Nachdem selbst das US-Repräsentantenhaus einräumte, seine zuvor verkündeten Fristen seien unrealistisch, wurde vergangenen Monat beschlossen, den visumfreien Ländern für die Einführung biometrischer Reisepässe bis zum 26. Oktober 2005 Zeit zu lassen. Die Regelung betrifft den Großteil Europas, Japan, Singapur, Australien und Neuseeland. Der Gesetzesentwurf muss jetzt noch dem Senat vorgelegt werden.
Wegen der Schwierigkeiten bei der Bereitstellung geeigneter Technologien würde die Bush-Administration die Frist am liebsten bis zum November 2006 verlängern. "Wenn wir jetzt eine Lösung durchboxen, nur um die Frist zu erfüllen, werden wir lauter inkompatible Systeme erhalten", warnte Außenminister Colin Powell bei seiner Rede vor dem Kongress, in der er sich für eine Verlängerung der gesetzlichen Einführungsfrist um weitere zwei Jahre aussprach.
Als "gewaltige Herausforderung" bezeichnen auch unabhängige Beoachter das Vorhaben. So etwa Joseph Kim, Senior Consultant der New Yorker Unternehmensberatung International Biometric Group. Das Gesetz basiere auf "einer falschen Auffassung davon, wie weit die Standardisierung von Technologien tatsächlich reicht."
Der Industrie fehlt die Erfahrung
Auch die Biometrie-Branche hat ihren Teil zur Verschlimmerung des Problems beigetragen: Vollmundig verkaufte man seine Technologie als universelles Allheilmittel, als die USA nach dem 11. September mitten im Terror-Trauma steckte. Das sorgte wiederum für unberechtigten Optimismus bei US-Politikern, die seitdem dem baldigen Einsatz von fehlerfreien elektronischen Reisepässen entgegen fiebern. Wer sich als Technologie-Anbieter schnell einen Vertrag unter den Nagel reißen wollte, erklärte seine Produkte kurzerhand für marktreif. Doch bislang gab es überhaupt keine Praxistests der infrage kommenden Biometrie-Lösungen. "Ohne echte Praxiserfahrungen und mehr Daten können wir einfach nicht wissen, wie weit und wie gut wir sind", beklagt Andreas Raeschmeier, General Manager der Finanz- und ID-Division von STMicroelectronics.
Zudem hat der einseitige US-Beschluss viele Verbündete der USA vor den Kopf gestoßen. Da 20 der 27 visumfreien Staaten in Europa liegen, will die EU-Kommission bis zum Jahresende neue Spezifikationen für europäische Reisepässe vorlegen. Diese sollen den von den USA ausgegebenen Pässen und den Standards der International Civil Aviation Organization (ICAO)entsprechen.
Dennoch will sich Europa bei der Datensicherung und beim Datenschutz nicht von Washington dreinreden lassen. Das bestätigten mehrere europäische Industrie-Vertreter und Politiker, die ungenannt bleiben wollen. "Europa kann den [US-] Zug zwar nicht bremsen. Aber zumindest wollen wir selbst entscheiden, was wir auf den Zug laden", bringt es Detlef Houdeau, Senior Director der Secure Mobile Solutions Group von Infineon, auf den Punkt.
Einige technische Bestandteile der biometrischen Reisepässe stehen bereits fest. Die UN-Sonderbehörde ICAO definierte vergangenes Jahr grundlegende Rahmenvorgaben für die biometrische Technologie, die in kommende Pässe integriert werden soll. Dazu gehören eine Abbildung des Gesichts sowie andere zwingend erforderliche biometrische Daten. Finger- und Iris-Abdrücke sind dagegen optional. Vor zwei Monaten veröffentlichte die ICAO ausführlichere technische Spezifikationen für die Definition von Datenstrukturen, Befehlssätzen und für die Kommunikation zwischen Reisepass und Lesegerät. All diese Vorgaben werden gebraucht, damit das Lesegerät die biometrischen Daten abfragen kann, die im E2PROM eines kontaktlosen Chips gespeichert sind.
Laut Houdeau von Infineon stehen 95 Prozent der ICAO-Spezifikationen, die heute auf dem Tisch liegen, unumstößlich fest. Parallel dazu arbeitet die Internationale Organisation für Standardisierung (ISO) an einer Zertifizierung für die Technologie.
Jungfernfahrt ins Unbekannte
Doch weder die Branche noch Regierungsbehörden haben bislang die Probleme in Angriff genommen, die mit der Implementierung einhergehen. Niemand weiß, welche ICAO-Spezifiktionen letztlich in Chips, Lesegeräten und Reisepässen realisiert werden. Der Vortest vom 27. bis 29. Juli in West Virginia stellt demnach die Jungfernfahrt für die meisten kritischen Komponenten dar. Einen Feldversuch mit Tausenden von Menschen, die mit elektronischen Reisepässen ausgestattet sind, soll es nicht vor nächstem Jahr geben.
Bislang hatte die Branche keine Chance, ihre Produkte zu optimieren. Auch haben die Anbieter noch keine Benchmark-Werte entwickelt, um die Geschwindigkeit, die Leistung und die Akzeptanzquote der biometrischen Technologie zu beurteilen.
