Montag, Februar 12, 2007

Biometrische Daten in Ausweisdokumenten wecken Begehrlichkeiten

Heise hat heute diesen Beitrag im Programm. (Ich sehe mal ab von der offenbar kritiklosen Übernahme der Aussage von Wolfgang Wieland ab, der im Bundestag schlechtes Englischverständnis für die Ableitung benutzte, daß die Einführung von Fingerabdrücken nicht zwingend, sondern nur optional sei, indem er statt des deutschen Textes (lesen!) der EU-Verordnung den englischen nahm und diesen selbst auf deutsch übersetzte und dabei an der richtigen Verwendung des Wortes "shall" verzweifelte - übersehend, daß bei seiner Wort-Intepretation der Staat alle möglichen Ekligkeiten begehen dürfte, da man mit derselben Übersetzung auch nur ein seichtes Konjunktiv-Verbot für zentrale biometrische Datenbanken aus derselben Verordnung rauskriegt.)

Gegen zentrale Datenbanken habe ich mich schon einmal ausgesprochen, und meine Meinung hat sich nicht geändert. Die Roadmap scheint jedoch klar:


  1. Erfassung visumspflichter Besucher
  2. Hinzufügen von Fahndungsdatenbanken zur bereits vorhandenen Infrastruktur inkl. Abgleich bei routinemäßigen Kontrollen
  3. Durchsetzen einer zentralen Datenbank - man darf die Daten ja nicht verschenken, wenn sich dadurch in Zukunft leichter Verbrechen aufklären lassen.


Tags: ,

Donnerstag, Februar 08, 2007

Stellungnahme des BSI zur veränderten EAC-Spezifikation

Das BSI hat heute eine Stellungnahme zum Heise-Bericht über die Veränderungen zwischen Version 1.0 und Version 1.01 veröffentlicht. Lesenswert sind beide Originaldokumente in jedem Fall.

Tags:

Großbritannien: ePass-RF-Chips mit nur zwei Jahren Garantie

Heise berichtet heute über die Garantiebedingungen auf die Chips in britischen ePässen. Der Originalbericht des National Audit Office steht öffentlich zur Verfügung. Demnach war es dem Hersteller (Philips, inzwischen wohl NXP) zu heikel, mehr als zwei Jahre Garantie auf die Funktionstüchtigkeit zu geben.

Für uns interessant ist die Frage, ob sich diese Sachen auf Deutschland übertragen lassen. Die Bundesregierung gab bereits eine Stellungnahme zur Haltbarkeit ab. (Warum ich an der Verläßlichkeit der Zahlen zweifle, steht irgendwo weiter unten in diesem Blog.) In einer früheren Antwort wurde das Thema schon einmal aufgegriffen (Frage 12). Weiter hinten in jenem Text kommt auch wieder das Beispiel aus den Niederlanden, wo sich in der Testphase Haarrisse bildeten. Gleichzeitig wird jedoch auf die Unterschiede zwischen der deutschen und der holländischen Lösung hingewiesen bzgl. der Chipplatzierung usw.

Wie die Lösung beim britischen Pass aussieht, weiß ich nicht. Auf jeden Fall bleibt es eine spannende Frage, wie sich die deutschen ePässe über ihre Laufzeit verhalten.

Tags:

Sonntag, Februar 04, 2007

Bundestagsaussprache zum ePass und ePersonalausweis

In der Nacht vom 2. auf den 3. Februar gab es im Bundestag eine Aussprache zum Thema ePass, ePersonalausweis und der Verwendung der biometrischen Daten, die sich im Protokoll nachlesen lassen.

Es sprachen Frank Hofmann (SPD), Gisela Piltz (FDP), Jan Korte (DIE LINKE), Wolfgang Wieland (BÜNDNIS 90/DIE GRÜNEN) und Jan Korte (fraktionslos). Auf Seiten der Regierung sprach Peter Altmaier, Parlamentarischer Staatssekretär beim Bundesministerium des Innern.

