Um eine deutliche Verringerung des Fälschungs- und Fehlerrisikos zu erreichen, haben die EU-Länder vor einigen Jahren beschlossen, einen neuen, mit Funkchip ("RFID-Chip“) ausgestatteten Pass einzuführen, der den "herkömmlichen" Pass ersetzt. Luxemburg stellt diese neuen elektronischen Pässe seit Ende August 2006 aus (dieses Datum wurde als Einführungsfrist auf EU-Ebene festgelegt).
Der neue elektronische Pass weist zwei grundlegende Unterschiede zu seinem Vorgänger auf: Er kann aus erstens einer gewissen Entfernung und ohne direkten physischen Kontakt zwischen Dokument und Lesegerät ausgelesen werden; zweitens werden die „klassischen“ Daten wie Name, Geburtsdatum oder Wohnort durch biometrische Daten ergänzt, die in einer ersten Phase aus einer Gesichtsaufnahme und später auch aus den Fingerabdrücken bestehen.
Auch wenn die neuen Pässe von der deutschen Bundesdruckerei hergestellt werden, wird die eigentliche Speicherung der Daten in Luxemburg durch das Außenministerium vorgenommen. Die technischen und organisatorischen Sicherheitsmaßnahmen sind so angelegt, dass sie die Authentizität, die Vertraulichkeit und die Integrität der auf dem elektronischen Teil gespeicherten Daten gewährleisten.
Warum elektronische Pässe?
Es wurde viel über die Notwendigkeit gesprochen, die Identifikationsdokumente sicherer zu gestalten, um sowohl gegenüber den Behörden als auch im Handel die Vortäuschung falscher Identitäten zu verhindern. Das Konzept des elektronischen Passes hat seinen Ursprung in den Sicherheitsmaßnahmen, die von den USA nach den Anschlägen vom 11. September 2001 getroffen wurden. Seither sind die Grenzkontrollen deutlich verstärkt worden, und eine Einreise in die USA ist nur noch mit gültiger Aufenthaltsgenehmigung möglich. Davon ausgenommen sind allerdings die Angehörigen bestimmter Staaten ("Visa Waiver States"), falls sie einen maschinell lesbaren Pass besitzen.
Obwohl der elektronische Pass in erster Linie eine Reaktion auf US-amerikanische Forderungen darstellt, hat er durch die Terroranschläge von Madrid (März 2004) und London (Juli 2005) auch in Europa Vorrang erhalten. So wurde die Einführung des neuen Systems beschleunigt, und der Pass ist nun nicht mehr ausschließlich für USA-Reisende Pflicht, sondern für alle Personen, die einen neuen Pass erhalten oder ihren bestehenden Pass erneuern lassen möchten.
Den Empfehlungen der ICAO (International Civil Aviation Organization) folgend wird der Pass auch biometrische Elemente beinhalten: Die digitalisierte Fotografie und, in naher Zukunft, auch den Fingerabdruck des Trägers. Da diese Daten für jede Person einzigartig und im Allgemeinen keinen zeitlich bedingten Änderungen unterworfen sind, sollen sie die Verbindung zwischen Dokument und Träger zuverlässiger hervorheben und so das Risiko eines Missbrauchs (Identitätsbetrug) verringern.
Gesetzgebung und vorgeschriebene Modalitäten
Die EU-Mitgliedsstaaten haben eine abgestimmte Vorgehensweise in Bezug auf Einführung und Handhabung der Pässe vereinbart, so dass die Pässe aller Mitgliedsstaaten die gleichen Daten enthalten und die gleichen Sicherheitsstandards aufweisen müssen. Diese Harmonisierung wird durch die EU-Verordnung (EG) Nr. 2252/2004 vom 13. Dezember 2004 vorgeschrieben. (Links auf die unterschiedlichen Gesetzgebungen und Verordnungen zum Thema finden Sie unten auf der Seite.)
Entsprechend der Empfehlung der ICAO müssen folgende Daten auf dem Funkchip gespeichert werden: Name, Nationalität, Geschlecht sowie biometrische Elemente (Gesichtserkennung). Auch der Fingerabdruck soll zu einem späteren Zeitpunkt eingebunden werden (selbst wenn er in der ICAO-Empfehlung als "optional" angegeben wird).
In Luxemburg werden die Modalitäten zur Einführung des elektronischen Passes durch die großherzogliche Verordnung vom 31. Juli 2006 festgelegt.
Funktionsweise des elektronischen Passes
Die Erfassung und Verwaltung der Passdaten wird von der jeweiligen für die Passvergabe zuständigen nationalen Einrichtung durchgeführt (in Luxemburg handelt es sich um das Passbüro des Außenministeriums). Obwohl mit der Bundesdruckerei ein deutsches öffentliches Unternehmen mit der Herstellung der luxemburgischen Pässe beauftragt wurde, wird die Erfassung der persönlichen Daten in Luxemburg durchgeführt. Ab diesem Zeitpunkt können die Daten mittels eines optischen Lesegeräts ausgelesen werden; da der elektronische Pass mit einem Funkchip ausgestattet ist, ist dazu kein direkter physischer Kontakt mit dem Lesegerät notwendig.
