Seite ausdrucken
Bald keine Grenzbeamten mehr?
- Dunkelgrün gekennzeichnete Länder arbeiten schon mit dem E-Pass, die hellgrünen in näherer Zukunft. (Foto: commons.wikimedia.org/ Alinor at en.wikipedia, CC by-sa 3.0)
European Circle: Herr Dr. Brauer, Sie entwerfen Mechanismen und Strategien, die garantieren sollen, dass hoheitliche Dokumente auf ihre Echtheit hin überprüft und eindeutig als authentisch verifiziert werden können. Der elektronische Reisepass, der 2005 in Deutschland eingeführt wurde, fällt also in ihr Aufgabengebiet?
Brauer: Mein Aufgabenspektrum umfasst unter anderem alle Identitätsdokumente und entsprechenden Vorläuferdokumente, die am Ende dann zum elektronischen Reisepass (E-Pass) führen. Ich bin daher z.B. Mitglied des sogenannten Artikel-6-Ausschusses der Europäischen Kommission, der sich mit verschiedenen Fragen der Dokumentsicherheit beschäftigt: Wie muss zum Beispiel eine einheitliche Visumsgestaltung für den Schengener Raum aussehen? Wie funktioniert der elektronische Reisepass in der Praxis? Neben dieser nationalen, EU-weiten und internationalen Zusammenarbeit bin ich für die Biometriestrategie der Bundesregierung zuständig. Gerade im Bereich des elektronischen Reisepasses arbeite ich daher eng mit der Internationalen Zivilluftfahrt-Organisation der Vereinten Nationen (ICAO) mit Sitz in Montreal zusammen.
European Circle: Was bedeutet der elektronische Reisepass für die Grenzsicherheit in Europa?
Brauer: Die Überlegung, biometrische Daten in Reisedokumenten zu speichern, gab es schon länger. Aber erst nach den Anschlägen vom 11. September 2001 einigten sich die EU-Staaten darauf, dieses Verfahren verstärkt voranzutreiben. Die Geschehnisse gaben dem Verfahren also eine gewisse Beschleunigung, waren aber nicht sein Auslöser. Der Vorteil der biometrische Datenspeicherung in Reisedokumenten liegt darin, dass mit Hilfe einer biometrischen Überprüfung sichergestellt werden kann, dass der Pass als Dokument auch wirklich der Person gehört, die ihn mit sich führt - und nicht bloß jemandem, der dem menschlichen Auge nach ähnlich aussieht. Desweiteren kann technisch überprüft werden, ob der Pass authentisch ist und wirklich aus dem Land kommt, in dem er ausgestellt worden ist. Das war früher in dieser Schärfe und Schnelligkeit nicht möglich. Die Dokumentensicherheit von Reisepässen ist durch die auf dem E-Pass gespeicherten biometrischen Daten auf eine höhere Stufe gehoben worden.
European Circle: Werden auch die Kontrollprozesse an den Grenzen durch den E-Pass verändert?
Brauer: Wenn Sie mit einem biometriegestützten Dokument an der Grenze ankommen, z.B. am Flughafen Frankfurt/Main, dann gibt es dort für EU-Bürger über 18 Jahre nun ein automatisiertes Gate. An diesem können Sie Ihren Pass auflegen und durch ein automatisiertes Verfahren prüfen lassen. Und wenn dann alles in Ordnung ist, dürfen Sie die Grenze passieren.
European Circle: Bedeutet das, dass wir bald keine Grenzschutzbeamten mehr brauchen? Dass wir mit dem Pass in der Tasche einfach an Maschinen vorbeilaufen, die die Daten auf dem E-Pass lesen und einen dann passieren lassen?
