Elektronischer Fingerabdruck Experten warnen vor Biometrie-Pass

Ein knackbarer Kopierschutz, massenhaft Missbrauchs-Möglichkeiten - und eine Technik, die weit hinter den Versprechen zurückbleibt: Experten lassen wenig Gutes am neuen Biometrie-Pass. Bei der Anhörung heute im Bundestag warnen sie vor dem elektronischen Fingerabdruck.

Berlin - Drei Haare nebeneinander: So dick ist der Chip, der Deutschland den sichersten Pass der Welt bringen soll - indem er die Fingerabdrücke seiner Besitzer speichert. Das ist die offizielle Lesart. Ihr aber folgt nur eine Minderheit der Sachverständigen, die heute im Innenausschuss ihre Meinung zum Thema sagen.

Anlass der öffentlichen Anhörung: Die Bundestags-Abgeordneten sollen Einschätzungen von Experten zum neuen Passgesetz und zur Sicherheit der geplanten digitalen Fingerabdrücke im Pass bekommen.

Der geplante Gesetzentwurf verlangt, diese Daten gegen unbefugtes "Auslesen, Verändern und Löschen zu sichern". Dass die geplante Sicherheitsarchitektur dieses Ziel allerdings nicht erfüllt, hat der Hildesheimer Sicherheits-Experte Lukas Grunwald schon im vorigen Jahr demonstriert. Er hat den Chip eines E-Passes ausgelesen und kopiert. In den schriftlichen Stellungnahmen für die heutige Anhörung, die SPIEGEL ONLINE vorliegen, gehen die Experten des Bundeskriminalamts (BKA) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nicht auf diese Tatsache ein.

Tatsächlich könnten Kriminelle, wie der Sachverständige Christoph Busch vom Fraunhofer-Institut für Graphische Datenverarbeitung in Darmstadt argumentieren, mit so einer 1:1-Kopie wenig anfangen. Schließlich sei das keine gefälschte, sondern lediglich eine duplizierte Identität. Benutzen könne die nur der wirkliche Passinhaber.

Geklonte Pässe als trojanische Pferde

Doch das geht am Kern des Problems vorbei: Solch eine unerlaubte Kopie dürfte überhaupt nicht möglich sein. Gisela Piltz, innenpolitische Sprecherin der FDP-Bundestagsfraktion: "BSI und BKA haben vor Monaten versichert, die E-Pässe seien nicht unerlaubt auslesbar. Dann hat jemand sie ausgelesen. Heute versichern die Experten, man könne mit so ausgelesenen Daten nichts Gefährliches anfangen."

Die perfekte Fälschung eines E-Passes halten auch biometriekritische Experten für unwahrscheinlich. Aber ein geklonter Chip ließe sich als trojanisches Pferd nutzen, um Code in das Pass-Prüfprogramm einzuschmuggeln.

Mögliche Folgen: Das System stürzt ab, der Reiseverkehr ist gelähmt. Oder der eingeschmuggelte Code verändert die Software. Grunwald: "Was man klonen kann, kann man bald manipulieren."

Verschlüsselung nicht nachrüstbar

Zehn Jahre lang sollen die E-Pässe laut Gesetzentwurf gültig sein. Das bedeutet, dass das System nach IT-Maßstäben eine halbe Ewigkeit lang unknackbar bleiben muss. Denn das Schutzsystem ist in einem entscheidenden Punkt nicht nachrüstbar: Die Lesegeräte müssen sich gegenüber dem Biometrie-Chip des Passes mit einem digitalen Schlüssel ausweisen, um Fingerabdrücke auszulesen. Mit heutigen Rechenkapazitäten ist dieser Schlüssel kaum knackbar, das bestätigen alle Experten. Aber was geschieht, wenn das in sieben, acht Jahren gelingt? Oder wenn der Schlüssel vorher gestohlen, verkauft oder auf andere Art unsicher wird?

Um in solch einem Fall zu regieren, kann man bei allen heute gängigen Verschlüsselungssystemen einen Schlüssel nachträglich zurückziehen. Anders beim biometrischen Pass.

Sicherheitsexperte Grunwald: "Der Pass kann nicht feststellen, ob ein Schlüssel noch gültig ist. Die Absurdität dieser Idee muss man sich so vorstellen: Ein Fahrkartenkontrolleur prüft die Gültigkeit der Tickets. Er weiß nicht, welcher Tag oder welche Uhrzeit es ist - dafür aber, wann das Ticket zuletzt geprüft wurde."

