Biometrie-Desaster beim Heimatschutz

21.02.2007

Ein grundlegender Designfehler im System der zentralen Fingerabdruck-Datenbank erzwingt den Austausch aller Fingerprint-Lesegeräte in US-Botschaften weltweit und auf allen Flughäfen der USA. Die Pilotversuche mit Funkchips an Grenzübergängen wurden eingestellt.

Die Regierung von Präsident George W. Bush steht nicht nur außenpolitisch vor einem Scherbenhaufen, im Inneren ist die gesamte Konstruktion "Ministerium für Heimatschutz" ins Wanken geraten.

Zwei neue US-Rechnungshofberichte über die Fortschritte des Department of Homeland Security [DHS] - der jüngste stammt vom vergangenen Freitag - ziehen eine ernüchternde Bilanz.

Vorgaben

Die Vorgaben des "Patriot Act" und das daraus erstellte Programm "US-VISIT" sind in puncto biometrische Grenzkontrollen auf absehbare Zeit nicht umzusetzen, lautet die zentrale Aussage der Berichte des Government Accounting Office [GAO].

Schwer verschätzt hat man sich auf Seite des Gesetzgebers und der Behörden vor allem in Bezug auf die zur Anwendung kommenden Technologien. Sowohl biometrische Anwendungen wie automatische Erkennung von Fingerabdrücken als auch die Möglichkeiten, die Funkchips bieten, wurden schlicht falsch bewertet.

Nicht kompatibel ...

Bei Kosten von mittlerweile 1,4 Milliarden Dollar nur für die Aufrüstung von Grenzkontrollpunkten an Land, zur See und für die Luftfahrt konnte man nur einen Teil des Programms umsetzen. Das seit 2002 systematisch aufgebaute IDENT-Datenbanksystem der Heimatschützer ist in Teilen dysfunktional, ein wichtiger Teil der Daten ist obsolet.

Nach mehr als vier Jahren Betrieb wurde das Fingerabdrucksystem der Heimatschützer nunmehr umgestellt, allerdings in einem alles entscheidenden technischen Feature. Statt wie bisher von zwei flach aufgelegten Zeigefingern werden von Einreisenden mit Visum bei dessen Ausstellung die Abdrücke aller zehn Finger abgenommen.

... mit dem FBI

Nun erst können die Abdrücke der Einreisenden in der IDENT-Datenbank der Heimatschützer mit der größten Fingerprint-Datenbank der Welt, dem AFIS des FBI, automatisiert verglichen werden. Das heißt, bisher war es an den Grenzkontrollen nicht möglich, anhand der Fingerabdrücke beim FBI zu eruieren, ob eine einreisende Person eine kriminelle Vergangenheit hat oder nicht.

Vergeblich hatten die der NSA nahe stenden Biometrie-Spezialisten des Biometric Consortium vor einem so grundlegenden Designfehler im Heimatschutz-System schon 2002 gewarnt. Kernaussage damals: Zwei Finger flach werden auch mit hohem Aufwand niemals für einen automatischen Abgleich mit zehn aufgerollten tauglich sein.

50 Mio. Dollar zusätzlich nötig

Nun müssen sämtliche in Botschaften, Konsulaten und allen Grenzkontrollpunkten implementierten Systeme - von den Einlesegeräten bis zur Software - ausgetauscht werden. Betroffen sind allein in den USA 115 Flughäfen und vier Seehäfen. 2006 wurden allein für den ersten Schritt der Fingerabdruck-Umstellung fast 50 Millionen Dollar zusätzlich nötig.

Für die Heimatschutz-Datenbank heißt das: Nun müssen pro Eintrag zehn neue Datenfelder hinzugefügt werden, jede Personenanfrage bedeutet bei Fingerabdrücken einen Mehraufwand an Rechenleistung.

Auch bei Aufrüstung Vorgaben nicht erfüllt

Die Vorgaben des "US-VISIT"-Programms erfüllt das Heimatschutz-Kontrollsystem aber auch damit nicht. Wie schon der Name - United States Visitor and Immigrant Status Indicator Technology - sagt, handelt es sich um ein System, das den Status jedes Einreisenden laufend erfasst.

Im Alltag geht es hier vor allem um die Identifikation von Personen mit abgelaufenen Visa, die sich noch im Land befinden - ein sehr häufiger Fall vor allem an der Südgrenze zu Mexiko.

Ein Versuch...