Brauer: Nein, nicht ganz. Das Verfahren wird schon noch verlangen, dass Sie den Pass aus der Tasche holen und auf ein Lesegerät auflegen müssen. Zuerst werden die physikalischen Sicherheitsmerkmale des Passes geprüft - zum Beispiel die Hologramme. In einem zweiten Schritt wird dann elektronisch ein Schlüssel generiert, durch den das Lesegerät auf den Chip im E-Pass zugreifen kann. Anschließend wird geprüft, ob die physikalische Personaldatenseite, sozusagen das Papierdokument, mit den elektronischen Daten im Chip selbst zusammenpasst. In einem dritten Schritt wird dann auch noch eine Signaturprüfung vollzogen, um zu verifizieren, dass der Pass authentisch vom Urheberland ausgestellt wurde. Zusätzlich wird dann noch das aktuelle Erscheinungsbild des Passbesitzers, das er sozusagen live als Person zur Grenze mitbringt, maschinell mit dem gespeicherten biometrischen Foto verglichen. Erst dann, wenn alles in Ordnung ist, öffnet sich die Tür. Das ist ein komplexer Vorgang, der in der Praxis aber relativ schnell geht. Ich selber habe mir das am Flughafen Frankfurt/Main angesehen und bin der Meinung, dass jeder mit ein wenig Übung diese neue Grenzkontrolle in etwa zehn bis fünfzehn Sekunden passieren kann. Allerdings brauchen wir, auch wenn die automatisierte Kontrolle gut funktioniert, weiterhin Grenzschutzbeamte. Diese überprüfen zum Beispiel die Personen, bei denen es Probleme gibt oder helfen denjenigen, die sich mit der neuen Technik noch nicht so gut auskennen. Abgesehen davon brauchen wir für die Kontrolle der Reisenden aus Drittländern, die einreisen wollen und die für die automatisierte Kontrolle noch nicht zugelassen ist, weiterhin die manuelle Kontrolle durch Grenzschutzbeamte.
European Circle: Soll es die automatisierten Grenzkontrollen, wie sie für die EU angedacht sind, irgendwann auch weltweit geben?
Brauer: In Europa haben alle Mitgliedstaaten der EU die Verpflichtung, elektronische Reisepässe auszugeben - was auch geschieht. Die maschinellen Grenzkontrollen in Frankfurt sind derzeit nur für EU-Bürger zugelassen. Aber es gibt natürlich auch Drittländer - wie unter anderem die USA, Kanada oder Australien - die zwar elektronische Reisepässe haben, deren Bürger jedoch noch nicht mit ihren elektronischen Pässen durch die automatisierte Kontrolle in Deutschland gehen können. Als Fernziel würde ich dies aber durchaus in Erwägung ziehen.
European Circle: In unterschiedlichen Staaten gibt es oft unterschiedliche technische Infrastrukturen. Wie schaffen Sie es, die internationale technische Umsetzbarkeit bei den E-Pass-Prüfverfahren zu gewährleisten?
Brauer: Hier kommen die Vorgaben der ICAO ins Spiel. Die ICAO setzt die Standards für elektronische Reisepässe, Visa und Identitätskarten. Die ICAO-Staaten – also fast alle Staaten dieser Erde - haben sich verpflichtet, diese Standards einzuhalten. Die EU hat diese Vorgaben sogar rechtsetzend übernommen. Das heißt, für Deutschland als EU-Land besteht nicht nur eine "moralische" Verpflichtung aus der ICAO-Mitgliedschaft, sondern auch eine rechtliche Verpflichtung aus der EU, die ICAO-Standards anzuwenden. Nur weil alle sich an die gleichen Standards halten müssen, ist es möglich, einen elektronischen Reisepass zum Beispiel aus Thailand genauso hier in Deutschland einzulesen wie dort - da alle Lesegeräte und Pässe die gleichen Standards verwenden. Auch die Authentifizierung der Dokumente wurde vereinfacht. Man braucht bestimmtes, kryptografisches Material, um insbesondere die Unversehrtheit der digitalen Signatur der Chipdaten festzustellen. Dafür wurde das sogenannte Public Key Directory (PKD) der ICAO eingerichtet. Dort sind Zertifikate zentral gespeichert, mit deren Hilfe es möglich ist, elektronische Reisepässe auf ihre Echtheit hin zu prüfen. Seit 2008 führe ich im PKD Board, welches das oberste Gremium für den Betrieb und die Kontrolle des PKD ist, den Vorsitz. Deswegen kann ich Ihnen versichern, dass das PKD Board sehr darum bemüht ist, dass nicht nur die Passausgabe und ‑ausstellung international konform mit den vorgegebenen Standards geschieht, sondern auch die Kontrolle. Am Ende soll Europa einen entscheidenden Vorteil von den elektronischen Reisepässen haben. Die genannten gemeinsamen internationalen Standards wurden übrigens in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik entwickelt.
