Passbilder und Unterschriften: Scharfe Kritik an Biometriedatenbanken der Länder

Die Länder sollen zentrale Datenbanken für Passbilder und Unterschriften aufbauen dürfen. Das gefällt Datenschützern und Netzaktivisten gar nicht.

Artikel veröffentlicht am ,
Passfoto und Unterschrift sollen zentral gespeichert werden.
Passfoto und Unterschrift sollen zentral gespeichert werden. (Bild: BMI)

Die Pläne zum Aufbau zentraler Biometriedatenbanken in den Bundesländern stoßen auf Kritik bei Datenschützern, Kommunen und Netzaktivisten. In einer Anhörung des Bundestagsinnenausschusses am Montag in Berlin äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber "erhebliche datenschutzrechtliche Bedenken", da biometrische Daten nach der EU-Datenschutzgrundverordnung besonders schützenswert seien. Simon Japs als Vertreter der Kommunen sah keine belastbare Begründung dafür, dass die Daten der lokalen Pass- und Meldebehörden zentral zusammengefasst werden sollten.

Stellenmarkt
  1. Software & Data Engineer / Machine Learning Engineer (m/w/d)
    h.a.l.m. elektronik GmbH, Frankfurt
  2. IT-Spezialist (m/w/d)
    Lotto Bayern | Abteilung 1 Referat 12 | HR-Marketing & Entwicklung, München
Detailsuche

Die Koalition von Union und SPD will die neue Regelung zusammen mit einem Gesetz verabschieden, das die rechtlichen Grundlagen für die Nutzung von Smartphones als elektronischem Identifikationsmittel (eID) bei Verwaltungsleistungen schaffen soll. Die Pläne für die Biometriedatenbank waren aber erst vor zwei Wochen bekanntgeworden. Aus diesem Grund pochte die Opposition im Bundestag auf eine kurzfristige Expertenanhörung zu dem Gesetz. Die Koalition will das Gesetz noch vor der Sommerpause verabschieden, damit die Funktion vom 1. September 2021 an zur Verfügung steht.

Der Begründung des Änderungsantrags (PDF) zufolge sind die zentralen Datenbanken erforderlich, um Anfragen von Sicherheitsbehörden schneller beantworten zu können. Einheitliche Kommunikationsstandards existierten nicht. "Die Sicherheitsbehörden müssen daher weiterhin telefonisch bei der Pass- oder Personalausweisbehörde das Lichtbild anfragen und erhalten dies regelmäßig per Fax. Die Qualität des übermittelten Lichtbilds ist dem entsprechend schlecht." Die automatisierte Abfrage von Foto und Unterschrift soll zudem dazu genutzt werden, um Führerscheine ausstellen und automatisch umtauschen zu können.

Nach Ansicht Kelbers erscheint die Begründung "auf den ersten Blick nachvollziehbar", greife aber zu kurz. Durch die gedoppelte Datenhaltung stiegen Angriffsflächen und die Gefahren von Datenmissbrauch, beispielsweise durch Zweckentfremdung.

CCC: Einsatz bei Gesichtserkennung möglich

Neben dem Bundesdatenschutzbeauftragten und den Kommunen lehnten auch der Chaos Computer Club (CCC) und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung die Pläne ab. CCC-Sprecher Linus Neumann verwies darauf, dass sich die Angriffsfläche durch zentrale Systeme vervielfältige. Zudem könnten biometrische Daten für die Überwachung von Bürgern genutzt werden. Ein entsprechender Einsatz automatischer Gesichtserkennungssysteme sei bereits am Berliner Bahnhof Südkreuz getestet worden.

Rudolf Schleyer von der Anstalt für Kommunale Datenverarbeitung in Bayern verteidigte hingegen die Schaffung der Landesregister. Die technische Umsetzung der 2017 eingeführten Befugnis in den Kommunen habe "bis heute nicht zufriedenstellend stattgefunden". Die technischen Standards seien nie normiert worden. Die Abrufe fänden "de facto eigentlich nicht statt", sagte Schleyer. Laut Paragraf 22 des Passgesetzes ist eine automatisierte Abfrage ohnehin nur dann möglich, " wenn die Passbehörde nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde". Das sei eine wesentliche Hürde.

Durch eine zentrale Benutzer- und Rechtesteuerung nimmt die IT-Sicherheit nach Ansicht Schleyers sogar zu. Zudem sei anders als bei den fast 1.400 Kommunen in Bayern nur eine einmalige Investition erforderlich.

Sicherheitslücke bei Samsung Galaxy-Geräten

Positive Effekte für die digitalen Authentifizierungsmöglichkeiten erhoffen sich die Experten durch die aufgewertete Personalausweis-App. So verwies Schleyer darauf, dass Nutzung der elektronischen Kfz-Zulassung um das 20-Fache gestiegen sei, nachdem die Behörden in der Corona-Pandemie den elektronischen Personalausweis als Zugangskriterium abgeschafft hätten. Allerdings müssen Bürger zunächst über einen Ausweis mit eID-Funktion verfügen, um ihr Smartphone als Identifikationsmittel nutzen zu können. Mit Hilfe der Ausweis-App lassen sich die Daten dann auf das Smartphone übertragen.

Absichert wird die Funktion im Gerät durch ein zusätzliches Sicherheitselement. Bislang läuft die App allerdings nur auf Samsung-Geräten der Modellreihe Galaxy S20. Rainer Rehak vom Forum InformatikerInnen verwies in der Anhörung jedoch darauf, dass ein solches Secure Element inzwischen gehackt worden sei. Ein entsprechender Vortrag sei für die Sicherheitskonferenz Blackhat im Sommer in Las Vegas angekündigt worden.

Dem norwegischen Sicherheitsexperten Gunnar Alendal zufolge wurde eine kritische Zero-Day-Lücke ausgenutzt, die inzwischen behoben worden sei.

Marian Margraf von der Freien Universität Berlin plädierte in der Anhörung mehrfach für ein Schwachstellenmanagement, um solche Sicherheitslücken zu identifizieren. Dann könnten gefährdete Geräte von der Nutzung der Ausweisfunktionen ausgeschlossen werden. Allerdings müsse nicht nur das Sicherheitselement, sondern auch das Betriebssystem des Smartphones sicher sein. Denn auch das Betriebssystem habe Auswirkungen auf die elektronische Identität. Da es keine 100-prozentige Sicherheit gebe, sei ein Schwachstellenmanagement erforderlich.

Hinweis: Die Stellungnahmen der Sachverständigen lassen sich unter diesem Link abrufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

Knuspermaus 19. Mai 2021 / Themenstart

Jupp

Knuspermaus 18. Mai 2021 / Themenstart

Ich lese hier von der "German Angst" (nur die Überschrift), finde ich Lustitsch! Ich...

1e3ste4 18. Mai 2021 / Themenstart

öööhm.... Ja! https://www.bmvi.de/SharedDocs/DE/Artikel/StV/Strassenverkehr...

gaga2 17. Mai 2021 / Themenstart

der realisiert das binnen einem Jahr mit der altbewährten Salami-Taktik. (Siehe alle...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /