkenstaaten" oder bei der Einreise in die USA "in hoher Qualität" und im Rahmen einer automatisierten massenhaften Erfassung abzugeben. Fremde Geheimdienste und Kriminelle hätten damit "nach kurzer Zeit eine große Fülle von deutschen Fingerabdrücken". Diese könnten etwa an Tatorten bewusst hinterlassen werden, um die Polizei in die Irre zu führen. Pfitzmann versicherte den Parlamentariern, dass es für derlei Machenschaften "einen Markt" gebe. Zugleich rief er die Abgeordneten auf, die EU-Vorgaben zur zweiten Stufe der Biometriepässe nicht umzusetzen. Andernfalls sieht er "ein Notwehrrecht der einzelnen Bürger."

Auf Sicherheitsrisiken verwies auch Lukas Grunwald von der Firma DN Systems Enterprise Internet Solutions aus Hildesheim. Ihm zufolge ist die Anforderung im Regierungsentwurf, wonach die gespeicherten Daten gegen unbefugtes Auslesen, Verändern und Löschen zu sichern sind, angesichts der vorgegebenen Schutzbestimmungen nicht zu erfüllen. So bestehe etwa neben der vergleichsweise einfachen Auslesbarkeit der Passdaten im jetzigen Stadium die Möglichkeit, Schadsoftware in die Inspektionssysteme einzuschleusen. Zudem sei auch der erweitere Sicherheitsmechanismus zum Schutz der Fingerabdrücke durch die Extended Access Control (EAC) riskant aufgrund von Lücken bei der Zeitstempelung auf dem RFID-Chip, die Kontrolleure gleichsam größtenteils blind gegenüber der Zertifizierung mache. Darüber hinaus reiche die Verschlüsselung des Transportwegs der biometrischen Daten zum Passproduzenten in Form der Bundesdruckerei nicht aus. Das Sicherheitsniveau in den Bürgerbüros, wo Standard-PCs im Einsatz seien, müsste vielmehr insgesamt deutlich angehoben werden.

Neue Proteste kamen auch von Datenschützern. Sönke Hilbrans von der Deutschen Vereinigung für Datenschutz (DVD) zweifelte die Sinnhaftigkeit biometrischer Daten in Ausweisdokumenten insgesamt an, da die deutschen Pässe schon "Spitzenprodukte" seien. Ausgeschlossen bleiben müsse auf alle Fälle die Umwandlung der Pass- in Auskunftsregister. Schon heute sei die Abfrage von Lichtbildern in der polizeilichen Praxis eine Standardmaßnahme, bemängelte Hilbrans. Mit einer Implementierung eines automatischen Abrufsverfahren leiste das Gesetz dieser Zweckentfremdung aber weiter "erheblichen Vorschub". Es handle sich bei einer solchen "Vorratsdatenspeicherung" um "einen von vielen kleinen Schritten in eine Gesellschaftsordnung, die alltägliche Spuren für die Strafverfolgung zugänglich macht".

Für den Bundesdatenschutzbeauftragten Peter Schaar entstünde mit der Vernetzung der Passregister eine "virtuelle umfassende Datei", die einer zentralen Vorhaltung der sensiblen biometrischen Merkmale gleich käme. Dabei würden Zusatzinformationen parat gehalten, die etwa zur Selektion Farbiger oder von Menschen mit bestimmten Gesichtszügen genutzt werden könnten. Elektronischen Übermittlungen biometrischer Daten im Rahmen "aktiver Übermittlungsverfahren" der Meldebehörden selbst per "gesicherter E-Mail" ohne externe, insgesamt kaum ausreichend abzusichernde neue Zugangsschnittstellen wollte sich Schaar aber nicht entgegenstellen.

Viele der bei der Anhörung beschworenen Missbrauchsszenarien tat Ziercke als "realitätsferne Versuchsanordnungen" ab, um Ängste der Bevölkerung zu schüren. Für die mutwillige Verschleierung von Straftaten durch falsche Fingerabdrücke etwa gebe es "überhaupt keine Beweise." Gerhard Schabhüser, Abteilungsleiter Kryptographie im Bundesamt für Sicherheit in der Informationstechnik (BSI), versicherte den Abgeordneten, dass ihm ein "Klonen" der E-Pässe und der darauf gespeicherten Daten bislang nicht ernsthaft untergekommen sei. Das Auslesen der Fingerabdrücke im Ausland stehe auch immer "unter deutscher Kontrolle". Mit den eingesetzten Verschlüsselungsverfahren könne man "20 bis 30 Jahre leben". Auch das Sicherheitsniveau der Chips sei hoch.

Grunwald gab den verwendeten Funketiketten nach Labortests dagegen eine Haltbarkeit von "vier bis fünf Jahren". Christoph Busch vom Fraunhofer Institut für graphische Datenverarbeitung gab zu bedenken, dass die biometrischen Merkmale für Kontrollfunktionen vermutlich nur fünf Jahre verwendet werden könnten. Gültig soll der E-Pass aber zehn Jahre sein. Generell begrüßte Busch jedoch, dass mit der Pilotanwendung die Biometrie für "andere, positiv belegte Kontrollschritte ein schon eingeführtes Verfahren" werde. Er sprach sich dafür aus, biometrische Daten in Personalausweisen auch für "nicht-hoheitliche Anwendungsbereiche" optional zuzulassen. Insgesamt hat die Bundesdruckerei laut Schabhüser eine Gewährleistungspflicht für die Haltbarkeit der Pässe übernommen. "10.000 Biegungen sollen durchgeführt worden sein", ergänzte Ziercke. Die Dokumente könnten als "relativ knick- und knacksicher" gelten.

Im Regierungsentwurf (PDF-Datei) zur Änderung des Passgesetzes ist vorgesehen, einen Online-Abruf von Lichtbildern durch die Polizei- und Bußgeldbehörden bei Ordnungswidrigkeitenverfahren im Straßenverkehr zuzulassen. Diese Bestimmung stieß bei der 1. Lesung des Gesetzesvorstoßes auf wenig Gegenliebe bei der SPD-Fraktion und der Opposition. Pläne von Bundesinnenminister Wolfgang Schäuble (CDU) und der Union gehen aber deutlich weiter. Demnach soll sich der automatische Zugriff durch die Polizei auch auf die neu zu erhebenden Fingerabdrücke erstrecken und bei allen Passdaten zur Straftatenverfolgung und Gefahrenabwehr möglich sein. Dies hatte zuvor der Bundesrat gefordert.

Die Bundesregierung sprach sich in Folge für die "Kompromissformel" aus, dass "im Falle der Übermittlung von Lichtbildern an die Polizei- und Ordnungsbehörden im Rahmen der Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten" der Abruf des digitalen Fotos "im automatisierten Verfahren erfolgen kann". Nach einem heutigen Koalitionsgespräch zur inneren Sicherheit lehnte ein SPD-Sprecher es strikt ab, auch Fingerabdruckdaten bei den Meldebehörden zu speichern und einen umfassenden Zugriff darauf zu erlauben. An einer gemeinsamen Linie mit der Union werde aber gearbeitet.

Zum ePass und den Auseinandersetzungen um Ausweise mit digitalisierten biometrischen Merkmalen siehe den Online-Artikel in c't – Hintergrund:

(Stefan Krempl) / (Stefan Krempl) / (pmz)

Anzeige