Reisepass und Personalausweis mit großen Sicherheitslücken

19.10.2013

EU-Gericht erzwingt Reisepass mit Fingerabdrücken

Der Anwalt Michael Schwarz hat vor dem Europäischen Gerichtshof gegen den neuen Reisepass mit Fingerabdrücken geklagt – und verloren. Zuvor war sein Fall bei deutschen Gerichten vier Jahre lang nicht behandelt worden. Schwarz geht davon aus, dass die Fingerabdrücke irgendwann gespeichert werden – das offizielle Ende des Datenschutzes in der EU.

————————————————————————————-

Der Bochumer Anwalt Michael Schwarz kämpft seit Jahren gegen die Regelung, dass Fingerabdrücke für Reisepässe genommen werden. Am Donnerstag scheiterte er. Der Europäische Gerichtshof  entschied für die Abnahme der Fingerabdrücke:

Zwar stellt die Erfassung und Speicherung von Fingerabdrücken im Reisepass einen Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar, doch sind diese Maßnahmen gerechtfertigt, um die betrügerische Verwendung von Reisepässen zu verhindern.“

Michael Schwarz ist mit der Entscheidung des EuGH nicht einverstanden. „Ich sehe darin einen Eingriff in mein Recht auf informationelle Selbstbestimmung“, sagte Schwarz den Deutschen Wirtschafts Nachrichten. Es werde zwar gesagt, dass durch diese Fingerabdrücke verhindert werde, dass illegale Migranten einen Reisepass von EU-Bürgern missbrauchen. „Faktisch findet illegale Einwanderung aber ganz anders statt. Man sieht das ja an den Flüchtlingen in Lampedusa.“ Daher könne er auch das Urteil nicht nachvollziehen, so Schwarz:

Darüber hinaus glaube ich nicht, dass der Datenschutz gewährleistet ist. Wenn ich nach Kuwait einreise, werden die wohl einen Zugriff darauf haben und wer versichert mir dann, dass sie die Fingerabdrücke nicht speichern. Und, dass Fingerabdrücke auch hierzulande gespeichert werden, ist nur eine Frage der Zeit.

Als er die Klage im November 2007 beim Verwaltungsgericht Düsseldorf eingereicht hatte, dachte Schwarz nach eigener Aussage aber nicht nur an seine Rechte als Bürger. „Es hat mich schon motiviert, zu wissen, dass die Sache nicht nur mich allein betrifft, sondern jeden EU-Bürger.“ Es sei einfach eine grundsätzliche Sache, so Schwarz.

Vier Jahre lang unternahm das Verwaltungsgericht jedoch nichts. Deswegen legte Schwarz Verfassungsbeschwerde wegen überlanger Verfahrensdauer ein. Diese Beschwerde lehnte das Bundesverfassungsgericht aber ohne Begründung ab, so Schwarz. Aber immerhin habe sich danach das Verwaltungsgericht insoweit damit beschäftigt, dass es den Fall dem EuGH vorlegte.

Schwarz ist mit der Verfahrensweise des EuGH aber nicht zufrieden. Als deutscher Jurist sei man gewöhnt, dass in solchen Fällen eine dreistufige Güterabwägung vorgenommen werde. „Aber der EuGH prüft die Verhältnismäßigkeit der Maßnahme nur in zwei Stufen“, so Schwarz. So werde erstens geprüft, ob die Maßnahme geeignet ist, die Zielsetzung der Regierung durchzuführen. Und zweitens werde geschaut, ob die Maßnahme zum Erreichen des Ziels erforderlich ist und nicht ein milderes Mittel auch genügen würde. Im Fall des Reisepasses könnte auch die Iris zur Identifikation genutzt werden, sagt Schwarz. Diese kann wenigstens nicht wie Fingerabdrücke einfach von der Türklinke genommen werden.

Aber die Frage nach der Angemessenheit der Maßnahme klammere der EuGH im Gegensatz zum Bundesverfassungsgericht aus, sagt Schwarz. „Das ist ein Armutszeugnis für die Geltung der Menschenrechte in der EU. Da kann einem angst und bange werden.“ Die Datenschutzkonvention von 1981 existiere nicht mehr, sie stehe nur noch auf dem Papier.

Wie er nun nach dem Urteil des EuGH weiter vorgehen will, weiß Schwarz noch nicht. Zunächst einmal werde nun der Fall an das Verwaltungsgericht Düsseldorf zurückgehen und dieses werde seine Klage ablehnen, so Schwarz. Er wolle dann prüfen, ob es für ihn weitere rechtliche Möglichkeiten gibt – vielleicht beim Bundesverfassungsgericht oder beim Europäischen Gerichtshof für Menschenrechte.

