Am 1. November 2005 ist es so weit: Die von diesem Zeitpunkt an ausgegebenen Reisepässe in Deutschland werden einen Funkchip (Radio Frequency Identification = RFID) enthalten, auf dem zusätzlich zu den bisherigen Passdaten auch ein digitales Foto gespeichert ist. Ab März 2007 sollen in den "ePässen" dann auch die digitalisierten Merkmale von zwei Fingerabdrücken dazukommen.

Alles begann nach dem 11. September 2001. Der Terroranschlag auf das World Trade Center in New York veranlasste Regierungen und Parlamente in aller Welt, neue Sicherheitsgesetze zu entwerfen. Das hierzulande im Januar 2002 in Kraft getretene Terrorismusbekämpfungsgesetz (TBG) sieht die Aufnahme der biometrischen Merkmale von Fingern, Händen oder Gesicht in Pässe und Personalausweise vor.

Fast drei Jahre später regelte der Europäische Rat in der Verordnung 2252/2004 vom 13. Dezember 2004 auch europaweit die Einführung eines neuen EU-Reiseasses mit biometrischen Daten des Inhabers. Spätestens Ende August 2006 werden demnach die rund 450 Millionen EU-Bürger, sofern sie einen Neuantrag stellen, einen ePass mit integriertem RFID-Chip im oberen Umschlagdeckel erhalten. Darauf wird zunächst ein Passfoto ("Gesichtsbild") des Besitzers digital im JPEG-Format gespeichert. Bis spätestens Januar 2008 sollen laut der Verordnung digitalisierte Fingerabdrücke dazukommen.

Deutschland ist also wesentlich früher dran als die EU-Nachbarn. Schily entspricht damit Forderungen der Vereinigten Staaten, die auf allen ab dem 26. Oktober 2005 ausgestellten Reisepässen biometrische Daten sehen wollen. Nur für Inhaber solcher Pässe sei von diesem Zeitpunkt an weiterhin eine Einreise ohne Visum möglich, hieß es. Die Frist, von der 27 Länder - darunter 15 EU-Staaten des "Visa Waiver Program" - betroffen sind, wurde inzwischen um ein Jahr verlängert.

Photo-Shooting an der Grenze

Für Schily ist die Sicherheit von Reisedokumenten "ein Aspekt der Terrorbekämpfung". Durch die biometrischen Merkmale werde die Fälschungssicherheit des Reisepasses erhöht, die Bindung zwischen Person und Pass gestärkt und die Überprüfung der Identität erleichtert und beschleunigt. An den Grenzen sollen künftig mit einer Kamera Bilder von der reisenden Person gemacht und mit den auf dem Chip des ePasses gespeicherten Bilddaten verglichen werden. Stimmen sie überein, kann der Inhaber einreisen, wenn nicht, werden weitere Überprüfungen vorgenommen.

Deutsche Datenschützer von Bund und Ländern warnen vor der Einführung des neuen Passes. Sie fordern ein umfassendes Datenschutz- und IT-Sicherheitskonzept zur Wahrung des Rechts auf informationelle Selbstbestimmung sowie Regelungen im Passgesetz zur strikten Zweckbindung der Daten. Anfang Juni 2005 erklärte die Konferenz der Datenschutzbeauftragten, dass die technische Reife, der Datenschutz und die technische sowie organisatorische Sicherheit der vorgesehenen Verfahren noch nicht in ausreichendem Maße gegeben seien. "Noch immer weisen manche biometrischen Identifikationsverfahren hohe Falscherkennungsraten auf und sind oft mit einfachsten Mitteln zu überwinden", lautet ihr zentrales Argument.

Mehr Transparenz gefordert

Auch der Bundesbeauftragte für den Datenschutz, Peter Schaar, legte sich mit dem Innenminister an. "Die Frage ist, wie viel mehr Sicherheit bringt der Pass? Die Argumente sind nicht wirklich überzeugend", sagt Schaar. Er wünsche sich mehr Transparenz und weniger Zeitdruck: "Die Informationen zu wissenschaftlichen Untersuchungen, die wir bisher bekommen haben, sind spärlich." Der oberste Datenschützer verlangt eine stärkere Diskussion über Vorteile und Risiken. "Die Öffentlichkeit hat einen Anspruch auf eine ausführliche Debatte des Gesamtkonzepts."