European Circle: Das PKD ist also eine zentrale Stelle, bei der ein Land sich nach der Echtheit eines Passes eines anderen Landes erkundigen kann? Die Länder müssen nicht mehr untereinander kommunizieren?
Brauer: In der Tat: Wenn Land A sagt, meine Staatsangehörigen sollen bei der Grenzabfertigung in Land B erleichtert abgefertigt werden können, und Land A dafür den elektronischen Reisepass einsetzt, dann muss Land B natürlich in der Lage sein, den elektronischen Reisepass zu verifizieren. Dafür braucht Land B ein elektronisches Zertifikat von Land A, mit dem es die elektronische Signatur über den Chip-Inhalt prüfen kann. Das PKD garantiert, dass Land B nicht mit allen anderen ICAO-Staaten bilateral Zertifikate austauschen muss, um E-Pässe aus diesen Ländern zu verifizieren, sondern nur noch mit dem PKD als Zentrale. Heute haben wir bereits 26 PKD Teilnehmer, was etwa ein Viertel aller Staaten mit E-Pässen ausmacht.
- Dr. Eckart Brauer (Foto: brauer)
European Circle: Früher konnten Betrüger sich mit viel Mühe einen Reisepass zurechtbasteln und hoffen, dass die Fälschung nicht auffiel. Bei E-Pässen wird die Fälschung durch die elektronische Komponente erschwert, aber werden Fälschungsversuche dennoch unternommen?
Brauer: Natürlich werden auch Fälschungen von elektronischen Reisepässen angefertigt. Es wird zum Beispiel ein gestohlenes Blanko-Dokument illegal personalisiert, mit dem gewünschten Lichtbild. Der Original-Chip wird deaktiviert und ein neuer Chip eingeklebt, so dass es kaum zu sehen ist. Dann wird das neue Foto auf dem Chip gespeichert und die neuen Personalien, alles so wie benötigt. Bis dahin funktioniert der Coup. Aber: Es ist nicht möglich, die elektronische Signatur zu fälschen, die über das PKD geprüft wird. Sobald man diese überprüft, wird man feststellen, dass der Pass gefälscht ist. Deswegen wird in der Kontrolle so eine Chipfälschung sofort auffallen, auch wenn der Pass von seinen physikalischen Merkmalen erst einmal keinen Verdacht erweckt. Solche Fälle hatten wir schon an deutschen Grenzen. Deshalb ist es wichtig, diese Signaturkontrolle bis zur höchsten Wurzelinstanz des jeweiligen Landes durchzuführen. Der sogenannte "Sieht-Gleich-Aus-Betrug“ wird dadurch verhindert.
European Circle: Zusätzlich werden auch Fingerabdrücke auf dem E-Pass gespeichert, höchst sensibles Material.
Brauer: Das stimmt. Die Fingerabdrücke, die in den Pässen der EU-Mitgliedstaaten gespeichert werden, sind hoch sensitive, personenbezogene Daten und sind daher nicht von jedem Grenzbeamten per se auslesbar. Man braucht eine besondere Erlaubnis, d.h. ein besonderes Zertifikat, um auf die Fingerabdrücke zugreifen zu können. Wenn man das hat - und von deutschen Pässen hat dies noch niemand in der Welt - dann kann man zusätzlich zum Lichtbild auch über den Fingerabdruck prüfen, ob das Dokument tatsächlich zur Person passt. Dadurch wird es noch schwerer werden, sich mit einem falschen Pass auszustatten.
European Circle: Noch, sagen Sie, hat kein anderes Land Zugriff auf die in deutschen E-Pässen gespeicherten Fingerabdrücke. Wann wird sich das ändern?
