\section{Der ePass} \label{sec:epass} Der vor einiger Zeit in Deutschland eingeführte \emph{Elektronische Reisepass}, kurz \emph{ePass} ist die bislang größte, bekannteste und auch kontroverseste Biometrie-Anwendung in der Bundesrepublik. Deutschland ist jedoch nicht das einzige Land, welches elektronische Reisepässe einsetzt. Eine Pionierrolle spielte bei der Einführung von elektronischen Reisepässen Malaysia, wo elektronische Reisepässe zum ersten Mal eingeführt wurden und wo das System schon seit einigen Jahren eingesetzt wird \cite{24c3}. \begin{figure}[ht] \centering \includegraphics[width=.9\linewidth]{bmi-epass} \caption{Der RFID-Chip im ePass \cite{bmi-faq}} \label{fig:epass_chip} \end{figure} \subsection{Gründe für den ePass} \label{sec:epass_gründe} Der ePass ist wie viele andere Techniken dazu gedacht, administrative und strafrechtlichen Vorgänge zu vereinfachen. Zu den offiziellen Gründen des ePasses zählen laut \cite{22c3}: \begin{itemize} \item Biometrie als zusätzliches Sicherheitsmerkmal des Passes \item Bestätigung der Identität des Inhabers \item Grenzkontrolle durch Computer \item Unterstützung bei Personenfahndung \end{itemize} Besonders der letzte Punkt wird von den Befürwortern der ePässe als wichtigstes Argument genannt. Der ePass wurde als Konsequenz und zur Vorbeugung von Terroranschlägen in mehreren Phasen eingeführt: \begin{itemize} \item \textbf{2002}: Terrorismusbekämpfungsgesetz \item \textbf{2005}: Beschluss zur Einführung von Biometrie im Reisepass und entsprechende Änderung des Passgesetzes \item \textbf{2005}: Einführung der ePässe mit biometrischen Gesichtsbild \item \textbf{2007}: Einführung der ePässe mit Fingerabdrücken. \end{itemize} \subsection{Technik} \label{sec:epass_technik} Der deutsche ePass entspricht dem vorherigen Deutschen Reisepass, der bereits gut gegen Fälschungen gesichert war \cite{23c3}. Zusätzlich ist im ePass ein sogenannter RFID-Chip\footnote{Radio Frequency Identification} eingebaut, auf dem biometrische Merkmale des Besitzers gespeichert werden. RFID-Chips sind mit einer Antenne ausgerüstet und beziehen ihre zur Arbeit notwendige Energie per Funk. Über diese Antenne sind sie auch in der Lage zu senden. Das ermöglicht das kontaktfreie Auslesen der darauf gespeicherten Daten. Der im ePass eingesetzte Chip arbeitet auf einer Frequenz von 13,56~MHz und hat eine theoretische Reichweite von 10~Zentimeter, um das Auslesen nur aus der Nähe zu ermöglichen. Zusätzlich besitzt der Chip einen kryptografischen Coprozessor, welcher für die Verschlüsselung verwendet wird, sowie einen Zufallszahlengenerator. Letzterer ist notwendig, um die einzigartige ID-Nummer des Chips bei jedem Auslesen zu ändern \cite{22c3}. Andernfalls ist es mittels eines RFID-Empfängers möglich, die Position des Passes zu verfolgen und somit auch den Inhaber. Die Firma Flexilis zeigt anhand von US-Pässen, dass die Verwendung gleicher ID-Nummern sogar den Bau automatischer Schussanlagen möglich macht \cite{flexilis}. Die auf dem Chip gespeicherten Daten sind in verschiedene Datengruppen aufgeteilt; die wichtigsten sind: \begin{itemize} \item Datengruppe~1: Die Daten, die auch aufgedruckt sind, unter anderem Name, Staatsangehörigkeit, Pass-ID \item Datengruppe~2: Gesichtsbild \item Datengruppe~3: Fingerabdrücke \item Datengruppe~4: Irisbilder \end{itemize} Dabei waren die Datengruppen~1 und 2 bereits seit der Einführung des Passes verpflichtend, Gruppe~3 hingegen erst seit dem 1.~November~2007 \cite{24c3}. Die Daten werden mit Hilfe eines asymetrischen Verschlüsselungsverfahrens namens \emph{ECDSA} signiert, so dass Veränderungen der Daten bei einer Kontrolle sofort auffallen. Die Passdaten werden dabei von dem Schlüssel der Bundesdruckerei signiert, der alle drei Monate geändert wird. Dieser Schlüssel wird wiederrum durch den Schlüssel des Bundesamtes für Sicherheit in der Informationstechnik (BSI) signiert, der alle drei bis fünf Jahre geändert wird. Dieser Aufbau ist vergleichbar mit bereits bewährten Systemen wie \emph{OpenPGP}\footnote{\emph{Open Pretty Good Privacy} -- Ein etabliertes, sicheres Verfahren zur Verschlüsselung von Computerdaten} oder \emph{TLS}\footnote{\emph{Transport Layer Security} -- auch