Der Grenzkontrollpunkt San Ysidro, den der US-Rechnungshof als Muster anführt, zeigt nicht nur die praktische Unmöglichkeit, auch alle Ausreisen zu erfassen. Die nächste Vorgabe des US-Visit-Systems, dass die Biometriedaten an allen Kontrollpunkten automatisch eingelesen werden, kann ebenso nicht erfüllt werden.

In San Ysidro, einem der geschäftigsten Grenzorte zu Kalifornien, gibt es 24 Fahrspuren und ebenso viele Kontrollkabinen für die einreisenden PKWs. Bei den sechs Ausreisespuren, die im Regelfall nicht überprüft werden, sind auch strukturell keine Kontrollen vorgesehen.

...mit Funkchips...

In drei Pilotprojekten bei Grenzübergängen wurde ein Funkchip-System [RFID] ausprobiert, wobei die Chips in die Visa integriert wurden. Auf diesen Chips befindet sich nur eine Prüfsumme, über den diese einem Eintrag in der IDENT-Datenbank eindeutig zuordenbar wird.

In diesen Feldversuchen, die jährlich je 20 Millionen Dollar verschlungen haben, wurde versucht, diese Chips bei Grenzübertritt automatisch auszulesen. Da es Funkchips aber so an sich haben, dass sie in einem Faraday'schen Käfig, also einem Auto, nicht wirklich funktionieren, wurden im besten Fall 14 Prozent aller vorbeifahrenden Chips von den Lesegeräten angesprochen.

...produzierte Echos

Auch die Sendeleistung zu erhöhen, erwies sich als ungeeignetes Mittel, denn damit wurden nur so genannte "Crossroads" produziert, also Funkechos.

Einreisende wurde als Ausreisende registriert und umgekehrt, der Rechnungshof merkte an, dass man mit dieser Methode überhaupt die Vorgabe "sichere Biometrie-Kontrollen an allen Grenzen" nicht erfülle.

Budget gestrichen

So es überhaupt funktioniere, würde mit diesem Funkchip-System ja nur erfasst, ob ein Visum im betreffenden Wagen sei und auf welche Person dieses ausgestellt sei, so der Rechnungshof. Wer tatsächlich ein- oder ausreise werde nicht festgestellt. Rückwirkend wurde das Budget für Funkchip-Tests für 2006 gestrichen und umgewidmet.

Auch die Kosten für den eventuellen Umbau bestehender Grenzkontrollpunkte an den Straßen erwiesen sich als weit höher, als die insgesamt veranschlagten drei Milliarden Dollar. Zu San Ysidro merkte der Rechnungshof an, dass zusätzliche 18 Fahrspuren auf der Ausreise-Seite nötig wären. Allerdings befinde sich der Grenzübergang mitten in einem dicht bebauten Industriegebiet.

Das Risiko Containerhäfen

Was auch der US-Rechnungshof bis jetzt offenbar noch nicht als zu untersuchendes Sicherheitsrisiko bei Funkchips bewertet hat, ist eine Vorgabe des US-Visit-Programms über die Containerhäfen.

Diese werden auf Funkchip-Betrieb umgestellt, damit jeder Container quasi im Vorbeigehen identifiziert und mit seinem elektronischen Frachtbrief abgeglichen werden kann. So weit die Theorie.

Die Tücken des Nahbereichs...

Bei den RFIDs in den Häfen ebenso wie bei jenen, die probeweise in den Visa zum Einsatz kommen, handelt sich nicht um Nächstbereich-Chips wie in den Pässen.

Diese "Nahbereichs-Chips" sollen nicht aus wenigen Zentimetern Entfernung sondern aus einigem Abstand ausgelesen werden können. Auch wird nicht verschlüsselt, da es nicht möglich ist, dem Chip die dafür nötige Energie "über die Luft" zuzuführen.

Der Funkverkehr findet auf 13,56 MHz statt und für diesen Bereich gibt es weltweit Millionen potentielle Störquellen, die mit weit stärkerer Leistung arbeiten, als die Chip-Lesegeräte.

...und die Störung aus der Ferne

Die Rede ist von so genannten Kurzwellen-Transceivern, die nicht nur bei Funkamateuren rund die Welt sondern bei allen Militärkräften, Hilfsorganisationen usw. im Einsatz sind.

Allein die Standard-Sendeleistung von 200 Watt eines einzigen dieser für weniger als 1000 Euro überall erhältlichen Transceiver auf 13,56 MHz, abgestrahlt aus einiger Entfernung auf einen Containerhafen reicht, um ein Vielfaches der Echos zu produzieren, die das Heimatschutz-Testsystem an den drei Grenzübergängen lahmgelegt haben.

(futurezone | Erich Moechel)