Original-URL des Artikels: https://www.golem.de/news/gesichtserkennung-am-suedkreuz-warum-digitalcourage-falsch-informiert-hat-1708-129653.html    Veröffentlicht: 24.08.2017 16:17    Kurz-URL: https://glm.io/129653

Gesichtserkennung am Südkreuz

Warum Digitalcourage "falsch informiert" hat

Wer für den Datenschutz kämpft, fühlt sich in Deutschland gelegentlich wie ein einsamer Rufer in der Wüste. Die aktuelle Kampagne des Vereins Digitalcourage dürfte dafür sorgen, dass Politiker Datenschutzaktivisten zukünftig noch weniger ernst nehmen.

In einem stark kritisierten Projekt erfasst die Bundespolizei derzeit am Berliner Bahnhof Südkreuz rund 275 Testpersonen mit Hilfe biometrischer Gesichtserkennung. Die Teilnehmer tragen dazu zusätzlich einen Transponder zur eindeutigen Identifizierung, um die Qualität der Erkennung besser einschätzen zu können. Der Verein Digitalcourage attackiert das Projekt und fordert dessen Abbruch, benutzt dafür aber eine mehr als fragwürdige Argumentation.

Die aktuelle Kritik von Digitalcourage entzündet sich an der Technik und den Fähigkeiten der Transponder. Die Teilnehmer des Tests seien darüber nur unvollständig und fehlerhaft aufgeklärt worden, der Test müsse deswegen sofort abgebrochen werden. Der Verein hat dazu am vergangenen Montag eine Pressemitteilung und einen Blogbeitrag veröffentlicht. Am Donnerstag übernahm die Bundesdatenschutzbeauftragte Andrea Voßhoff die Kritik und forderte die Bundespolizei auf, von den Teilnehmern eine weitere "datenschutzrechtliche Einwilligung" einzuholen.

Bluetooth-Transponder statt RFID

Der Vorwurf: Den Teilnehmern sei anstelle eines passiven RFID-Transponders ein aktiv sendender Bluetooth-Low-Energy-Chip untergeschoben worden. Dies trifft in der Tat zu. Doch die Informationen von Digitalcourage vom vergangenen Montag enthielten sehr viele merk- und fragwürdige Formulierungen und Annahmen: Entweder fehlt dem Verein die technische Kompetenz oder er betreibt bewusst FUD. Das macht es für Medien wie Golem.de schwierig, solche Vorwürfe ernst zu nehmen und darüber zu berichten.

So haben weder die Bundespolizei noch das Innenministerium die Funktechnik zuvor konkret öffentlich benannt. In der Einwilligungserklärung der Teilnehmer gibt es ebenfalls keine Angaben dazu. Es handelt sich dabei um eine spekulative Annahme seitens Digitalcourage und der Bundesdatenschutzbeauftragten. In der Pressemeldung macht der Verein für seine eigene Annahme die Bundespolizei verantwortlich: "Den Teilnehmenden teilte die Bundespolizei vor dem Versuch mit, der Transponder habe 'die Größe einer Kreditkarte'. Damit legte die Bundespolizei nahe, es würde RFID-Technik eingesetzt."

Medien gingen von RFID-Technik aus

Im Blogbeitrag verliert Digitalcourage kein Wort darüber, dass es eine eigene Annahme war: "Angekündigt für das Projekt war ein Chip im Kreditkartenformat - anscheinend hat die Bundespolizei erwartet, ein RFID-Chip sei für ihre Pläne ausreichend." In beiden Fällen wird sich dabei auf einen FAQ-Eintrag der Bundespolizei bezogen: "Der Transponder wird ungefähr die Größe einer Kreditkarte haben."

Im Update des Blogbeitrags ist weiterhin die Bundespolizei schuld, und die Medien werden miteinbezogen. Dort heißt es jetzt: "Zudem gab es vor Beginn des Tests Medienberichte, die von RFID-Technik berichtet haben. Die Bundespolizei hat diese Berichte nicht dementiert ... Test-Personen mussten davon ausgehen, dass RFID-Technik eingesetzt wird." Um welche Medienberichte es sich dabei handelt, wird nicht gesagt.