Mögliche Folgen: Unerlaubt und unbemerkt ziehen Kriminelle Fingerbilder von Pässen, legen Datenbanken für Fingerbildattrappen an.

Expertenurteil: Datenschutz und Haltbarkeit - ungenügend

Solche Angriffe sind nicht das einzige Missbrauchsszenario. Ein anderes, einfacheres: Deutschland wird laut Gesetzentwurf anderen Staaten die zum Auslesen der biometrischen Daten nötigen Schlüssel weitergeben. Danach können die deutschen Behörden nicht mehr kontrollieren, welche Daten diese Staaten tatsächlich auslesen, ob sie sie speichern, wie sie sie nutzen und schützen. Peter Schaar, Bundesbeauftragter für den Datenschutz, kritisiert im Gespräch mit SPIEGEL ONLINE: "Diese Daten könnten also in Personendatenbanken einfließen."

Biometrie-Kritiker haben reichlich Missbrauchsszenarien für den Fall entworfen, dass Fingerabdrücke unerlaubt ausgelesen werden. Der Chaos Computer Club hat demonstriert, wie einfach es ist, aus digitalen Fingerabdrücken Attrappen zu bauen und falsche Fingerabdrücke zu hinterlassen. Andreas Pfitzmann, Informatikprofessor an der Technischen Universität Dresden, nennt deshalb Fingerabdrücke in Pässen "völlig unsinnig". Sie machten die Ausweise zwar schwerer zu fälschen, allerdings nicht absolut sicher.

Wie lang halten die Chips?

Es gibt auch viel banalere Zweifel am Biometrie-Pass. Halten die Chips überhaupt zehn Jahre lang durch? Manche Experten zweifeln. In seiner schriftlichen Einschätzung beurteilt Experte Busch vom Fraunhofer-Institut das Problem der Chip-Haltbarkeit als "möglicherweise kritisch". Empfehlung: "Wenn die Statistik zu Chip-Lesefehlern an der Grenzkontrolle eine in der Praxis niedrigere Chip-Lebensdauer zeigen sollte, müsste die Gültigkeit auf fünf Jahre angepasst werden können."

Im Klartext: Die Einführung der Pässe ist zugleich der erste große Feldversuch dieser Technik.

Ähnlich skeptisch sehen Experten das Vorhaben, nur die Fingerabdrücke der beiden Zeigefinger in die Pässe aufzunehmen. Zwei aktuelle Rechnungshof-Untersuchungen von US-Projekten nennen das Zwei-Finger-Verfahren ungenügend. Der Abgleich der zwei Zeigefinger mit der FBI-Fingerabdruck-Datenbank Avis habe nicht den erhofften Sicherheitsgewinn erbracht. Empfehlung: Künftig sollen Grenzkontrollstellen von Ausländern alle zehn Finger gerollt aufnehmen. Unbeirrt davon setzt die Bundesregierung das Zwei-Finger-System nach EU-Vorgaben um.

Automatisierung unwahrscheinlich

Eine Studie des Büros für Technikfolgenabschätzung erwartet einmalig 614 Millionen Euro Kosten - und dann 332 Millionen in jedem Einsatzjahr des Systems.

Da fällt unangenehm auf, dass heute niemand mehr von Einsparungen durch automatisierte Grenzkontrollen mittels Kamera und Fingerabdruckscanner spricht. Einen der Gründe beschreibt Experte Busch vom Fraunhofer-Institut für Graphische Datenverarbeitung Darmstadt in seiner schriftlichen Einschätzung für den Innenausschuss. Die Treffsicherheit einer Identifikation per Fingerabdruck sinke in "möglicherweise kritischem" Ausmaß, weil drei bis elf Prozent der Bevölkerung wegen handwerklicher Tätigkeit oder zunehmenden Hautkrankheiten keine Fingerbilder in ausreichender Qualität liefern können.

Außerdem sei zu erwarten, dass eine automatische biometrische Gesichtsbild-Erkennung beim Prüfen älterer Passbilder "keinen guten Vergleichswert liefern wird". Man weiß nur: "Gesicherte Erkenntnisse oder diesbezügliche Statistiken liegen noch nicht vor."

Und die genutzten RFID-Chips brechen mit noch einem Versprechen. Angeblich sollten sie die Passkontrolle beschleunigen, weil sie drahtlos auslesbar sind. Davon spricht heute niemand mehr. In seiner schriftlichen Einschätzung urteilt Busch vom Fraunhofer-Institut: "Im Allgemeinen ist für die Grenzkontrolle an den EU-Außengrenzen von einer Zunahme der Transaktionszeit auszugehen."