Passbilder und Unterschriften: Scharfe Kritik an Biometriedatenbanken der Länder

Die Länder sollen zentrale Datenbanken für Passbilder und Unterschriften aufbauen dürfen. Das gefällt Datenschützern und Netzaktivisten gar nicht.

Artikel veröffentlicht am ,
Passfoto und Unterschrift sollen zentral gespeichert werden.
Passfoto und Unterschrift sollen zentral gespeichert werden. (Bild: BMI)

Die Pläne zum Aufbau zentraler Biometriedatenbanken in den Bundesländern stoßen auf Kritik bei Datenschützern, Kommunen und Netzaktivisten. In einer Anhörung des Bundestagsinnenausschusses am Montag in Berlin äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber "erhebliche datenschutzrechtliche Bedenken", da biometrische Daten nach der EU-Datenschutzgrundverordnung besonders schützenswert seien. Simon Japs als Vertreter der Kommunen sah keine belastbare Begründung dafür, dass die Daten der lokalen Pass- und Meldebehörden zentral zusammengefasst werden sollten.

Stellenmarkt
  1. Application SW Engineer Electric Vehicle Motion Control (m/w / divers)
    Continental AG, Nürnberg
  2. Certificate IT Service Expert (w/m/d)
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

Die Koalition von Union und SPD will die neue Regelung zusammen mit einem Gesetz verabschieden, das die rechtlichen Grundlagen für die Nutzung von Smartphones als elektronischem Identifikationsmittel (eID) bei Verwaltungsleistungen schaffen soll. Die Pläne für die Biometriedatenbank waren aber erst vor zwei Wochen bekanntgeworden. Aus diesem Grund pochte die Opposition im Bundestag auf eine kurzfristige Expertenanhörung zu dem Gesetz. Die Koalition will das Gesetz noch vor der Sommerpause verabschieden, damit die Funktion vom 1. September 2021 an zur Verfügung steht.

Der Begründung des Änderungsantrags (PDF) zufolge sind die zentralen Datenbanken erforderlich, um Anfragen von Sicherheitsbehörden schneller beantworten zu können. Einheitliche Kommunikationsstandards existierten nicht. "Die Sicherheitsbehörden müssen daher weiterhin telefonisch bei der Pass- oder Personalausweisbehörde das Lichtbild anfragen und erhalten dies regelmäßig per Fax. Die Qualität des übermittelten Lichtbilds ist dem entsprechend schlecht." Die automatisierte Abfrage von Foto und Unterschrift soll zudem dazu genutzt werden, um Führerscheine ausstellen und automatisch umtauschen zu können.

Nach Ansicht Kelbers erscheint die Begründung "auf den ersten Blick nachvollziehbar", greife aber zu kurz. Durch die gedoppelte Datenhaltung stiegen Angriffsflächen und die Gefahren von Datenmissbrauch, beispielsweise durch Zweckentfremdung.

CCC: Einsatz bei Gesichtserkennung möglich

Golem Akademie
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    19./20.05.2022, Virtuell
Weitere IT-Trainings

Neben dem Bundesdatenschutzbeauftragten und den Kommunen lehnten auch der Chaos Computer Club (CCC) und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung die Pläne ab. CCC-Sprecher Linus Neumann verwies darauf, dass sich die Angriffsfläche durch zentrale Systeme vervielfältige. Zudem könnten biometrische Daten für die Überwachung von Bürgern genutzt werden. Ein entsprechender Einsatz automatischer Gesichtserkennungssysteme sei bereits am Berliner Bahnhof Südkreuz getestet worden.

Rudolf Schleyer von der Anstalt für Kommunale Datenverarbeitung in Bayern verteidigte hingegen die Schaffung der Landesregister. Die technische Umsetzung der 2017 eingeführten Befugnis in den Kommunen habe "bis heute nicht zufriedenstellend stattgefunden". Die technischen Standards seien nie normiert worden. Die Abrufe fänden "de facto eigentlich nicht statt", sagte Schleyer. Laut Paragraf 22 des Passgesetzes ist eine automatisierte Abfrage ohnehin nur dann möglich, " wenn die Passbehörde nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde". Das sei eine wesentliche Hürde.

Durch eine zentrale Benutzer- und Rechtesteuerung nimmt die IT-Sicherheit nach Ansicht Schleyers sogar zu. Zudem sei anders als bei den fast 1.400 Kommunen in Bayern nur eine einmalige Investition erforderlich.

Sicherheitslücke bei Samsung Galaxy-Geräten

Positive Effekte für die digitalen Authentifizierungsmöglichkeiten erhoffen sich die Experten durch die aufgewertete Personalausweis-App. So verwies Schleyer darauf, dass Nutzung der elektronischen Kfz-Zulassung um das 20-Fache gestiegen sei, nachdem die Behörden in der Corona-Pandemie den elektronischen Personalausweis als Zugangskriterium abgeschafft hätten. Allerdings müssen Bürger zunächst über einen Ausweis mit eID-Funktion verfügen, um ihr Smartphone als Identifikationsmittel nutzen zu können. Mit Hilfe der Ausweis-App lassen sich die Daten dann auf das Smartphone übertragen.

Absichert wird die Funktion im Gerät durch ein zusätzliches Sicherheitselement. Bislang läuft die App allerdings nur auf Samsung-Geräten der Modellreihe Galaxy S20. Rainer Rehak vom Forum InformatikerInnen verwies in der Anhörung jedoch darauf, dass ein solches Secure Element inzwischen gehackt worden sei. Ein entsprechender Vortrag sei für die Sicherheitskonferenz Blackhat im Sommer in Las Vegas angekündigt worden.

Dem norwegischen Sicherheitsexperten Gunnar Alendal zufolge wurde eine kritische Zero-Day-Lücke ausgenutzt, die inzwischen behoben worden sei.

Marian Margraf von der Freien Universität Berlin plädierte in der Anhörung mehrfach für ein Schwachstellenmanagement, um solche Sicherheitslücken zu identifizieren. Dann könnten gefährdete Geräte von der Nutzung der Ausweisfunktionen ausgeschlossen werden. Allerdings müsse nicht nur das Sicherheitselement, sondern auch das Betriebssystem des Smartphones sicher sein. Denn auch das Betriebssystem habe Auswirkungen auf die elektronische Identität. Da es keine 100-prozentige Sicherheit gebe, sei ein Schwachstellenmanagement erforderlich.

Hinweis: Die Stellungnahmen der Sachverständigen lassen sich unter diesem Link abrufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Knuspermaus 19. Mai 2021

Jupp

Knuspermaus 18. Mai 2021

Ich lese hier von der "German Angst" (nur die Überschrift), finde ich Lustitsch! Ich...

1e3ste4 18. Mai 2021

öööhm.... Ja! https://www.bmvi.de/SharedDocs/DE/Artikel/StV/Strassenverkehr...

gaga2 17. Mai 2021

der realisiert das binnen einem Jahr mit der altbewährten Salami-Taktik. (Siehe alle...



Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Volkswagen: E-Up wird bis 2025 gebaut
    Volkswagen
    E-Up wird bis 2025 gebaut

    Volkswagen will einen elektrischen Kleinwagen anbieten - aber erst ab 2025. Bis dahin muss der E-Up weitergebaut werden.

  3. Renault: Moskwitsch könnte elektrisch wiederkommen
    Renault
    Moskwitsch könnte elektrisch wiederkommen

    Renault verkauft seine Anteile am Russlandgeschäft an die Stadt Moskau. Die hat schon genaue Pläne, welche Fahrzeuge vom Band rollen sollen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger[Werbung]
    •  /