Wir finden im relevanten Zeitraum (vor August 2017) tatsächlich eine Vielzahl von Nachrichtenartikeln zum Projekt, aber nur drei davon erwähnen RFID. Von Heise.de erschien ein Artikel am 19. Juni 2017, kurz nach Beginn der Anmeldephase für das Projekt. Darin heißt es unter anderem: "Am Bahnhof Südkreuz sollen die Freiwilligen im Pendleralltag eine Fläche in der Westhalle hingegen ganz in ihrem normalen Gehtempo durchqueren und dennoch erkannt werden. Diese Fläche ist mit RFID-Baken 'abgezäunt', wie sie von den Diebstahlsicherungen in Warenhäusern her bekannt sind." Eine Quelle für die Verwendung von RFID und die Installation von Baken wird nicht angegeben.

Die Berliner Zeitung erwähnt in einem Artikel am Abend desselben Tages ebenfalls RFID, allerdings nur als Teil eines Zitats des Bundestagsabgeordneten und Projektkritikers Andrej Hunko. Computerbild zieht einen Tag später nach, nennt aber für die RFID-Anwendung ebenfalls keine Quelle.



Digitalcourage verschläft technische Entwicklung

Aus Sicht der Technikhistorie ist die Gleichsetzung von Kreditkartengröße mit RFID nicht ganz von der Hand zu weisen. Lange Zeit war nur die NFC- und RFID-Technik dünn genug, um in nur wenige Millimeter dicke Behältnisse zu passen. Schon eine kurze Google-Bildersuche zeigt jedoch, wie flexibel der Begriff benutzt wird. Selbst ein vergleichsweise dicker Raspberry Pi wird als Rechner in Kreditkartengröße bezeichnet.

Vollkommen absurd wird es beim Thema Kreditkartengröße im Update des Blogbeitrags: "Eine Kreditkarte mit Batteriefach wäre eine technisch sensationelle Neu-Entwicklung von Innenministerium und Bundespolizei." Digitalcourage versucht sich in Satire, beweist aber damit nur die eigene Unkenntnis. Französische Banken geben seit September 2015 (!) Kreditkarten mit einem E-Paper-Display für dynamisch generierte Kartenprüfnummern aus. Als Energiequelle dient eine Lithium-Ionen-Batterie mit drei Jahren Lebensdauer - entsprechend der Gültigkeitsdauer der Karte.

Projekt nutzt böse, proprietäre Apple-Technik - nicht

Während sich Digitalcourage beim Begriff Kredikartengröße penibel zeigt, gestattet sich der Verein an anderer Stelle mehr begriffliche Freiheiten. Er bezeichnet den Transponder als iBeacon und verlinkt auch noch auf den zugehörigen Wikipedia-Artikel, der gleich im ersten Satz eine große amerikanische Firma und "proprietärer Standard" erwähnt. Der Hersteller des Transponders spricht allerdings nicht grundlos nur von Beacon ohne i bei seinem Produkt. Auch Behörden sprechen nur von "iBeacon-Funktion".

Zwar kommt für die reine Identifikationsfunktion tatsächlich das gleiche Protokoll wie bei iBeacons zum Einsatz. Doch um das Gerät als iBeacon bezeichnen zu können, müsste der Transponder dafür eine von Apple lizenzierte ID besitzen. Doch der App-Screenshot von Digitalcourage selbst zeigt, dass das nicht der Fall ist.

Mehr Sensoren in der Hardware als notwendig

Ein weiterer - an sich korrekter - Vorwurf lautet, der Transponder erhebe zusätzliche Daten und speichere diese womöglich, obwohl sie keinerlei Relevanz im Rahmen des Projekts hätten. Der Transponder besitzt einen Temperatursensor und sowie einen Beschleunigungsmesser, unter anderem für Energiesparfunktionen. Das ergibt sich aus der Herstellerdokumentation und einem weiteren App-Screenshot von Digitalcourage.

Fragwürdig sind allerdings erneut die Spekulationen des Vereins zum Abruf dieser Daten. Dabei müssen wir die aktuelle Temperatur- und die Accelerometerdaten sowie die möglicherweise gespeicherten Daten getrennt betrachten.

Aufgrund der öffentlichen Dokumentation zum Transponder und unter Kenntnis des Bluetooth-Low-Energy- sowie iBeacon-Standards scheint es, als ob das Gerät im Rahmen seiner Identifikationsaussendungen auch den aktuellen Temperaturmesswert übermitteln kann. Das geht innerhalb weniger Millisekunden - also auch im Vorbeigehen an einer Transponder-Erfassungsstelle im Bahnhof Südkreuz.

Innenministerium verneint Datenübertragung

"Die iBeacon-Funktion sowie der Beschleunigungssensor wurden beide im Auslieferungszustand inaktiv geschaltet und werden nicht genutzt", teilte das Bundesinnenministerium auf Anfrage von Golem.de mit, was auch der Hersteller bestätigte. Die beim Projekt eingesetzten Transponder sendeten in der ausgelieferten Konfiguration pro Sekunde einmal die Transponderadresse (ID), die Signalstärke, den Batteriestand sowie die Temperatur des Transponders. Ob das stimmt, kann jeder auch mit geringsten Mitteln zu Hause prüfen, ganz ohne Hersteller-App oder proprietäres Programm. Wie das geht, haben wir schon vor drei Jahren erklärt. Wäre die iBeacon-Funktion aktiv, würde sich ein Teil der Advertising-Daten des Geräts mit jeder Temperaturmessung ändern.

Komplizierter wird es hinsichtlich der Accelerometerdaten. Diese können gar nicht per iBeacon-Modus versendet werden, dafür sind sie zu groß. Der Transponder benötigt hierfür einen expliziten Verbindungsaufbau über Bluetooth Low Energy. Das kostet Zeit, zwar nur wenige Sekunden, doch es würde einen expliziten Halt vor der Transponder-Erfassung erfordern. Weder die FAQ der Bundespolizei noch Digitalcourage erwähnen eine solche Verhaltensvorgabe für die Teilnehmer.

Digitalcourage hat Transponder neu konfiguriert

Nun zeigt ein Screenshot der Hersteller-App für den Transponder aber eindeutig Accelerometerdaten, während das Innenministerium von einer Inaktivierung spricht. Der Beacon-Hersteller, die Schwarzwälder Schneider Schreibgeräte GmbH, erläuterte dazu auf Anfrage von Golem.de: "Der Sensor ist nicht-verbindbar ausgeliefert worden. Den Zustand kann man ändern, wenn man die Batterie herausnimmt und wieder einsetzt. Dann ist er für 30 Sekunden verbindbar und kann neu konfiguriert werden." Das hat Digitalcourage offenbar gemacht.

Daten sammeln ohne Speicher

Bleibt das Thema Speicherung und nachträgliche Auswertung der Daten. In der Pressemitteilung des Vereins heißt es : "Aus den Daten von Beschleunigung, Neigung und auch der Temperatur lassen sich Schlüsse ziehen, was Personen außerhalb des Testgebiets im Bahnhof getan haben." Dafür müssten die Daten irgendwo im Gerät gespeichert werden.

Dankbarerweise hat Digitalcourage ein Foto veröffentlicht, auf dem der Mikrocontroller des Beacon zu erkennen ist. Es handelt sich um einen Texas Instruments CC2640. Laut Datenblatt hat der SoC aber nur 128 KByte Flashspeicher, in dem auch der Programmcode gespeichert wird. Und auf dem Bild ist auch kein weiterer Speicherbaustein erkennbar, der die notwendige Datenmenge im Megabyte-Bereich aufnehmen könnte. Nach Angaben von Schneider ist auf dem Beacon gar keine Firmware vorhanden, die Daten aufzeichnen kann.

"Kleine Überwachungslabore" - geht's noch?

Im Update zum Blogbeitrag wird ebenfalls noch einmal auf die ominöse Speicherung eingegangen. Darin findet sich die verwirrende Erklärung: "... die Test-Personen [wurden] nicht darüber informiert ..., dass sie kleine Überwachungs-Labore mit sich führen, die rund um die Uhr Temperatur-, Neigungs- und Beschleunigungs-Daten ... mit bis zu 256 KByte (2 MBit) speichern und senden können."

