Passbilder und Unterschriften: Scharfe Kritik an Biometriedatenbanken der Länder

Die Länder sollen zentrale Datenbanken für Passbilder und Unterschriften aufbauen dürfen. Das gefällt Datenschützern und Netzaktivisten gar nicht.

Artikel veröffentlicht am ,
Passfoto und Unterschrift sollen zentral gespeichert werden.
Passfoto und Unterschrift sollen zentral gespeichert werden. (Bild: BMI)

Die Pläne zum Aufbau zentraler Biometriedatenbanken in den Bundesländern stoßen auf Kritik bei Datenschützern, Kommunen und Netzaktivisten. In einer Anhörung des Bundestagsinnenausschusses am Montag in Berlin äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber "erhebliche datenschutzrechtliche Bedenken", da biometrische Daten nach der EU-Datenschutzgrundverordnung besonders schützenswert seien. Simon Japs als Vertreter der Kommunen sah keine belastbare Begründung dafür, dass die Daten der lokalen Pass- und Meldebehörden zentral zusammengefasst werden sollten.

Stellenmarkt
  1. IT Manager Robotics Process Automation und Workflow Management (m/w/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Cloud Security Consult / Cloud Sicherheitsarchitekt (m/w/d)
    Deutsche Bundesbank, Frankfurt am Main
Detailsuche

Die Koalition von Union und SPD will die neue Regelung zusammen mit einem Gesetz verabschieden, das die rechtlichen Grundlagen für die Nutzung von Smartphones als elektronischem Identifikationsmittel (eID) bei Verwaltungsleistungen schaffen soll. Die Pläne für die Biometriedatenbank waren aber erst vor zwei Wochen bekanntgeworden. Aus diesem Grund pochte die Opposition im Bundestag auf eine kurzfristige Expertenanhörung zu dem Gesetz. Die Koalition will das Gesetz noch vor der Sommerpause verabschieden, damit die Funktion vom 1. September 2021 an zur Verfügung steht.

Der Begründung des Änderungsantrags (PDF) zufolge sind die zentralen Datenbanken erforderlich, um Anfragen von Sicherheitsbehörden schneller beantworten zu können. Einheitliche Kommunikationsstandards existierten nicht. "Die Sicherheitsbehörden müssen daher weiterhin telefonisch bei der Pass- oder Personalausweisbehörde das Lichtbild anfragen und erhalten dies regelmäßig per Fax. Die Qualität des übermittelten Lichtbilds ist dem entsprechend schlecht." Die automatisierte Abfrage von Foto und Unterschrift soll zudem dazu genutzt werden, um Führerscheine ausstellen und automatisch umtauschen zu können.

Nach Ansicht Kelbers erscheint die Begründung "auf den ersten Blick nachvollziehbar", greife aber zu kurz. Durch die gedoppelte Datenhaltung stiegen Angriffsflächen und die Gefahren von Datenmissbrauch, beispielsweise durch Zweckentfremdung.

CCC: Einsatz bei Gesichtserkennung möglich

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Neben dem Bundesdatenschutzbeauftragten und den Kommunen lehnten auch der Chaos Computer Club (CCC) und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung die Pläne ab. CCC-Sprecher Linus Neumann verwies darauf, dass sich die Angriffsfläche durch zentrale Systeme vervielfältige. Zudem könnten biometrische Daten für die Überwachung von Bürgern genutzt werden. Ein entsprechender Einsatz automatischer Gesichtserkennungssysteme sei bereits am Berliner Bahnhof Südkreuz getestet worden.

Rudolf Schleyer von der Anstalt für Kommunale Datenverarbeitung in Bayern verteidigte hingegen die Schaffung der Landesregister. Die technische Umsetzung der 2017 eingeführten Befugnis in den Kommunen habe "bis heute nicht zufriedenstellend stattgefunden". Die technischen Standards seien nie normiert worden. Die Abrufe fänden "de facto eigentlich nicht statt", sagte Schleyer. Laut Paragraf 22 des Passgesetzes ist eine automatisierte Abfrage ohnehin nur dann möglich, " wenn die Passbehörde nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde". Das sei eine wesentliche Hürde.

Durch eine zentrale Benutzer- und Rechtesteuerung nimmt die IT-Sicherheit nach Ansicht Schleyers sogar zu. Zudem sei anders als bei den fast 1.400 Kommunen in Bayern nur eine einmalige Investition erforderlich.

Sicherheitslücke bei Samsung Galaxy-Geräten

Positive Effekte für die digitalen Authentifizierungsmöglichkeiten erhoffen sich die Experten durch die aufgewertete Personalausweis-App. So verwies Schleyer darauf, dass Nutzung der elektronischen Kfz-Zulassung um das 20-Fache gestiegen sei, nachdem die Behörden in der Corona-Pandemie den elektronischen Personalausweis als Zugangskriterium abgeschafft hätten. Allerdings müssen Bürger zunächst über einen Ausweis mit eID-Funktion verfügen, um ihr Smartphone als Identifikationsmittel nutzen zu können. Mit Hilfe der Ausweis-App lassen sich die Daten dann auf das Smartphone übertragen.

Absichert wird die Funktion im Gerät durch ein zusätzliches Sicherheitselement. Bislang läuft die App allerdings nur auf Samsung-Geräten der Modellreihe Galaxy S20. Rainer Rehak vom Forum InformatikerInnen verwies in der Anhörung jedoch darauf, dass ein solches Secure Element inzwischen gehackt worden sei. Ein entsprechender Vortrag sei für die Sicherheitskonferenz Blackhat im Sommer in Las Vegas angekündigt worden.

Dem norwegischen Sicherheitsexperten Gunnar Alendal zufolge wurde eine kritische Zero-Day-Lücke ausgenutzt, die inzwischen behoben worden sei.

Marian Margraf von der Freien Universität Berlin plädierte in der Anhörung mehrfach für ein Schwachstellenmanagement, um solche Sicherheitslücken zu identifizieren. Dann könnten gefährdete Geräte von der Nutzung der Ausweisfunktionen ausgeschlossen werden. Allerdings müsse nicht nur das Sicherheitselement, sondern auch das Betriebssystem des Smartphones sicher sein. Denn auch das Betriebssystem habe Auswirkungen auf die elektronische Identität. Da es keine 100-prozentige Sicherheit gebe, sei ein Schwachstellenmanagement erforderlich.

Hinweis: Die Stellungnahmen der Sachverständigen lassen sich unter diesem Link abrufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

Knuspermaus 19. Mai 2021 / Themenstart

Jupp

Knuspermaus 18. Mai 2021 / Themenstart

Ich lese hier von der "German Angst" (nur die Überschrift), finde ich Lustitsch! Ich...

1e3ste4 18. Mai 2021 / Themenstart

öööhm.... Ja! https://www.bmvi.de/SharedDocs/DE/Artikel/StV/Strassenverkehr...

gaga2 17. Mai 2021 / Themenstart

der realisiert das binnen einem Jahr mit der altbewährten Salami-Taktik. (Siehe alle...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /