Im Allerheiligsten der E-Pass-Produktion
In ganz Österreich arbeiten derzeit Behörden und Dienstleister an der Einführung des Chippasses mit Fingerabdruckdaten. Produziert werden die Pässe in der Österreichischen Staatsdruckerei (OeSD) in Wien. Ein Besuch im Hochsicherheitsbereich.
"Datenschutz hat bei uns oberste Priorität, weil er Teil unseres Kerngeschäfts ist", sagte Thomas Zach, stellvertretender Generaldirektor der Österreichischen Staatsdruckerei (OeSD), zu ORF.at.
Dass Sicherheit in der OeSD, die gerade die neueste Generation österreichischer Reisepässe produziert, absoluten Vorrang hat, deutet sich schon von außen an - bereits der Eingang ist eine Personenschleuse.
Passdaten notiert
Als Nächstes registriert die Security der OeSD den Reisepass des Besuchers, überreicht eine signalrote Besucherkarte zum Umhängen, und ab geht es in Richtung zweite Schleuse.
Diese besteht aus einem mannshohen Drehkreuz. Hier müssen die Begleitpersonen, in diesem Fall Zach und Wolfgang Rosenkranz, Bereichsleiter "E-Government-Solutions", mit Hilfe des Sicherheitsdienstes den Zutritt für die Besucher freigeben lassen.
Alte Pässe bleiben gültig
Derzeit werden die österreichischen Passämter mit der Notwendigen Hard- und Software zur Erfassung von Fingerabdrücken ausgestattet. Die Ausgabe von Pässen mit Fingerabdrucksdaten auf dem Chip soll im Lauf des Frühjahrs gestartet werden. Ein genaues Datum dafür steht noch nicht fest. Die alten Pässe bleiben bis zu deren Ablaufdatum gültig.
Schlaue Schleusen
In den nächsten Sicherheitsbereich, der wie alle anderen durch breite Panoramafenster von allen Seiten einsehbar ist, gelangt man durch eine weitere Einpersonenschleuse, die wesentlich anspruchsvoller ist als das gesicherte Drehkreuz am Eingang.
In der Schleuse, die den Eingang zu den Räumlichkeiten sichert, in denen die Chips personalisiert werden, kontrollieren Sensoren und Computer Gewicht, Größe und Fußabdrücke des Eintretenden, um auszuschließen, dass mehr als eine Person auf einmal den Bereich betritt - oder dass eine weitere Person huckepack mit hereinreitet. Zusätzlich ist die Schleuse rundum aus Glas physisch einsehbar.
Dem Besucher fällt schnell auf, dass so gut wie jeder Vorgang im Produktionsbereich doppelt gesichert ist. "Wir halten uns hier drinnen strikt an das bewährte Vieraugenprinzip", so Zach, "und auch sonst haben wir an Sicherheit für die neuen Pässe getan, was maximal möglich war."
Das "Skimming"-Problem
Um den verschlüsselten Funkverkehr eines Lesegeräts mit dem Passchip abzufangen - in Fachkreisen wird das "Skimming" genannt - muss der Angreifer in diesem Moment erstens in nächster Nähe sein, und zweitens über gute Kenntnisse in Funktechnik und Kryptografie verfügen.
Dass der so abgefangene Funkverkehr überhaupt geknackt werden kann, liegt ausgerechnet an einem Sicherheitsmechanismus. Um einen "Skimming"-Angriff außerhalb der dafür vorgesehenen Kontrollpunkte auf den Passchip zu verhindern, wird dieser erst dann zur Kommunikation freigeschaltet, wenn ein integriertes OCR-Lesegerät das in den Pass abgedruckte Datenfeld eingelesen hat und diese Daten als Grundlage für einen Schlüssel nimmt.
Da dieser Datensatz nicht aus Zufallszahlen, sondern einer fortlaufenden Nummer sowie aus Namen, Vornamen, Geburtsdatum und Passablaufdatum besteht, ist der damit erzeugte Schlüssel schwach.
