Das Lesegerät zum Sicherheitspass

16.11.2006

Alle österreichischen Passbehörden sind mit dem ePassport Verification System des US-Herstellers 3M ausgestattet. Mit diesem Gerät soll sich der Bürger auf dem Amt alle Daten auf dem RFID-Chip seines Passes anzeigen lassen können. Fast alle.

Seit dem 16. Juni 2006 stellen Österreichs Behörden die so genannten Sicherheitspässe aus. Diese Pässe folgen der EU-Verordnung 2252 aus dem Jahr 2004 und sind mit einem Chip ausgestattet, dessen Daten bei Kontrollen kontaktlos ausgelesen werden können [RFID]. Die Staatsdruckerei schickt die Pässe den Bürgern, die sie auf dem Amt beantragt haben, direkt nach Hause.

Wie aber erfährt ein Österreicher, welche Daten auf seinem Pass-Chip gespeichert sind? Die EU schreibt vor, dass die Behörden der Mitgliedsländer ihren Bürgern eine Möglichkeit zur Verfügung stellen müssen, mit der sie die Chip-Daten einsehen können.

Alle Passbehörden ausgerüstet

Um, wie es in einer heute versandten Pressemitteilung des Technologiekonzerns 3M heißt, "höchstmögliche Transparenz für den Bürger zu gewährleisten", hat das Bundesministerium für Inneres Passlesegeräte [ePassport Verification System] angeschafft.

"Wir haben ungefähr 140 dieser Geräte gekauft, um die Passbehörden damit auszustatten", sagt Heinrich Pawlicek, Leiter des Passreferats im Innenministerium. "Wenn ein Bürger wissen will, welche Daten auf dem Chip im Pass gespeichert sind, oder wenn er überprüfen will, dass der Chip korrekt funktioniert, kann er ihn mit Hilfe des Lesegeräts auf dem Amt testen lassen."

Wer also vor Antritt einer Reise ganz sichergehen möchte, dass der Chip in seinem Pass funktioniert, sollte auf der zuständigen Passbehörde die Dienste des Lesegeräts in Anspruch nehmen.

Die fehlende Signatur

Wenn der Passinhaber möchte, kann er sich die auf dem RFID-Chip gespeicherten Daten auch ausdrucken lassen. "Er sieht dann sein Bild und genau die Informationen, die auf der Datenseite des Passes stehen. Also Name, Vorname, Körpergröße und so weiter. Und Passbild, Unterschrift sowie die maschinenlesbare Zeile", sagt Pawlicek.

Nicht ausgelesen und ausgedruckt wird dabei jedoch die individuelle digitale Signatur des Passes, die auch bei der Verschlüsselung der Daten auf dem Chip eine Rolle spielt. "Es wird nur angezeigt, ob die Signatur technisch in Ordnung ist oder nicht", sagt Pawlicek.

Für den ARGE-Daten-Obmann Hans Zeger ist das ein Zeichen von Intransparenz, die zur Unsicherheit führt. "Sicherheit entsteht nur durch Offenlegen. Das System wäre dann sicher, wenn die Signatur ausgelesen werden könnte und ein Angreifer mit ihr doch nichts anzufangen wüsste. Beim Internet-Banking kann ein Angreifer ja mit dem Passwort allein auch nichts anfangen."

Was ein solches Lesegerät kostet, verrät Regine Mosler von 3M Security Systems Österreich nicht. Privatpersonen, die gerne zu Hause ihre Pässe prüfen würden, dürfen es gar nicht erst nicht erwerben. "3M überprüft in Zusammenarbeit mit den Behörden eines Landes genau, wer ein Passlesegerät ordern darf. Jedes Gerät ist bei uns registriert und wird genau getrackt. Als Privatperson haben Sie keine Chance, an so ein Gerät heranzukommen", sagt Mosler.

Bleibt die Frage, welche privaten Unternehmen ein Passlesegerät kaufen dürfen. "Man muss im Sicherheitsgeschäft tätig sein", verrät Mosler. "Die Staatsdruckerei darf sie kaufen." Auch private Sicherheitsdienste? "Das kann ich nicht sagen. Wir entscheiden das in Rücksprache mit dem zuständigen Ministerium."

Einsatz auch in Frankreich und Holland

Die Geräte wurden bereits von der kanadischen 3M-Fabrik an die österreichischen Behörden ausgeliefert "Die gleichen Geräte setzt man Frankreich und den Niederlanden bei der Grenzkontrolle ein", sagt Mosler. "In Österreich wurden sie zum ersten Mal für die Überprüfung der Pässe in den Passämtern spezifiziert. Zu diesem Zweck haben wir die Software der Maschinen angepasst."

Die Prüfung des Reisedokuments selbst laufe schnell ab. "Der Scanprozess dauert nur ein paar Sekunden", sagt Mosler. "Der Lesebereich beträgt fünf Zentimeter." Das Lesegerät wird einfach via USB an einen handelsüblichen PC angeschlossen.

Hans Zeger sieht den Ansatz der Lesegeräte-Aktion kritisch: "Das ist ein PR-Gag. Wenn ich misstrauisch bin, dann kann mein Misstrauen ja nicht dadurch beseitigt werden, dass das System selbst die Kontrolle der Daten auf dem Chip vornimmt. Das könnte nur eine Prüfung durch eine unabhängige Stelle gewährleisten."

Schon im Jänner 2006 war es holländischen Hackern gelungen, die Verschlüsselung des niederländischen Reisepass-RFIDs zu knacken.

(futurezone | Günter Hack)