Die deutsche Bundesdruckerei, die neben Banknoten auch Personalausweise und Reisepässe herstellt, verwendet in ihren Prototyp-Reisepässen nach eigenen Angaben einen kontaktlosen 72-KByte-Chip von Philips Semiconductors. Mittlerweile benötigt die Bundesdruckerei auch eine Second Source für die Paß-Produktion in hohen Stückzahlen.
Infineon hat zwar jüngst einen kontaktlosen Chip mit 64 KByte Speicherplatz vorgestellt, der zudem noch einen Verschlüsselungs-Engine nach den ICAO-Spezifikationen an Bord hat, und brennt darauf, den Chip so schnell wie möglich im Feldversuch zu testen. Doch Hartmut Hemme, Vertriebsleiter der Bundesdruckerei, bedauert: "Wir haben nur ein paar Muster vorliegen." Neben den Chips bringt auch die Verpackung noch Probleme mit sich. Grundsätzlich sei die Kompatibilität zwischen Reisepässen dank den ICAO-Standards "machbar", so Raeschmeier von STMicroelectronics. "Aber am meisten Sorge bereitet mir die Zuverlässigkeit der Reisepässe." Raeschmeier fragt sich, wie das im Pass integrierte Gehäuse nebst Antenne der mechanischen Belastung - Handhabung, Abstempeln, Lesen und Knicken - der üblichen Gültigkeitsdauer von zehn Jahren standhalten soll.
... und wer darf die Daten lesen?
"Die Herausforderung besteht darin, um wie viel dünner wir das Gehäuse machen können, ohne dass das auf Kosten der Stabilität geht", erklärt Michael Ganzera, Marketing Manager für e-Government und Smart Identity bei Philips Semiconductors. Philips wird im dritten Quartal einen Controller-Chip in neuem Gehäuse bringen, der nur 320 Mikron hoch ist und den Vorgängerstandard mit 390 Mikron ersetzen soll. Das dünnere Gehäuse soll im Pass in eine Halterseite aus Polycarbonat (PC) integriert werden. Bislang gibt es jedoch noch keine Erfahrungen hinischtlich der Zuverlässigkeit des dünneren Gehäuses.
Auch eine Entscheidung über die Sicherheit der Kommunikationsverbindung zwischen Chip und Lesegerät steht noch aus. Die ICAO räumt hier zahlreiche Optionen ein. Letztlich bleibt es aber jedem Land selbst überlassen, ob man diese in seinen Pässen haben will. Auch das Betriebssystem für einen Reisepass-Chip kann jedes Land nach Belieben wählen.
Ein noch größeres Problem ist die Handhabung von biometrischen Daten. Houdeau von Infineon dazu: "[Die ICAO] sagt nichts über das Backbone-System." Die Entwicklung von Richtlinien über die "Handhabung von [biometrischen] Daten" nach deren Erfassung und ihre Speicherung im Chip unterliegt ebenfalls den Regierungen. Die EU-Kommission diskutiert derzeit die Zugriffskontrolle. Die zentrale Frage lautet hier: Soll auf die Daten, die im Reisepass-Chip gespeichert sind, uneingeschränkt oder mit bestimmten Restriktionen zugegriffen werden dürfen? Ein Vorschlag sieht vor, dass die biometrischen Daten erst entsichert oder lesbar werden, wenn eine optische Zeichenfolge im Reisepass von einem optischen Lesegerät gelesen wurde. Dieser zusätzliche Datenschutz würde einem Abfragen der biometrischen Daten ohne Wissen des Reisepass-Inhabers vorbeugen, so Hemme von der Bundesdruckerei.
Neben der Zugriffskontrolle erwägen einige europäische Länder einen Coprozessor für die Verschlüsselung. Dieser soll die Berechnung von elliptischen Kurven in Reisepässen übernehmen, um biometrische Daten im Chip zu codieren. Im Gegensatz dazu streben die USA laut Houdeau von Infineon einen weitaus niedrigeren Sicherheitsstandard für die Datenkommunikation an.
"Europa geht hier mit Bedacht zur Sache", bemerkt Sadhbh McCarthy, Managing Director des European Biometrics Forum (EBF). Das EBF hat Hauptsitz im irischen Dublin und wurde anfangs von der EU-Kommission und der irischen Regierung finanziert. Dahinter verbirgt sich ein Netz aus Experten und Organisationen, die eine realistische Zukunftsvision für die europäische Biometrie-Branche erarbeiten sollen. "Die Datensicherung und der Datenschutz steht bei den Mitgliedsstaaten und der EU-Kommission an erster Stelle", so McCarthy.
Fast jeder wichtige Anbieter wird bei den Tests in West Virginia dabei sein. Untersucht werden grundlegende Fragen wie die Erkennung, ob sich ein Chip im Lesebereich befindet, die Art des kontaktlosen Chips (ob ein Chip ISO/IEC 14443 Typ A oder Typ B verwendet wird, die andere Datenübertragungs-Protokolle verwenden), ob der Chip eine grundlegende Zugriffskontrolle bietet und wie viele Chips sich in Reichweite befinden.
Die US-Bundesdruckerei veröffentlichte vergangene Woche die letzte Ausschreibung für elektronische US-Reisepässe. Stichtag ist der 12. August. Die Regierung will damit so genannte "Vehikel" für das Testen von Lesegeräten und Reisepässen schaffen. Die Prototypen müssen bis Jahresende eingereicht werden.
Autor: Junko Yoshida
Quelle: EETimes, 20.07.2004