Bereits 2006 hatten holländische Forscher den aufgezeichneten Funkverkehr binnen zwei Stunden entschlüsselt.
- Die holländische Methode
- "Skimming" im Detail
Die Sicherheitsstufen
So wählte die Staatsdruckerei bei der Entwicklung der Chippässe die höchste Sicherheitsvorgabe der Internationalen Organisation für Zivilluftfahrt (ICAO) aus. Anders als in Großbritannien, den Niederlanden und Deutschland wurde in Österreich auf ein Verfahren namens "Active Authentication" gesetzt.
Die österreichischen Chippässe sind zwar für "Skimming"- Angriffe ebenso anfällig wie ihre Gegenstücke, ein Lesegerät überlistet man mit kopierten Daten aus einem österreichischen Pass jedoch nicht.
Anders als ein britischer muss sich ein österreichischer Pass gegenüber dem Lesegerät "legitimieren", wozu ein tief in der Hardware versteckter geheimer Schlüssel dient.
Genau das vermag ein fremder Chip, auf den abgefangene Daten übertragen werden, eben nicht.
Die Personalisierung
Die Räume, in denen die Pässe personalisiert werden, darf nur eine kleine Zahl von Mitarbeitern betreten, bei gleichzeitiger Authentifizierung durch RFID-Karte und Fingerprint-Kontrollen. Der Bereich ist von außen durch Panoramafenster einsehbar.
Und von dort sieht man weiter, an jenen Ort, den auch die Mitarbeiter der Staatsdruckerei selbst nicht betreten dürfen. Hier, in einer kleinen Kammer, kommen die verschlüsselten Daten aus den Passämtern über das innenministerielle Intranet herein, werden im stets menschenleeren Sicherheitsraum entschlüsselt, um später in der Produktion verschlüsselt und signiert auf den Passchip aufgebracht zu werden.
Der Barcode
Da die Druckerei die Daten auf den Pass-Chips selbst nicht lesen kann, bekommen die fertigen Pässe eine laufende Produktionsnummer, die auch als Barcode auf der Rückseite mit einem Aufkleber angebracht wird. Nach einer letzten Qualitätskontrolle wird der Chip für Schreibvorgänge gesperrt.
Das Allerheiligste
Betreten darf das Allerheiligste nur eine Handvoll Beamter des Innenministeriums, die mit der Verwaltung der Zertifikate betraut ist. Und auch hier gilt das Vieraugenprinzip: Es kommen immer nur zwei Personen zusammen hinein.
Hier sind, auf speziellen Sicherheitshardware-Modulen, die elektronischen Zertifikate verwahrt, mit denen die Passdaten verschlüsselt werden. Zugriff auf den Datenfluss von den Bezirkshauptmannschaften aus ganz Österreich habe die Staatsdruckerei nicht, erklärte Zach.
Auch bei der Qualitätskontrolle, die bei jedem Verarbeitungsschritt stattfindet, prüfen die Mitarbeiter lediglich die Funktionsfähigkeit der Chips, lesen dabei die Daten darauf allerdings nicht aus. Die Druckerei kann sie selbst nicht entschlüsseln. Das ist Teil des Sicherheitskonzepts.
"Zwei Kabel"
"Wir koppeln uns da bewusst auch ab. Es geht um eine klare Trennung der Zuständigkeitsbereiche", so Zach, aus diesem Grund habe man auch bewusst eine Lösung gewählt, die auch als Signal dafür stehe: "Zwei Kabel." Zwischen dem Intranet des Innenministeriums und dem Netz der Staatsdruckerei bestehe keinerlei physische Verbindung.
Bis jetzt sei der Testbetrieb für die Integration der Fingerabdrucksdaten durchwegs positiv verlaufen, und man sei zuversichtlich, dass auch der für die kommenden Wochen geplante Roll-out problemlos ablaufen werde, sagte Zach.