als SSL bekannt, wird bei der Verschlüsselung von Webseiten verwendet}. Die "`Private Keys"'\footnote{"`Persönliche Schlüssel"' -- diese Schlüssel dürfen niemals öffentlich bekannt werden, da sonst das Sicherheitskonzept nicht mehr greift} werden oft gewechselt, weil bei einem Bekanntwerden der Schlüssel es möglich wäre, die elektronisch gespeicherten Daten zu fälschen. Durch den Wechsel stellt man sicher, dass selbst wenn ein Schlüssel bekannt werden sollte, dass dann nur eine bestimmte Serie von ePässen gefälscht werden kann. Da die Daten des Passes über Funk übertragen werden, ist die Übertragung symmetrisch verschlüsselt, wobei die Daten der \emph{Maschinenlesbaren Zone} (\emph{Machine Readable Zone, MRZ}) als Passwort verwendet werden. Die Maschienenlesbare Zone ist ein international standarisiertes Feld des Passes auf dem die Daten des Inhabers auf eine leicht für Maschinen lesbare Weise aufgedruckt sind. Abbildung~\ref{fig:epass_mrz} zeigt die \emph{MRZ} eines australischen ePasses. \begin{figure}[ht] \centering \includegraphics[width=0.7\linewidth]{mrz} \caption{Maschinenlesbare Zone in einem australischen ePass \cite{australia}} \label{fig:epass_mrz} \end{figure} Das biometrische Merkmal der Datengruppe~2 ist das Gesichtsbild, für das Enrollment des Gesichtsbildes wird das Passfoto des ePasses verwendet \cite{22c3}. Dazu müssen seit der Einführung des ePasses die Passfotos strengen Vorgaben genügen um die Bilder biometrisch auswertbar zu machen. So muss es sich um ein Frontalfoto handeln, auf dem das Gesicht eine bestimmte Größe haben muss, die Person nicht lächeln darf, der Kontrast und die Ausleuchtung stimmen müssen \cite{bundesdruckerei}. Bei einer Kontrolle wird das Gesicht über \emph{Gesichtsmetrik} mit dem auf dem Pass gespeicherten Referenzbild verglichen. Die Datengruppe~3 enthält Abdrücke eines Fingerpaares, wobei bei der Erstaufnahme die Zeigefinger bevorzugt werden. Falls diese nicht verfügbar sind oder ihre Abdrücke eine zu schlechte Qualität bieten ist es auch möglich die Mittelfinger, Ringfinger oder Daumen zu verwenden. Die kleinen Finger werden von einer Aufnahme in den ePass immer ausgeschlossen, da sie eine zu kleine biometrisch verwertbare Fläche haben. Wenn jedoch die Qualität aller Fingerpaare zu schlecht ist, wird das Paar mit der besten Qualität verwendet. Zur Fingerabdruckkontrolle werden die Pappilarlinienenden und -verzweigungen -- die Minuzien hergezogen. Für die zukünftige Verwendung von Iriserkennung ist bereits die Datengruppe~4 auf dem Chip reserviert, weitere Verfahren wie 3D-Gesichtsbilder können in Zukunft mit geringem Aufwand in weiteren Datengruppen eingeführt werden. \subsection{Kritik am ePass} \label{sec:epass_kritik} Der von den Befürwortern angegebene Grund der Terrorismusbekämpfung wird von Kritikern mit der Aussage gekontert, dass die Terroristen durchaus gültige Pässe besaßen \cite{23c3}. Auch wird von ihnen hervorgehoben, dass die Sicherheitsmerkmale des normalen deutschen Passes schon ausreichend gewesen seien um gute Fälschungen zu verhindern. Argumente gegen den ePass gibt es auch aus technischer Sicht, denn obwohl die Pässe zwar 10~Jahre gültig sind wird die Lebensdauer der RFID-Chips auf zwei bis drei Jahre geschätzt \cite{22c3}. Zudem ist es möglich -- sofern man die Daten der \emph{MRZ} kennt oder erraten kann\footnote{Aufgrund dessen dass viele Werte der \emph{MRZ} wie das Geburtsdatum abgeschätzt werden können, ist es durchaus möglich die MRZ mit Hilfe von Computern schnell zu ermitteln} -- einen Chip sogar aus 10~Meter Entfernung auszulesen. Die Kommunikation zwischen Chip und Leser ist sogar noch aus 30~Meter Entfernung abhörbar. Das erlaubt es wiederrum auf bestimmte Pässe programmierte Bomben zu bauen. Dies funktioniert auch mit zufälliger ID-Nummer, da die Kommunikation, nachdem sich mit der \emph{MRZ} als Passwort entschlüsselt wurde, alle nötigen Daten enthält, um einen Pass und somit auch die Person zu erkennen. Auch das \emph{Enrollment} der Fingerabdrücke im Meldeamt ist nicht ganz unproblematisch. In Vorversuchen in Meldeämtern kam es öfters schon zu Problemen mit circa 40~jährigen Personen, weil ihre Fingerabdrücke zu undeutlich waren um ein