Passbilder und Unterschriften: Scharfe Kritik an Biometriedatenbanken der Länder

Die Pläne zum Aufbau zentraler Biometriedatenbanken in den Bundesländern stoßen auf Kritik bei Datenschützern, Kommunen und Netzaktivisten. In einer Anhörung des Bundestagsinnenausschusses am Montag in Berlin äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber "erhebliche datenschutzrechtliche Bedenken", da biometrische Daten nach der EU-Datenschutzgrundverordnung besonders schützenswert seien. Simon Japs als Vertreter der Kommunen sah keine belastbare Begründung dafür, dass die Daten der lokalen Pass- und Meldebehörden zentral zusammengefasst werden sollten.

Die Koalition von Union und SPD will die neue Regelung zusammen mit einem Gesetz verabschieden, das die rechtlichen Grundlagen für die Nutzung von Smartphones als elektronischem Identifikationsmittel (eID) bei Verwaltungsleistungen schaffen soll. Die Pläne für die Biometriedatenbank waren aber erst vor zwei Wochen bekanntgeworden. Aus diesem Grund pochte die Opposition im Bundestag auf eine kurzfristige Expertenanhörung zu dem Gesetz. Die Koalition will das Gesetz noch vor der Sommerpause verabschieden, damit die Funktion vom 1. September 2021 an zur Verfügung steht.

Der Begründung des Änderungsantrags (PDF) zufolge sind die zentralen Datenbanken erforderlich, um Anfragen von Sicherheitsbehörden schneller beantworten zu können. Einheitliche Kommunikationsstandards existierten nicht. "Die Sicherheitsbehörden müssen daher weiterhin telefonisch bei der Pass- oder Personalausweisbehörde das Lichtbild anfragen und erhalten dies regelmäßig per Fax. Die Qualität des übermittelten Lichtbilds ist dem entsprechend schlecht." Die automatisierte Abfrage von Foto und Unterschrift soll zudem dazu genutzt werden, um Führerscheine ausstellen und automatisch umtauschen zu können.

Nach Ansicht Kelbers erscheint die Begründung "auf den ersten Blick nachvollziehbar", greife aber zu kurz. Durch die gedoppelte Datenhaltung stiegen Angriffsflächen und die Gefahren von Datenmissbrauch, beispielsweise durch Zweckentfremdung.

CCC: Einsatz bei Gesichtserkennung möglich

Neben dem Bundesdatenschutzbeauftragten und den Kommunen lehnten auch der Chaos Computer Club (CCC) und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung die Pläne ab. CCC-Sprecher Linus Neumann verwies darauf, dass sich die Angriffsfläche durch zentrale Systeme vervielfältige. Zudem könnten biometrische Daten für die Überwachung von Bürgern genutzt werden. Ein entsprechender Einsatz automatischer Gesichtserkennungssysteme sei bereits am Berliner Bahnhof Südkreuz getestet worden.

Rudolf Schleyer von der Anstalt für Kommunale Datenverarbeitung in Bayern verteidigte hingegen die Schaffung der Landesregister. Die technische Umsetzung der 2017 eingeführten Befugnis in den Kommunen habe "bis heute nicht zufriedenstellend stattgefunden". Die technischen Standards seien nie normiert worden. Die Abrufe fänden "de facto eigentlich nicht statt", sagte Schleyer. Laut Paragraf 22 des Passgesetzes ist eine automatisierte Abfrage ohnehin nur dann möglich, " wenn die Passbehörde nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde". Das sei eine wesentliche Hürde.

Durch eine zentrale Benutzer- und Rechtesteuerung nimmt die IT-Sicherheit nach Ansicht Schleyers sogar zu. Zudem sei anders als bei den fast 1.400 Kommunen in Bayern nur eine einmalige Investition erforderlich.

Sicherheitslücke bei Samsung Galaxy-Geräten

Positive Effekte für die digitalen Authentifizierungsmöglichkeiten erhoffen sich die Experten durch die aufgewertete Personalausweis-App. So verwies Schleyer darauf, dass Nutzung der elektronischen Kfz-Zulassung um das 20-Fache gestiegen sei, nachdem die Behörden in der Corona-Pandemie den elektronischen Personalausweis als Zugangskriterium abgeschafft hätten. Allerdings müssen Bürger zunächst über einen Ausweis mit eID-Funktion verfügen, um ihr Smartphone als Identifikationsmittel nutzen zu können. Mit Hilfe der Ausweis-App lassen sich die Daten dann auf das Smartphone übertragen.

Absichert wird die Funktion im Gerät durch ein zusätzliches Sicherheitselement. Bislang läuft die App allerdings nur auf Samsung-Geräten der Modellreihe Galaxy S20. Rainer Rehak vom Forum InformatikerInnen verwies in der Anhörung jedoch darauf, dass ein solches Secure Element inzwischen gehackt worden sei. Ein entsprechender Vortrag sei für die Sicherheitskonferenz Blackhat im Sommer in Las Vegas angekündigt worden.

Dem norwegischen Sicherheitsexperten Gunnar Alendal zufolge wurde eine kritische Zero-Day-Lücke ausgenutzt, die inzwischen behoben worden sei.

Marian Margraf von der Freien Universität Berlin plädierte in der Anhörung mehrfach für ein Schwachstellenmanagement, um solche Sicherheitslücken zu identifizieren. Dann könnten gefährdete Geräte von der Nutzung der Ausweisfunktionen ausgeschlossen werden. Allerdings müsse nicht nur das Sicherheitselement, sondern auch das Betriebssystem des Smartphones sicher sein. Denn auch das Betriebssystem habe Auswirkungen auf die elektronische Identität. Da es keine 100-prozentige Sicherheit gebe, sei ein Schwachstellenmanagement erforderlich.

Hinweis: Die Stellungnahmen der Sachverständigen lassen sich unter diesem Link abrufen.