Brauer: Die EU ist dabei, die Infrastruktur zu schaffen, damit die Mitgliedsstaaten gegenseitig die Zugriffe auf die Fingerabdrücke erlauben können. Das ist aber kompliziert: Die Schutzmechanismen sind komplex auf Grund der Sensitivität der Daten. Die Erlaubnis zum Lesen der Fingerabdrücke darf auch nur temporär erteilt werden, also auf einen relativ kurzen Zeitraum begrenzt. Und die Erlaubnis zum Lesen der Fingerabdrücke wird individuell pro Lesegerät erteilt. Deswegen ist die Anforderung an die Infrastruktur der Sicherheitszertifikate von Fingerabdrücken eine ganz andere und viel komplexer als bei der einfachen Signaturkontrolle des Reisepass-Chips mit dem PKD.
European Circle: Viele sprechen davon, dass der E-Pass EU-Bürger zu gläsernen Menschen macht. Wie sehen Sie das?
Brauer: Diese Auffassung teile ich nicht. Natürlich ist es immer eine Herausforderung mit Kritik umzugehen und den unterschiedlichen Bedürfnissen Rechnung zu tragen. Allerdings ist es auch notwendig dies zu tun, denn ohne die breite Akzeptanz wird man am Ende nichts erreichen. Die Kritik an den Verfahren des E-Passes zielt allerdings meist auf den Umstand an sich, dass überhaupt biometrische Daten gespeichert werden, und weniger auf eventuelle Sicherheitslücken. Man warnt abstrakt vor der Missbrauchsgefahr, was nicht falsch ist. Es ist aber meines Erachtens noch nie gelungen, eine elektronische Signatur zu fälschen oder einen Schutzmechanismus für die Speicherung von Fingerabdrücken zu knacken. Man muss immer sehr genau hinsehen, ob es wirklich stimmt, wenn wieder einmal berichtet wird, dass Sicherheitsmechanismen geknackt wurden.
European Circle: In welchen Bereichen sehen Sie beim E-Pass-Verfahren dennoch Verbesserungsbedarf?
Brauer: Die Aufrechterhaltung der Standardkonformität ist immer ein Thema. Bei jeder neuen Innovation muss man prüfen, ob man noch mit dem Rest der Welt kompatibel ist. Schaffen die anderen Länder es noch, bei Veränderungen mein Dokument auszulesen? Wie informiere ich alle, wenn etwas geändert wird? Ein zweiter Bereich ist die Teilnahme der Länder am PKD. Wir haben schon viele europäische Staaten, die sich beteiligen, aber es sind eben noch viele Staaten übrig, die ihre Teilnahme noch nicht bestätigt haben. Als Vorsitzender des PKD Boards arbeite ich daran, noch mehr Länder für die Teilnahme am PKD zu gewinnen – in der EU und international. Besonders wichtig wird in letzter Zeit aber vor allem das Thema Antragsdokumente für Pässe und Personalausweise. Mit der zunehmenden Fälschungssicherheit der Pässe verlagert sich der Druck der organisierten Kriminalität und des Terrorismus auf den Antragsweg. Wenn Sie sich den Antragsweg anschauen, dann wird Ihnen auffallen, dass die Dokumente, die Sie vorlegen müssen, um einen Pass zu bekommen, wesentlich weniger geschützt sind als der Pass selbst. Das Problem ist, dass die Absicherung hier nur schwer erhöht werden kann. Denn zum einen werden die Dokumente dezentral ausgestellt, wie zum Beispiel Geburtsurkunden oder Staatsangehörigkeitsurkunden. Zum anderen wäre es in Deutschland datenschutzrechtlich undenkbar, zentrale Register aufzustellen, in denen all diese Daten gespeichert sind. Daher muss man sich auf dezentrale Register und Plausibilitätsprüfungen als Absicherung verlassen. Die Verlagerung des Drucks der kriminellen Seite auf die Antragswege lässt so neue Probleme entstehen, auf nationaler, aber auch auf EU-Ebene. Hier muss gegengesteuert werden.
European Circle: Verraten Sie uns abschließend: Haben Sie persönlich schon einen elektronischen Reisepass?
Brauer: Ich habe einen Dienstpass, der ist selbstverständlich elektronisch. Privat habe ich noch meinen alten Reisepass. Aber ich habe kein Problem damit - wenn dieser dann abgelaufen ist - mir einen neuen, elektronischen Reisepass ausstellen zu lassen.
[JYT]
European Circle Report
