Die sicheren eCards
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Die Propaganda zur Erfassung der biometrischen Fingerabdrücke vor Einführung des ePasses der 2. Generation klang ungefähr so: Das ist ein ganz einfacher und sicherer Vorgang in den Meldebehörden. Sie als Bürger legen einfach die beiden Zeigefinger auf das Lesegerät und die Mitarbeiter, die noch nicht einmal großartig geschult werden müssen, weil das Verfahren so einfach und sicher ist, überprüfen das Ergebnis, erfassen die Daten und dann wird das über eine sichere Verbindung zur Bundesdruckerei geschickt, die den ePass ausfertigt. Und sobald sie den ePass abgeholt haben, werden ihre Fingerabdrücke gelöscht, weil die nur im RFID Funkchip des ePasses gespeichert werden.
Die Realität hört sich dann so an, wenn der Landesbeauftragte für Datenschutz von Mecklenburg-Vorpommern seine Stichproben-Erfahrungen schildert:
Dystopia Card.
Abbildung: Giesecke & Devrient.
Damit müssen ab 2010 alle Nicht-EU-Bürger mit Genehmigung eines Aufenthalts per Aufenthaltsgenehmigung bzw. Visum von den Mitgliedsstaaten ausgestattet werden, was nach der Pressemitteilung von Giesecke & Devrient 20 Millionen Menschen im EU Raum betreffen wird. Für die ca. 500 Millionen EU-Bürger wird, nachdem man die Ausländer als Testobjekte ausgewertet und erfasst hat, danach die Elektronische Bürgerkarte (ECC) fällig, der "großen vereinheitlichten elektronischen Kennkarte" für alle. Und danach wird sich zeigen, wie der Präventionsstaat das volle Potential der eID-Karten ausschöpft. Bis dahin lässt die Hamburger Lottogesellschaft schon mal ihre Zocker mit Internet Smart Card und USB-Token von Giesecke & Devrient zur "Zwei-Faktor-Authentifizierung" für die Internetnutzung spielen.
Die Realität hört sich dann so an, wenn der Landesbeauftragte für Datenschutz von Mecklenburg-Vorpommern seine Stichproben-Erfahrungen schildert:
"Die technischen und organisatorischen Maßnahmen bei der Erfassung von Passantragsdaten in den Passbehörden Mecklenburg-Vorpommerns und bei der Übermittlung der Daten an den Passhersteller sind völlig unzureichend", so Karsten Neumann, Landesbeauftragter für den Datenschutz Mecklenburg-Vorpommern, heute in Schwerin. Allein angesichts dieser gravierenden Mängel zweifelt er an der Sicherheit des neuen ePasses und fordert die Einstellung des Verfahrens.
Neumann hatte eine Passbehörde kontrolliert, die das neue Verfahren zur Speicherung von Fingerabdrücken im Pass bereits während einer Testphase erprobt hatte. Dabei hatte er unter anderem die unzureichende Überprüfbarkeit des gesamten Antragsverfahren und die unsichere Übermittlung der Antragsdaten an die Bundesdruckerei, welche die Pässe herstellt, festgestellt.
"Bei meiner Kontrolle wurde offensichtlich, dass die Ergebnisse des Testbetriebes nicht ordnungsgemäß ausgewertet wurden und dass die betreffende Passbehörde nicht in der Lage war, das Verfahren datenschutzrechtlich und sicherheitstechnisch zu bewerten. Aufgrund der gravierenden Mängel habe ich gegenüber dieser Passbehörde und dem Innenministerium Mecklenburg-Vorpommern eine Beanstandung ausgesprochen", so Neumann weiter. "Um das bei der Verarbeitung biometrischer Daten erforderliche Datenschutzniveau erreichen zu können, habe ich eine Reihe von Empfehlungen gegeben. Das Verfahren zur Erhebung und Übermittlung von Passantragsdaten sollte erst nach der Umsetzung dieser Empfehlungen wieder aufgenommen werden."
Die stichprobenartige Anfrage bei weiteren Passbehörden ergab, dass in keinem Fall die datenschutzrechtlichen Vorschriften eingehalten wurden. Die geprüften Passbehörden arbeiten durchweg mit automatisierten Verfahren, die nicht für die Nutzung freigegeben sind.
Vorgestern stellte das Unternehmen Giesecke & Devrient seine Version des "Europäischen Aufenthalttitels" vor, einer elektronischen Karte mit RFID Funkchip, der ebenfalls biometrische Fingerabdrücke und Gesichtsbilder digital speichert und einer Komponente für elektronische Signaturen/Verschlüsselungen wie beim kommenden elektronischen Personalausweis.
Neumann hatte eine Passbehörde kontrolliert, die das neue Verfahren zur Speicherung von Fingerabdrücken im Pass bereits während einer Testphase erprobt hatte. Dabei hatte er unter anderem die unzureichende Überprüfbarkeit des gesamten Antragsverfahren und die unsichere Übermittlung der Antragsdaten an die Bundesdruckerei, welche die Pässe herstellt, festgestellt.
"Bei meiner Kontrolle wurde offensichtlich, dass die Ergebnisse des Testbetriebes nicht ordnungsgemäß ausgewertet wurden und dass die betreffende Passbehörde nicht in der Lage war, das Verfahren datenschutzrechtlich und sicherheitstechnisch zu bewerten. Aufgrund der gravierenden Mängel habe ich gegenüber dieser Passbehörde und dem Innenministerium Mecklenburg-Vorpommern eine Beanstandung ausgesprochen", so Neumann weiter. "Um das bei der Verarbeitung biometrischer Daten erforderliche Datenschutzniveau erreichen zu können, habe ich eine Reihe von Empfehlungen gegeben. Das Verfahren zur Erhebung und Übermittlung von Passantragsdaten sollte erst nach der Umsetzung dieser Empfehlungen wieder aufgenommen werden."
Die stichprobenartige Anfrage bei weiteren Passbehörden ergab, dass in keinem Fall die datenschutzrechtlichen Vorschriften eingehalten wurden. Die geprüften Passbehörden arbeiten durchweg mit automatisierten Verfahren, die nicht für die Nutzung freigegeben sind.
Dystopia Card.
Abbildung: Giesecke & Devrient.
von ravenhorst - Owl,
gepostet am Mittwoch, 14. November 2007 um 22:33