Um zu verhindern, dass unbefugte Personen Zugriff auf die Daten erhalten bzw. kopieren oder verändern, werden mehrere Sicherungstechniken eingesetzt:
Die Daten sind mit einer "elektronischen Unterschrift" versehen. Diese Methode erlaubt dem Empfänger eine umgehende Feststellung etwaiger unerlaubter Änderungen.
Der Zugriff auf die Daten ist nur mit bestimmten Lesegeräten möglich. Diese Maßnahme ist umso wichtiger, da die Daten auch ohne direkten physischen Kontakt ausgelesen werden können. Um ein Mitlesen der Passdaten durch eine Einzelperson zu verhindern, die sich in der Nähe eines Kontrollpunktes befindet und über ein eigenes Lesegerät verfügt, wird mit Hilfe einer zufällig generierten Prüfnummer eine "einfache Zugangskontrolle“ durchgeführt. Dabei liest das Lesegerät die Daten, leitet daraus die zutreffende Zahl ab und sendet sie an den Chip zurück. Die Zufallsnummer basiert auf drei Elementen: Nummer und Ablaufdatum des Passes sowie Geburtsdatum.
Ausgehend von der Anzahl der Kombinationsmöglichkeiten dieser drei Elemente beträgt der Sicherungsgrad ungefähr 56 Bit (vgl.: Eine durch HTTPS gesicherte Internet-Verbindung hat 128 Bit).
Zur Verschlüsselung der eigentlichen Datenübermittlung zum Lesegerät wird ein System genutzt, das der elektronischen Unterschrift ähnelt: Die Daten werden mit einem ersten Schlüssel kodiert (verschlüsselt), das Empfangsgerät muss dann mit einem zweiten, entsprechenden Schlüssel ausgestattet sein, um die Daten entschlüsseln und darauf zugreifen zu können.
Da die Personen, denen ein Pass ausgestellt wird, das Recht haben, Einsicht in die darauf gespeicherten Daten zu erhalten, installiert das Passbüro des Außenministeriums in seinen Räumlichkeiten zwei Lesegeräte, um den Bürgern die Überprüfung der auf dem Funkchip gespeicherten Daten zu ermöglichen.
Sicherheitsrisiken und mögliche Lösungen
Wie bei jeder Nutzung einer neuartige Technologie gibt es auch beim elektronischen Pass – zumindest in der Theorie – trotz der vorgenannten Sicherheitsmaßnahmen ein gewisses Risiko einer Verletzung des Privatlebens. Die nationale Kommission für den Datenschutz, die gemeinsam mit den Verantwortlichen des Außenministeriums, des Justizministeriums und des Centre Informatique de l’Etat die vorbereitenden Arbeiten für dieses Projekt begleitet hatte, um die notwendigen Vorkehrungen in Bezug auf den Datenschutz zu treffen, hat sich hauptsächlich auf die nachfolgenden Aspekte konzentriert:
In Luxemburg ist die Gültigkeitsdauer des elektronischen Passes auf 5 Jahre festgelegt, während sie beispielsweise in Deutschland 10 Jahre beträgt. Eine eingeschränkte Gültigkeitsdauer ist umso wichtiger, da die immer schnellere Entwicklung der technologischen Mittel das Risiko einer Entschlüsselung der Passdaten durch unbefugte Personen erhöht.
Obwohl die "einfache Zugriffskontrolle“ eigentlich eine Sicherungsstufe von 56 Bit aufweist (256 mögliche Kombinationen), wird diese verringert, wenn auf bestimmte Daten geschlossen oder diese errechnet werden können.
Wenn beispielsweise die vergebenen Passnummern laufend sind und eine Person die ungefähre Anzahl der monatlich ausgestellten Pässe kennt, so könnte diese Person den Bereich der Kombinationsmöglichkeiten deutlich einschränken. In den Niederlanden durchgeführte Versuche haben gezeigt, dass die Sicherungsstufe so auf 35 Bit herabgesetzt werden kann. Heute wäre ein gewöhnlicher Rechner in der Lage, diese Anzahl Kombinationen innerhalb weniger Stunden durchzurechnen.
Um dieses Risiko im Hinblick auf die luxemburgischen Pässe auszuschließen, hat die nationale Kommission für den Datenschutz die zuständigen Behörden kontaktiert und ihnen vorgeschlagen, die Passnummern nach dem Zufallsprinzip zu vergeben. Diese Lösung wurde schließlich auch von den luxemburgischen Behörden übernommen und wird angewendet werden.
Die biometrischen Daten, die auf dem Funkchip gespeichert werden (oder gespeichert werden sollen), sind u.U. ebenfalls dem Risiko des Missbrauchs ausgesetzt, da sie zusätzlich "empfindliche“ Informationen beinhalten können (z.B. Informationen über den Gesundheitszustand oder die Rasse der betroffenen Person). Die nationale Kommission, die diesbezüglich um Rat gebeten wurde, zeigte sich beruhigt darüber, dass die biometrischen Daten einen Monat nach der Aushändigung des Passes an seinen Träger aus den Dateien des Passbüros gelöscht werden.