Sicherheitsstruktur noch im Aufbau

Wolfgang Rosenkranz von der österreichischen Staatsdruckerei sagte gegenüber dem Österreichischen Rundfunk, dass die Times "Äpfel und Birnen zusammengeschmissen" habe. Die gesamte Technologie samt Infrastruktur befände sich noch im Aufbau und die "Interoperabilität" sei das größte Problem.

Den Test mit dem Lesegerät der ICAO wird als Funktions- und nicht als Sicherheitsüberprüfung bezeichnet. "Der 'Golden Reader' ist ein rein technisches Tool, um die Funktionsfähigkeit des Passes zu testen, und keine Sicherheitsüberprüfung." Techniker der ausstellenden Behörden würden ihn dazu nutzen, ihre Passchips auf Standardkonformität zu testen.

Für die Sicherheitsüberprüfung diene das "Country Signer Certificate". Dabei handele es sich um eine staatliche Signatur, mit der die Integrität der Daten auf dem Chip bestätigt werde. Für den Abgleich dieser Daten baut die ICAO eine internationale Public Key Infrastructure (PKI) sowie ein Public Key Directory (PKD) auf.

Dem PKD-System sind bisher allerdings erst zehn der 45 Länder, die biometrische Ausweise eingeführt haben, angeschlossen und nur fünf benutzen es: Australien, Japan, Neuseeland, Singapur und die USA. Die ICAO erklärte gegenüber der Times, dass die elektronischen Pässe erst sicher seien, wenn alle ausgebende Staaten sich dem PKD-System angeschlossen hätten. Deutschland, auf dessen elektronischen Reisepässen seit dem 1. November 2007 zwei Fingerabdrücke erfasst werden, beteiligt sich bisher nicht an dem System.

Wasser auf die Mühlen der Kritiker

Der Test von Jeroen van Beek ist neue Munition für die Kritiker der biometrischen Ausweise. Denn eines der Hauptargumente für die teure neue Technik ist der Hinweis auf den Zugewinn an Sicherheit. Da aber die Ausweise anscheinend nicht so fälschungssicher sind wie versprochen und die Sicherheitsstruktur zur Überprüfung der Pässe noch nicht vollständig aufgebaut ist, ist der Sicherheitszugewinn bisher nur ein ideller.

Die aufgezeigten Sicherheitslücken lassen auch Zweifel an der Sicherheit des in Deutschland geplanten elektronischen Personalausweises aufkommen. Dieser soll ab dem 1. November 2010 den bisherigen Personalausweis ablösen. Auf der neuen Variante im Chipkartenformat soll nicht nur ein digitales Lichtbild gespeichert sein, sondern die Bürger können freiwillig Fingerabdrücke speichern lassen und eine qualifizierte elektronische Signatur, anhand derer sie sich mit einem besonderen Lesegerät über das Internet elektronisch ausweisen können, beantragen.