Der Satzbau legt nahe, dass es sich bei 256 KByte um eine Datenrate handelt. Dafür fehlt aber noch eine Zeitangabe. Und Bluetooth Low Energy ist erst ab Version 5 so schnell. Das Bundesinnenministeriums teilte mit: "Der Transponder hat nur einen 2 Mbit-Speicher, auf welchen nur die Konfigurationsdaten des Transponders gespeichert werden." Das klingt glaubhaft.

Digitalcourage lenkt ein

Am Mittwoch schob der Verein eine weitere Pressemitteilung hinterher. Darin ist nur noch die Rede davon, dass "insbesondere technisch informierte Probanden mit einem RFID-Chip gerechnet hätten". Darin liegt eine gewisse Ironie, gerade technisch informierte Personen hätten durchaus Techniken abseits von RFID in Betracht gezogen. Zudem befinden sich in der Westhalle des Bahnhofs Südkreuz eben keine "RFID-Baken". Daher ist für technisch informierte Probanden eine Kommunikationstechnik mit höherer Reichweite naheliegend.

Zudem gibt es in der Mitteilung einen Umschwung in der Argumentation, weg von der Technik im Transponder selbst. Jetzt geht es um die Bluetooth-Lesegeräte: "Die Bundespolizei hat kurzerhand Bluetooth-Lesegeräte am Bahnhof Südkreuz installiert. Sie verliert aber kein Wort darüber, ob damit auch die IDs von Smartphones mit eingeschaltetem Bluetooth abgegriffen werden", sagt Friedemann Ebelt von Digitalcourage. "Wenn die Verantwortlichen nicht den letzten Rest Vertrauen verspielen wollen, muss die Konfiguration der Lesegeräte veröffentlicht werden - und zwar transparent!"

Kampagne richtet Schaden an - auf der falschen Seite

Abgesehen davon, dass uns nicht ganz klar ist, was Digitalcourage unter einer transparent veröffentlichen Konfiguration versteht: Auch hier wirkt der Verein technisch eher unbedarft und wenig informiert. Die Ausstrahlung der Bluetooth-Kennung ist bei Smartphones mit Android, iOS und Windows standardmäßig deaktiviert und muss explizit vom Nutzer aktiviert werden. Die Kennung wird auch nicht bei der normalen Bluetooth-Verwendung, zum Beispiel bei Einsatz eines Headsets, ausgestrahlt. Das passiert nur bei einem kurzen, vom Nutzer ausgelösten Kopplungsvorgang zwischen den Geräten.

Die Kampagne des Digitalcourage e.V. hat in kürzester Zeit zu einer deutschlandweiten Berichterstattung geführt. Mit Intervention der Bundesdatenschutzbeauftragten Voßhoff hat der Verein sein Ziel offensichtlich erreicht. Doch die Art und Weise der Argumentation, die ein fragwürdiges Technikwissen offenbart, kennen wir bislang eher von Politikern, nicht von Datenschutzbefürwortern. Das hat es Bundesinnenminister Thomas de Maizière (CDU) auch leicht gemacht, die Vorwürfe zurückzuweisen, da sie "auf falschen Informationen durch eine Datenschutz-Organisation" beruhten.

Bundespolizei agierte offenbar kurzfristig

Allerdings hat auch die Bundespolizei nicht mit offenen Karten gespielt. Sie hat vielleicht nicht "falsch informiert", wie Digitalcourage behauptet, sondern eher gar nicht. Möglicherweise haben sich die Verantwortlichen erst kurzfristig für die Bluetooth-Variante entschieden. Daher wurden Angaben zu der verwendeten Technik vielleicht bewusst offengelassen. Vielleicht war der Aufwand zu hoch, für wenige Monate tatsächlich RFID-Lesegeräte in dem Erfassungsbereich zu installieren. Mit mehr Vorbereitungszeit hätten jedoch Beacons ausgewählt werden können, die erst gar nicht über bestimmte Sensoren verfügen und nur in der Lage sind, eine ID zu senden.