In jedem Fall wolle er sich aber „dem Grenzregime nicht unterwerfen“. Wenn „ich keinen Reisepass ohne meine Fingerabdrücke kriege, dann verzichte ich auf den Reisepass.“ Schließlich tue er dies ja bereits seit 2007.

http://deutsche-wirtschafts-nachrichten.de/2013/10/19/eu-gericht-erzwingt-reisepass-mit-fingerabdruecken/

———————————————————————————————————————

27.08.2013

Wieder Sicherheitslücke im elektronischen Personalausweis

Über einen Trojaner lässt sich ein Rechner angreifen, um dann die PIN des elektronischen Personalausweises abzugreifen. Die Lücke hat der Chaos Computer Club dem ARD-Magazin Report München präsentiert.

————————————————————————————

Der elektronische Personalausweis lässt sich erneut angreifen. Das berichtet das ARD-Magazin Report München unter Berufung auf einen Experten des Chaos Computer Clubs. Dem sei es gelungen, den Computer mit einem Trojaner zu infizieren, um die PIN einer Nutzerin auszulesen und so ihren Rentenversicherungsverlauf und damit Informationen über ihre Berufstätigkeit auszulesen. Der Experte konnte auch ein Bankkonto unter der Identität der Nutzerin eröffnen.

Die Bundesdruckerei vermutet, dass es sich um dasselbe Problem wie vor drei Jahren handelt, sagte eine Sprecherin Golem.de auf Anfrage. Weitere Informationen soll es in der Fernsehsendung am 27. August 2013 um 21:45 Uhr in der ARD oder im Livestream der Mediathek geben.

Bereits im August 2010 hatte der Chaos Computer Club eine Schwachstelle an den Basislesegeräten für den elektronischen Personalausweis gefunden. Danach war es möglich, die PIN und andere Daten abzufangen. Das Lesegerät erlaubt es, sich mit dem Personalausweis am heimischen Computer für Onlinegeschäfte zu identifizieren.

Das BSI räumte ein, dass über die Schadsoftware bei der Verwendung von Basislesegeräten ein Sicherheitsproblem besteht. Die IT-Behörde argumentierte aber, dass die PIN nur in Kombination mit der Ausweiskarte genutzt werden könne. Daher rät das BSI: „Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden.“

Allerdings wies das BSI darauf hin, dass dies nur für die Ausweisfunktion des Ausweises gelte, und nicht für dessen rechtsverbindliche Signaturfunktion. Diese könne ausschließlich mit einem Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden, wo der Angriff nicht möglich war.

Nachtrag vom 27. August 2013, 17:50 Uhr

Nach Angaben des CCC handelt es sich um die alte Sicherheitslücke von 2010, die aber immer noch besteht. Aber auch die neueste Version der AusweisApp bringe Software mit Exploits auf den PC. Bereits die mitgelieferte veraltete Java-Version (Java Platform SE 7U9) enthält eine Menge Exploits, wird aber nicht im System installiert. „Insgesamt hinterlässt die AusweisApp einen extrem unprofessionellen Eindruck“, so die Hacker.

http://www.golem.de/news/chaos-computer-club-wieder-sicherheitsluecke-im-elektronischen-personalausweis-1308-101214.html

———————————————————————————————————————

22.04.2013

Datenklau möglich: Rechnungshof warnt vor Verwendung des Personalausweises

Die Software des neuen Personalausweises weist schwere Sicherheitslücken auf. Der Bundesrechnungshof warnt vor ihrer Verwendung. Die Bürger werden dem Datenklau und Betrug ausgesetzt.

————————————————————————————

Zweieinhalb Jahre gibt es den neuen Personalausweis schon. Offenbar haben die Entwickler der Software nicht mit den IT-Spezialisten unter den Datendieben mithalten können. Der Bundesrechnungshof warnte nach einer Prüfung davor, die Software in Zusammenhang mit dem Perso online zu verwenden. Es bestünden „schwere Sicherheitslücken“, berichtet die Saarbrücker Zeitung.

Eine Mitteilung des Gerichtshofes an den Deutschen Bundestag bemängelt, dass die Sicherheitslücke in der Online-Funktion des Ausweises selbst nach jahrelanger Kenntnis noch nicht geschlossen worden sei. Es bestehe nach Einschätzung der Prüfer daher ein Risiko bei der Verwendung der Funktion.

Durch eine „Ausweis-App“ und ein Kartenlesegerät können sich Besitzer des neuen Persos Behördengänge ersparen und mehrere Online-Dienstleistungen in Anspruch nehmen, die ohne die digitale Identifizierung des Bürgers bislang nicht angeboten werden konnten. Der Nachteil: Die „Ausweis-App“ hat noch kein Sicherheitszertifikat. Das bedeutet, dass sich die Bürger nicht sicher sein können, ob die Anwendung ohne Risiken genutzt werden kann.

