Zur Zeit läuft eine riesige Diskussion über den biometrischen Pass. Leute die mich etwas besser kennen, wissen das ich sehr offen für den technischen Fortschritt bin, aber oft Sicherheitsbedenken habe. Die einen sagen auch ich sei Paranoid. Darum möchte möchte ich auch zu diesem Thema meinen Käse dazu beitragen.

In der laufenden Diskussion über den biometrischen Pass  werden meines Erachtens  Äpfel und Birnen vermischt, da es einerseits um den Chip mit Biometrischen Daten wie Fingerabdrücke und Gesichtsmerksmale, anderseits um das drahtlose Auslesen per RFID handelt.
Dass es schwierig ist einen Menschen anhand eines Fotos zu identifizieren verstehe ich.pass Darum finde ich die Idee zusätzlich Fingerabdrücke und Gesichtsmerkmale dazu zu gebrauchen nicht schlecht. Man wird ja schliesslich älter und färbt sich die Haare oder trägt farbige Kontaktlinsen. Die Daten sind als Hashwert im Pass gespeichert. D.h. die Daten von Foto und Fingerprint werden mit einem Hash-Algorithmus in einen vielfach kleineren Wert umgerechnet und ist nicht umkehrbar. Es ist also nicht möglich mit einem Algorithmus aus dem Hashwert den Fingerabdruck zurück zu berechnen. Einfach erklärt funktioniert eine Grenzkontrolle dann so: Man hält bei der Grenzkontrolle auf den Fingerabruckscanner und aus dem Fingerabdruck wird der Hash berrechnet, welcher dann mit dem Hashwert im Pass verglichen wird. Stimmt er überrein kann man die Grenze passieren. Dies war schon die letzten 100 Jahre der Fall, nur hat dafür ein Grenzbeamter von Auge das Gesicht mit dem Foto verglichen. Das ist die Idee vom biometrischen Pass. Dies zu den Äpfeln.
Nun zu den Birnen, dem eigendlichen Problem. Die Daten beim neuen biometrischen Pass werden drahtlos ausgelesen. Dies erfolg mittels eines sogenannten RFID-Chips. In der Regel erzeugt das Lesegerät ein elektromagnetisches Hochfrequenzfeld geringer Reichweite. Damit werden nicht nur Daten übertragen, sondern auch der Transponder mit Energie versorgt. Somit braucht der RFID-Chip bzw. der Pass keine Batterie. Die Reichweite dafür ist nicht sehr gross, wie weit dies funktioniert weiss ich nicht, offiziell wird von 10 cm gesprochen, mit dem richtigen Equipment geht das sicher auch über mehrere Meter. Das Problem ist nun, dass meine Daten jederzeit unbemerkt ausgelesen werden können, wenn ich den Pass mit mir rum trage. Dies ist soweit auch kein Problem, da derjenige der die Daten ausliesst nur meine Hashdaten meiner Köpermerkmale hat aber dadurch nicht weiss wer ich bin (Ich gehe davon aus, dass der Name nicht in Cleartext drahtlos ausgelesen werden kann). Wenn ich aber nun meinen Namen angeben muss, z.B. am CheckIn in einem Hotel und von mir unbemerkt die Daten aus dem Pass ausgelesen werden, kann dies in einer Datenbank gespeichert werden. Dies ist meinerMeinung nach in zwei Ansichten problematisch. Einerseits regelt das schweizer Datenschutzgesetz, dass nur Daten von mir gespeichert werden dürfen wenn ich davon Kenntinns habe. Dieses Gesetz gilt aber nur in der Schweiz und dort brauche ich meinen Pass sowieso nicht. Anderseits kann nun das Hotelpersonal jederzeit verfolgen wo ich mich im Hotel gerade aufhalte. Werden die Daten vom Hotel an andere weitergegeben bzw. weiterverkauft wissen auch diese wer ich bin und wo ich war. Ich werde also gläsern, denn wenn noch mehr Daten zur Datenbank dazugespeichert werden wie Kreditkartennummer, Handynummer, Cumuluskarte, Facebookloginl, Autokennzeichen etc. wird die Sache erst richtig Interessant.
Ich habe also keine Kontrolle wann und von wem mein Chip ausgelesen wird. Die einzige Möglichkeit die ich Habe, ist den Pass in eine Aluhülle zu stecken, das kanns ja nicht sein. Man müsste den Chip deaktivieren können, z.B mit einem kleinen Schaler. Dies ist technisch machbar. Wie die Computerwoche berichtet, hat die britische Firma Peratech ein Material mit dem Star Trek tauglichen Namen Quantum Tunnelling Composite (QTC) entwickelt, mit dem sich RFID-Chips ein- und ausschalten lassen (eigentlich nur einschalten, ausschalten läuft automatisch). Die Idee: der Chip im Ausweis, der Bezahlkarte o.ä. ist grundsätzlich ausgeschaltet. Ein sanfter Druck auf den Minischalter aktiviert den Chip. Nach einigen Minuten schaltet er sich dann automatisch wieder aus. Aber wieso um Himmels Willen müssen den die Pässe überhaupt drahtlos lesbar sein? Vielleicht können aber die Daten unserer Pässe auch dadurch geschützt werden, dass schlichtweg kein RFID-Chip eingebaut wird und wir, die Bürger, unseren Pass einfach in ein Lesegerät stecken. Das wäre doch mal ein revolutionäres Konzept, oder?
Ich finde es übrigens auch falsch, dass man den Leuten Angst macht, sie können ohne biometrischen Pass nur noch mit Visum nach Amerika einreisen. Wo liegt das Problem? Die paar wenigen die dies betrifft, müssen dann halt ein Visum beantragen. Ich glaube die USA kann um jeden Touristen froh sein, der bereit ist in Amerika Geld auszugeben. Das Problem ist eher, dass manchmal nicht ganz klar ist wo der Unterschied von Tourist und Terrorist liegt. Ansonsten gibt es auch noch genügend andere schöne Länder zu bereisen, wie hier auf meinem Blog berichtet.

weiterführende Links um sich eine eigene Meinung zum biometrischen Pass zu bilden:

  • Share/Bookmark