Schaar hat grundsätzliche Vorbehalte: "Biometrische Merkmale helfen nur, die Übereinstimmung von Pass und Passinhaber festzustellen. Wenn aber schon die Identität erschlichen ist, erzeugt ein biometrischer Pass nur eine scheinbare Sicherheit."

Pass wird teuer

Die SPD-Politikerin Ulla Burchardt, stellvertretende Vorsitzende des Ausschusses für Bildung, Forschung und Technikfolgenabschätzung, sekundiert: "Mehr Sicherheit gibt es durch die Biometriepässe jedenfalls nicht. Oder verraten etwa ein digitales Foto und Fingerabdrücke im Pass etwas über die Absichten des Passinhabers?"

Wie hoch die Kosten für die Umstellung insgesamt sind, ist unklar. Das Innenministerium will sich dazu nicht äußern. Fest steht bisher: Erwachsene müssen statt bisher 26 Euro für den zehn Jahre gültigen Pass künftig 59 Euro bezahlen; die Pässe für Jugendliche mit fünfjähriger Geltungsdauer kosten in Zukunft 37,50 Euro. Im Bundeshaushalt 2005 sei bislang nicht ein Euro für die biometrischen Reisepässe eingestellt, etwa für die benötigte Hard- und Software in den rund 6500 Passbehörden oder für Lesegeräte an den Grenzkontrollstellen, kritisieren Burchardt und der bildungs- und forschungspolitische Sprecher der SPD-Bundestagsfraktion Jörg Tauss.

Die beiden SPD-Politiker bemängeln ebenfalls die fehlende Beteiligung des Bundestages: "Sollten die neuen Reisepässe tatsächlich bereits im November 2005 ausgegeben werden, geschähe dies faktisch ohne Parlamentsbeteiligung." Laut Passgesetz, so argumentiert das Innenministerium, bestimmt der Innenminister durch Rechtsverordnung und mit Zustimmung des Bundesrats, wie der Pass auszusehen hat. Schily: "In den kommenden Monaten werden wir die deutsche Passverordnung an das neue EU-Recht anpassen und die Einführung des ePasses rechtlich verankern. Daneben wird eine Änderung des Passgesetzes vorbereitet, um die Bedingungen für das Auslesen der biometrischen Dokumente zu schaffen." Den Segen des Bundesrats erhielt Schily am 8. Juli.

Kritik an der RFID-Technik

Mit der Verwendung der RFID-Chips und der Speicherung des Gesichtbildes setzen die EU-Länder die Empfehlungen der Internationalen Zivil-Luftfahrtorganisation Icao (International Civil Aviation Organization) um, einer Unterabteilung der Vereinten Nationen. Sie ist zuständig für die internationale Harmonisierung des Ausweis- und Passwesens und hat die weltweit gültigen Spezifikationen für erhöhte Sicherheit bei Reisedokumenten erarbeitet.

Die kontaktlos auslesbare RFID-Technik steht im Mittelpunkt der Kritik. Schaar: "Es gibt andere Verfahren, die datenschutzrechtlich nicht so bedenklich sind." Die Verantwortlichen argumentieren, dass der per Funk auslesbare Chip haltbarer sei als eine herkömmliche Chipkarte. Schließlich müssen die Pässe eine Geltungsdauer von zehn Jahren überstehen. Zudem passe das Dokument nicht in herkömmliche Chipkartenlesegeräte.

Die bei den ePässen verwendeten Proximity-Chips können laut Spezifikation zwar nur in einer Reichweite von rund zehn Zentimetern ausgelesen werden. Durch Spezialaufbauten mit gerichteten Antennen, Verstärkern und Fehlerkorrektursystem bestehe jedoch theoretisch die Gefahr, dass die Kommunikation noch in einem Abstand von zehn Metern ausgespäht werden könne, sagen Experten.

Keine zentrale Speicherung

Um zu verhindern, dass jemand während einer Kontrolle versucht, die zwischen Pass und Lesegerät ausgetauschten Daten abzugreifen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Techniken bestanden, die sicherstellen, dass nur derjenige, der tatsächlich im Besitz des Ausweises ist, ihn auch digital lesen kann. Damit sollen die Daten - wie bisher - nur mit Einwilligung des Inhabers ausgelesen werden können, nämlich dann, wenn dieser bei der Kontrolle den Grenzbeamten den Pass übergibt.