Missbrauch durch Datenklau sei daher nicht ausgeschlossen. Etwa vier Millionen Euro an Steuergeldern flossen in die Entwicklung der Software. Offenbar noch nicht genug. Der Nutzen für die Bürger lässt bislang auf sich warten. Nur eines ist sicher: die Risiken des Missbrauchs von Online-Daten werden von den Behörden immer noch unterschätzt.

http://deutsche-wirtschafts-nachrichten.de/2013/04/22/datenklau-moeglich-rechungshof-warnt-vor-verwendung-des-personalausweises/

———————————————————————————————————————

05.04.2013

EuGH prüft den deutschen biometrischen Reisepass

Wer einen Reisepass beantragt, muss seit 2007 auch Fingerabdrücke abgeben. Ein Bochumer hält dies für einen Verstoß gegen seine Grundrechte. Nun muss der Europäische Gerichtshof entscheiden.

————————————————————————————

Mehr als fünf Jahre nach der Einführung digitaler Fingerabdrücke auf deutschen Reisepässen steht das Verfahren beim Europäischen Gerichtshof (EuGH) auf dem Prüfstand. Ein Mann aus Bochum sieht durch die Speicherung sein Grundrecht auf den Schutz persönlicher Daten verletzt.

„So kann der Bürger endgültig zum gläsernen Bürger werden“, sagte der Anwalt des Klägers, der frühere Bundesrichter und jetzige Bundestagsabgeordnete Wolfgang Neškovic‘ (Die Linke) in einer mündlichen Verhandlung in Luxemburg. Die Richter sollen entscheiden, ob die von der EU vorgeschriebene Speicherung der biometrischen Daten rechtmäßig ist. Ein Urteil ist erst in einigen Monaten zu erwarten.

Der Bochumer hatte sich geweigert, seine Fingerabdrücke erfassen zu lassen und vor dem Verwaltungsgericht Gelsenkirchen dagegen geklagt. Er argumentierte auch, dass die EU überhaupt nicht für die Pass-Regelung zuständig gewesen sei. Die Verwaltungsrichter reichten diese Fragen nach Luxemburg weiter.

Vorwurf: EU nicht für Pass-Angelegenheiten zuständig

„Nach Auffassung der Bundesregierung ist die Speicherungspflicht mit dem Grundrecht auf Schutz der personenbezogenen Daten vereinbar“, so die Vertreterin der Bundesrepublik, Ariane Wiedmann. Sie verwies auf das Ziel, die öffentliche Sicherheit zu schützen.

Die Vertreter von EU-Kommission und Europaparlament widersprachen dem Argument der Nichtzuständigkeit der EU. Sie betonten zudem, die Speicherung unterliege einem hohen Sicherheitsstandard.

Neškovic‘ bezweifelte derweil einen Gewinn an Sicherheit. Dagegen unterstrich er die Möglichkeit eines Datenmissbrauchs. Auch wenn beispielsweise der Aufbau einer zentralen Datenbank mit den Fingerabdruck-Daten nicht vorgesehen sei, werde mit den Pässen die Voraussetzung dafür geschaffen. „Datenschutz ist vorbeugender Gefährdungsschutz.“

CCC warnt: Pass ist unsicher

Der Chaos Computer Club (CCC) demonstrierte bereits 2004, dass sich Fingerabdrücke fremder Menschen problemlos von Alltagsgegenständen abnehmen und zu verwendbaren Attrappen formen lassen, die die marktüblichen Fingerabdruck-Sensoren überlisten können.

Dem fraglichen Nutzen steht das erhebliche Risiko des unkontrollierbaren Abflusses der biometrischen Daten durch internationale Kooperation der Polizei- und Geheimdienstbehörden und technische Sicherheitslücken gegenüber, argumentiert der CCC.

Die strittige EU-Verordnung schreibt den Mitgliedstaaten vor, auf einem Chip in den Reisepässen ihrer Bürger biometrische Daten zu hinterlegen. Diese können genutzt werden, um den Passinhaber zu identifizieren. Seit November 2007 werden auf neuen deutschen Pässen daher zwei Fingerabdrücke gespeichert – ein digitales Foto des Gesichts wurde schon früher eingeführt.

Der einflussreiche Gutachter des Europäischen Gerichtshofs wird seine Schlussfolgerungen am 13. Juni vorstellen.

http://www.welt.de/wirtschaft/webwelt/article115042824/EuGH-prueft-den-deutschen-biometrischen-Reisepass.html

Both comments and pings are currently closed.

Comments are closed.