Timeline Fingerprintpass
"Zweistelliger Millionenbereich"
Insgesamt seien 40 neue Arbeitsplätze für hochqualifizierte Mitarbeiter im Rahmen des Projekts "Hochsicherheitspass" entstanden, so der Zach, die Höhe der Investitionen für das Projekt "Hochsicherheitspass" lägen für die Staatsdruckerei selbst im "zweistelligen Millionenbereich". Darin sind die Kosten für Fingerprint-Scanner und Software in den Passämtern nicht inbegriffen.
Bei der Frage, ob dieser Aufwand für den neuen "Hochsicherheitspass" gerechtfertigt sei, angesichts der Tatsache, dass pro Jahr weniger als ein Dutzend Fälschungsversuche der in Gebrauch befindlichen "Sicherheitspässe" der Republik passieren, verwiesen die Experten der Staatsdruckerei darauf, dass die Pässe auch in Zukunft sicher sein müssten. Da ein Chip-Pass für einen Erwachsenen eine Gültigkeitsdauer von zehn Jahren habe, müsse man so rechnen, dass die Pässe auch in einem Jahrzehnt noch fälschungssicher seien, so Wolfgang Rosenkranz.
Initiative der G-7-Staaten
Mit der Entscheidung, dass auch die österreichischen Pässe mit zusätzlichen biometrischen Eigenschaften versehen werden müssen, hatte weder die Staatsdruckerei noch das Innenministerium zu tun.
Auch die europäische Union war nur mittelbar daran beteiligt, denn eigentlich geht der Beschluss auf eine Initiative der G-7-Staaten zurück - angeführt von den USA.
Bereits 2003 hatte die ICAO ein umfangreiches Standardisierungsdokument für Chippässe veröffentlicht, das die auf den Funkchips enthaltenen Datenfelder definiert.
Die Staatsdruckerei
Die Österreichische Staatsdruckerei (OeSD) ist seit 1850 für die Produktion von Reisepässen, Ausweisen, amtlichen Formularen und Briefmarken zuständig.
Der Betrieb beliefert rund 60 Staaten mit diesen Dokumenten und Wertzeichen. Mehr als die Hälfte des Umsatzes wird mit Produkten gemacht, die jünger als zwei Jahre sind.
Die Staatsdruckerei produziert allerdings nicht die österreichischen Euro-Banknoten. Dafür ist die 1998 aus der Oesterreichischen Nationalbank (OeNB) ausgegliederte Oesterreichische Banknoten- und Sicherheitsdruck GmbH (OeBS) zuständig.
Am anderen Ende der Leitung
Bereits 2003 war also festgeschrieben, dass die Abdrücke der beiden Zeigefinger auf den Chip kommen würden, dazu sieht der Standard weitere Felder für Irisscan, Handballenabdrücke usw. vor.
Auch bei der Frage, wie es denn um die Sicherheit am anderen Ende der Leitung in den Sicherheitsraum, nämlich in den Bezirksämtern und -hauptmannschaften, bestellt sei, mussten die Sprecher der Staatsdruckerei bedauern.
Das könne nur das Innenministerium beantworten, hieß es zum Abschluss, man erbringe seitens der Staatsdruckerei nur eine genau definierte Dienstleistung für das Innenministerium.
Private Equity
Auch wenn der Firmenname anderes suggeriert, so gehört die Staatsdruckerei längst nicht mehr dem Staat, sondern ist eine GmbH mit Sitz in 1010 Wien, die im Besitz einer "Private Equity"-Firma namens Euro Capital Partners steht.
Im Aufsichtsrat dieser Firma wiederun sitzt der ehemalige Innenminister Ernst Strasser, während dessen Amtszeit die Staatsdruckerei im Jahr 2000 privatisiert worden war.
(futurezone/Erich Moechel)