ausreichend gutes Template zu erstellen. Gleiches gilt für Personen, die zu Berufsgruppen gehören, die viel mit ihren Händen arbeiten \cite{24c3}. Die digitale Übertragung der Daten vom Meldeamt zur Bundesdruckerei verspricht zwar schnellere Anfertigung, kann aber auch als weiterer Schwachpunkt gesehen werden. Die aufgenommenen Daten können über das Internet verschickt werden, teilweise auch in E-Mails \cite{24c3}. Wenn der Mailversand nicht entsprechend absichert ist, wird es möglich diese Mails abzufangen, zu lesen oder zu verändern. Kritiker befürchten auch, dass der ePass ein Schritt auf dem Weg zum \emph{"`Gläsernen Bürger"'} ist, da es in Zukunft möglich wäre, die auf dem Pass gespeicherten Gesichtsbilder mit großflächiger Videoüberwachung zu koppeln und somit umfassende Bewegungsprofile zu erstellen. Wie in Abschnitt~\ref{sec:face_einsatz} beschrieben, sind die heutzutage eingesetzten Verfahren jedoch noch nicht ausreichend zuverlässig für eine umfassende Überwachung. Die von dem ePass zusätzlich gebotene Sicherheit ist ebenso fragwürdig, da die auf dem Pass gespeicherten Daten keinen Mindestqualitätskriterien genügen müssen. Die Pässe bleiben auch mit kaputten RFID-Chip gültig, somit kann es sein, dass die Pässe keinerlei Sicherheitsvorteile geben. In diesem Fall ist das Passbild sogar weniger sicher als das des alten Passes, da sich die Grenzkontrolleure an der Form des Ohres orientieren konnten, welches auf dem biometrischen Passfoto gar nicht mehr sichtbar sein muss. Der eigentliche Zweck des ePasses, behaupten Kritiker, ist die Förderung der deutschen Biometrieindustrie. Der \emph{Bundesverband Informationswirtschaft Telekommunikation und neue Medien e.V.} Bitkom schätzt, dass der biometrische Markt allein in Deutschland von 120~Millionen Euro im Jahr 2006 auf 300~Millionen Euro im Jahr 2010 steigen wird \cite{ix}. Ebenso ist es noch unbekannt, wie viel der Wechsel zum ePass den Staat und den Steuerzahler insgesamt kosten wird. Somit existieren einige noch nicht geklärte wirtschaftliche Fragen, auf die es bisher noch keine Antworten gibt. \subsection{Vermeidung} \label{sec:epass_vermeidung} Da die ePässe auch mit kaputten biometrischen Chips noch gültig sind \cite{22c3} \cite{bmi-faq}, ist es möglich den Chip vorsätzlich zu zerstören um sich vor Datendiebstahl zu schützen. Der Chip ist ein recht empfindliches Gerät, also gibt es verschiedene Möglichkeiten ihn zu beschädigen. Eine einfache aber effektive Art ist, mit einem starken Sender wie einem Mikrowellenherd genug Energie zu induzieren um den Chip zu schmelzen. Ebenso kann man durch mehrmaliges Biegen des Umschlages die Antenne des RFID-Chips abbrechen\footnote{Was auch unbeabsichtigt passieren kann, da der Umschlag des ePasses biegsamer ist als der des alten Passes}. Zu bedenken jedoch ist, dass der Pass Staatseigentum ist und man sich der Beschädigung von Staatseigentum schuldig macht. Eine nicht-destruktive Weise den Pass vor dem Auslesen zu schützen ist das Einlegen von Aluminiumfolie in den Pass. Diese Folie stört die Funksignale ausreichend, um ein unbemerktes Auslesen zu verhindern. US-Pässe haben bereits Aluminiumfolie in dem Umschlag eingearbeitet, welche bei geschlossenem Pass das Auslesen verhindert. Für deutsche ePässe gibt es bereits entsprechende Schutzhüllen\footnote{Der Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e.V., FoeBuD bietet in dessen Online-Shop schon seit längerer Zeit solche Hüllen an} zu kaufen. Eine nicht technische Umgehungsmethode ist die Vermeidung von ePässen. Es ist derzeit möglich, sich temporäre Reisepässe ausstellen zu lassen die ohne biometrische Merkmale ausgestellt werden. Diese Pässe sind jedoch nur 1~Jahr gültig. Jedoch wird gegen die biometrische Datenerfassung auch auf Rechtswege vorgegangen, so hat der bochumer Rechtsanwalt Michael Schwarz eine Klage gegen die Ordnungsbehörde der Stadt Bochum eingereicht \cite{klage}. Es wird argumentiert, dass die verpflichtende Aufnahme dieser Daten gegen das \emph{Recht auf Informationellen Selbstbestimmung} verstößt, das es jedem ermöglicht über die Verwendung seiner personenbezogenen Daten -- in diesem Fall seiner personengebundenen Körpermetriken -- selbst zu bestimmen.