Ob die Bluetooth-Technik in der Einwilligungserklärung hätte erwähnt werden müssen, ist eine andere Frage. Das Innenministerium widerspricht in diesem Punkt der Bundesdatenschutzbeauftragten. "Die freiwilligen Testpersonen haben durch Einwilligung der Verarbeitung ihrer für den Test erforderlichen personenbezogenen Daten zugestimmt und wurden durch die Informationsschreiben der Bundespolizei umfassend informiert. Da auch nur die für den Test erforderlichen Daten erhoben werden, ergeben sich nach Auffassung des Bundesministerium des Innern keine Implikationen", teilte das Ministerium mit. Die Missbrauchsmöglichkeiten der Beacons dürften in der Tat sehr gering sein. Zumal keine personenbezogenen Daten übertragen werden.

Golem.de sieht das Gesichtserkennungsprojekt der Bundespolizei kritisch, es ist unzweifelhaft ein Angriff auf den Datenschutz und stellt den normalen Bürger unter Generalverdacht. Wer aber wie der Digitalcourage e. V. die Debatte mit fragwürdigen, teils einfach zu widerlegenden Argumenten und schlecht unterfütterten Spekulationen führt, der schadet jeglichen Datenschutzbemühungen und arbeitet dem Überwachungsstaat eher zu, statt ihn zu bekämpfen. Zudem lenkt die Debatte über die Bluetooth-Beacons von der eigentlichen Problematik völlig ab. Denn bei einem späteren Einsatz der Überwachungstechnik spielen diese Sender überhaupt keine Rolle mehr.

Nachtrag vom 25. August 2017, 12:29 Uhr

Das Bundesinnenministerium bestätigte auf Anfrage von Golem.de, dass die Bundesdatenschutzbeauftragte vorab nicht über die Art der eingesetzten Transponder informiert worden war. Es sei der Einsatz eines Referenzsystems mit Transpondern besprochen worden, "ohne konkrete Festlegung auf eine Technologie", teilte ein Sprecher mit. Das Bundesministerium und die Bundespolizei befänden sich aber auch weiterhin "in einem konstruktiven fachlichen Austausch mit der Bundesbeauftragten".

Nachtrag vom 25. August 2017, 14:17 Uhr

Die Bundespolizei bestätigte auf Anfrage von Golem.de, dass das Referenzsystem mit den Transpondern sehr kurzfristig beschafft wurde. Die abschließende Auftragserteilung an den Vertragspartner, die Roth ITK Consulting GmbH aus München, sei am 18. Juli 2017 erfolgt. Da das Projekt am 1. August startete, blieben dem Unternehmen gerade einmal zehn Arbeitstage, um die Beacons bei der Schneider Schreibgeräte GmbH zu besorgen und das System zu konfigurieren. "Eine Lieferung ohne Sensoren war durch den Lieferanten nicht möglich", hieß es weiter.

Warum der Auftrag an den Vertragspartner so kurzfristig erfolgte, bleibt unklar. Schließlich hatte das Ministerium schon Mitte April 2017 angekündigt, dass das Pilotprojekt am Bahnhof Südkreuz im dritten Quartal starten würde. Zudem widerspricht die Bundespolizei damit einem Sprecher des Innenministeriums. Dieser hatte auf Anfrage von Golem.de gesagt: "Die Bundespolizei ist verantwortliche Stelle für die Umsetzung des Projekts und hat die verwendete Technik beschafft. Ein externer Dienstleister wurde hierfür nicht beauftragt."  (am)


Verwandte Artikel:
Videoüberwachung: Merkel erwartet Gesichtserkennung an allen Bahnhöfen   
(07.09.2017, https://glm.io/129942 )
Pilotprojekt am Südkreuz: De Maizière plant breiten Einsatz von Gesichtserkennung   
(15.12.2017, https://glm.io/131704 )
Gesichtserkennung: British Airways testet biometrische Systeme beim Boarding   
(09.03.2018, https://glm.io/133244 )
IT-Sicherheit: BSI-Chef hält trotz Infineon-Panne an Gütesiegel fest   
(09.11.2017, https://glm.io/131050 )
Große Koalition: Evaluierungsverweigerer Maas wird Außenminister   
(09.03.2018, https://glm.io/133249 )

© 1997–2019 Golem.de, https://www.golem.de/