Menü
Security

24C3: Gravierende Probleme beim Erfassen von Fingerabdrücken für den ePass

Von
vorlesen Drucken Kommentare lesen 185 Beiträge

Die Probleme beim Erfassen von Fingerabdrücken für die zweite Generation des biometrischen Reisepasses sind offenbar größer als selbst von Skeptikern erwartet. Zum einen würde die seit dem 1. November laufende Abnahme der hochsensiblen biometrischen Merkmale nicht durchschnittlich 2,5 Minuten dauern, wie die Bundesdruckerei GmbH behauptet habe, sagte Constanze Kurz vom Chaos Computer Club (CCC) am gestrigen Samstag auf dem 24. Chaos Communication Congress (24C3) in Berlin. Eine Mitarbeiterin des Einwohnermeldeamtes Norderstedt beispielsweise habe im Einklang mit zahlreichen weiteren Sachbearbeitern in anderen Städten angegeben, dass die Prozedur "mindestens zehn Minuten" benötige.

Zum anderen bezeugte die Verwaltungsangestellte laut Kurz auch, dass es teils schon bei 40- oder 50-jährigen kaum oder gar nicht mehr möglich sei, überhaupt ein computerlesbares Abbild der Minutien auf einem der acht in Frage kommenden Finger zu erstellen. Bei noch älteren Personen werde die Sache "noch schwieriger". Die Probleme würden damit "über die Hälfte der Bevölkerung treffen", beklagte der Hacker starbug. "Das ist inakzeptabel." Gerechnet hätten die Biometrie-Experten beim CCC, der Mitte Oktober vor Risiken und Nebenwirkungen des neuen ePasses warnte, auf Basis internationaler und deutscher Studien mit schwer oder nicht erfassbaren Fingerabdrücken bei zehn Prozent der Senioren.

Laut starbug sind die Anforderungen an die zu erhebenden biometrischen Merkmale dabei schon sehr weit nach unten geschraubt worden. In den konkreten Handlungsanweisungen in Anhängen der Passverordnung sei nachzulesen, dass letztlich der Abdruck mit der besten Musterung ausgewählt werden solle, wenn die eigentliche Qualitätsgrenze unterschritten sei. "Es gibt faktisch keinen festgelegten Grenzwert", folgerte der Hacker aus dieser Ansage. Die Qualitätsanforderungen an das System seien daher "null und nichtig". Wenn der Abdruck gar nicht gehe, müsse man letztlich in der Scan-Software für die nach FBI-Vorgaben mit 500 dpi Auflösung arbeitenden Lesegeräte den Knopf "Keine Hand" drücken, heißt es zu dem heiklen Thema in den Meldestellen. Dies sei eine "unglückliche Lösung".

Die Hacker wollen das "harte Leben" der Sachbearbeiter in den Meldeämtern nun ein wenig vergnüglicher gestalten, gab Kurz als Parole aus. So sollten die Bastler den Sensoren und den damit verknüpften Bildschirmen doch zumindest mehr "interessante Bilder" zeigen, sagte sie mit Verweis auf Fotos von Fingerkuppen, die mit dem CCC-Logo in Form einer "Datenschleuder" sowie einem Knoten verziert waren. Die nicht im Computer bearbeiteten Aufnahmen würden von einem Elektroniker stammen, erläuterte starbug. "Ich hab viel Hornhaut auf den Finger, da tut es nicht weh, wenn ich mit Lötkolben drauf rumtatsche", zitierte er den Frickler. "Ihr seid kreativ, lasst euch was Ähnliches einfallen", ermunterte Kurz die amüsierte Hackergemeinde unter dem Motto "Spaß im Meldeamt" zum zivilen Ungehorsam. Es müsse ja nicht gleich eine Selbstverstümmelung im Spiel sein, um die Fingerabdrücke "etwas zu verunstalten".

Letztlich müsse sich der Widerstand gegen das laufende Experiment zur "biometrischen Vollerfassung der Bevölkerung" aber auf den Rechtsweg konzentrieren, sagte Constanze Kurz. Es sei in letzter Instanz über das Bundesverfassungsgericht zu klären, ob die quasi-erkennungsdienstliche Maßnahme verhältnismäßig und mit den Grundrechten in Einklang zu bringen sei. Die Informatikerin begrüßte daher, dass der Bochumer Rechtsanwalt Michael Schwarz Klage gegen die Erfassung von Fingerabdrücken zunächst bei dem für ihn zuständigen Verwaltungsgericht eingelegt hat. Diesem Beispiel sollten möglichst viele Betroffene folgen und die Klage so mit Nachdruck bis ans oberste deutsche Gericht tragen. "Wir spielen da gerne den Mittler", ergänzte starbug. "Wir wollen versuchen, das Ganze zu koordinieren, und werden uns auch selbst anschließen."

Als kleinen Coup präsentierten die beiden CCC-Mitglieder zum Abschluss ihrer Präsentation noch das Foto von einem Neuzugang für ihre Sammlung von Fingerabdrücken mehr oder weniger prominenter Politiker und anderer Personen des offenen Lebens. Als das Bild eines Weinglases mit dem deutlich sichtbaren biometrischen Merkmal an die Wand geworfen wurde, fiel es den Zuhörern nicht schwer, auf Bundesinnenminister Wolfgang Schäuble (CDU) als Urheber des Abdrucks zu tippen. Nicht ohne Stolz bejahten die zwei Hacker dies. Ziel des Sammelprojekts sei die stärkere "Überwachung der Überwacher", erklärte Kurz gegenüber heise online. Was mit Abbildern von Fingerabdrücken und etwas Alufolie, Holzleim und Klebeband alles bewerkstelligt werden kann, zeigt der CCC bereits seit langem auf den Hackerkongressen und inzwischen auch an den biometrischen Bezahlsystemen von Supermärkten. (Stefan Krempl) (Stefan Krempl) / (odi)