Der optionale Schutz in der Spezifikation, Basic Access Control genannt, bildet den Vorgang der bisherigen Passkontrolle nach. Seit der Einführung des maschinenlesbaren Passes sind verschiedene Merkmale wie Namen, Geburtstag und Geschlecht in der Machine Readable Zone (MRZ) abgelegt. Bevor das Lesegerät die Daten auf dem Chip auslesen darf, muss es sich ihm gegenüber zunächst authentifizieren. Den dafür benötigten Schlüssel muss es aus den Daten Passnummer, Geburtsdatum und Ablaufdatum des Passes in der MRZ berechnen. Das bedeutet: Nur wenn das Lesegerät mit dem Pass auch optischen Kontakt hat, kann es die MRZ und damit die Daten auf dem Chip auslesen. Zum weiteren Schutz werden die zwischen Chip und Lesegerät ausgetauschten Daten verschlüsselt. Der zertifizierte Sicherheitschip ist mit einem kryptografischen Koprozessor ausgestattet.

Die auf dem Chip gespeicherten biometrischen Daten seien nach der Herstellung des Passes durch die digitale Signatur vor Manipulationen sicher, sagt der Bundesinnenminister. Er verspricht die konsequente Einhaltung des Datenschutzes. Und ganz wichtig: Eine Speicherung der biometrischen Daten in einer Zentraldatei werde es nicht geben. Sie wäre in Deutschland eindeutig unzulässig.

Wenn ab März 2007 auf dem Chip im deutschen Pass zusätzlich die Fingerabdrücke gespeichert werden, sollen die Daten mit Hilfe der BSI-Spezifikation Extended Access Control mit einem neuen, stärkeren Sitzungsschlüssel besonders vor Missbrauch geschützt werden. Durch dieses zusätzliche kryptografische Protokoll könne der Zugriff auf deutsche Pässe nur mittels von Deutschland dazu autorisierten Lesesystemen erfolgen. Denn das Lesegerät benötigt für den Zugriff ein elektronisches Zertifikat des Landes, das den Reisepass ausgestellt hat.

Impuls für die Wirtschaft

Die Einführung der biometrischen Verfahren sei laut Innenminister Schily auch für Deutschland als Wirtschaftsstandort wichtig. "Wir zeigen, dass Deutschland das Know-how und die Innovationskraft hat, um im jungen Sektor Biometrie Standards zu setzen", erklärte er bei der Vorstellung des ePasses. Die Bundesdruckerei in Berlin wird - wie bisher - die Reisepässe produzieren und als Generalunternehmer die Infrastruktur bereitstellen. Die Inlays, die aus dem Chip mit Speicher, dem Chipmodul und der Antenne für das kontaktlose Auslesen der Inhalte bestehen, liefern die Halbleiterhersteller Philips und Infineon. Die Mikroprozessoren verfügen über 72 Kilobyte beziehungsweise 64 Kilobyte Speicher. Laut Icao-Vorgaben sind rund 45 Kilobyte Speicher notwendig, um alle Informationen unterzubringen.

Das BSI hat im vergangenen Jahr den Auftrag zur Entwicklung einer prototypischen Software zum Lesen der ePässe erteilt. Herausgekommen ist das "Golden Reader Tool" (GRT). Entwickelt wurde es von Secunet Security Networks, außerdem daran beteiligt waren die Firmen CV Cryptovision, die Bundesdruckerei, Giesecke & Devrient und das Bundeskriminalamt. Derzeit, so die Fachleute, ist es das einzige Programm, das alle von der Icao vorgeschriebenen Sicherheitsanforderungen erfüllt.

Bis jedoch jeder Bürger in Deutschland einen neuen biometrischen Reisepass besitzt, wird es noch eine Weile dauern. Rund 24 Millionen Reisepässe, die üblicherweise zehn Jahre gültig sind, sind im Umlauf. Etwa zehn Prozent davon werden jährlich ausgetauscht oder neu ausgestellt. Erst 2017 wird also jeder Deutsche einen Pass mit digitalisierten Bild- und Fingerabdruckdaten besitzen. (hv)