Und eines vorneweg: Meine hier in diversen Beiträgen und Kommentaren vertretene Meinung, daß man sich in einer Kritik am ePass, deren Argumente von übertriebenen und falschen Aussagen gespeist werden, nur selbst ein Bein stellt wurde in dieser Aussprache bestätigt. Argumentiert man nicht sauber und gewissenhaft, zeigt man eine gewaltige offene Flanke und wird sofort in eine unpassende Ecke gedrängt:

Als Antwort auf Anfragen der FDP wird Peter Altmaier folgendermaßen zitiert:



Aus dem FDP-Antrag zu biometrischen Pässen wird deutlich, dass gegenüber diesen Vorkehrungen Misstrauen besteht, aber auch, dass die technischen Mechanismen im Detail nicht bekannt sind. Denn die im Antrag formulierten Annahmen entsprechen nicht der Faktenlage.

Ein Beispiel: Es wird behauptet, dass die im Chip gespeicherten Daten bei aktivem Auslesen in bis zu 10 Meter Entfernung empfangen werden können. Das ist weit von der Realität entfernt: Nach Untersuchungen des Bundesamtes für Sicherheit in der Informationstechnik ist das aktive Auslesen eines E-Pass-Chips nur in einer Entfernung von wenigen Zentimetern möglich.

[...]

Zweite Behauptung: beim passiven Auslesen, also dem Empfang der Daten eines von einem berechtigten Lesegerät aktivierten Chips, zum Beispiel bei der Grenzkontrolle, sei der Empfang in bis zu 30 Metern Entfernung möglich. Auch das ist nicht richtig: Ein fehlerfreies passives Mitlesen ist nach Untersuchungen des BSI nur unter optimalen Bedingungen und in einer Entfernung von weniger als von weniger als 3 Metern möglich.

[...]

Ich könnte hier noch mehr technische Details nennen, möchte mich aber kurz fassen



Und mit diesen Punkten hat er recht. Dummerweise ist die FDP bei ihrem damaligen Antrag auf solche Falschinformationen reingefallen. Daß es aber noch mehr Punkte, und zwar gute Punkte, im Antrag gab, zum Beispiel die Forderung,


ein Verschlüsselungssystem zu entwickeln und in die Reisepässe einzuarbeiten, das auf den jeweils aktuellen Sicherheitsstandard verbessert werden kann sowie entsprechende „Upgrades“ in regelmäßigen Abständen zu entwickeln und den Reisepassinhabern – in Form einer aufspielbaren Software oder als neues Passdokument – kostenlos anzubieten.



geht dabei komplett unter. In die gleiche Kerbe hieb auch Frank Hofmann:

Die Anträge von FDP und Bündnis 90/Die Grünen Fraktion sind leider nur wenig hilfreich. Die Sicherheitsbedenken wirken wie in Anträge gekleidete Presseerklärungen, die weniger den rechtlichen und technischen Realitäten entsprechen als dem Versuch, mit einem diffusen Zerrbild Ängste in der Bevölkerung vor einem Überwachungsstaat zu erzeugen.



Recherchiert man also nicht selbst nach, bleibt der Eindruck eines technisch inkompetenten Antrags ohne weitere sinnvolle Beiträge, also eines nicht diskussionswürdigen Antrags übrig. Grundsätzliche Fragen bleiben deshalb auch nach dieser Aussprache immer noch nicht beantwortet.


  • Selbst bei einer postulierten Sicherheit (bzw. Angemessenheit bei BAC) der kryptografischen Algorithmen fehlt die Antwort auf die typischen Problemszenarien, die es im Bereich von Smart Cards etc. gibt: Fehler im Betriebssystem. Was ist, wenn durch Software-Fehler ein Umgehen der kryptografischen Algorithmen ermöglichen läßt? 10 Jahre sind hier eine Ewigkeit.
  • Was ist, wenn die verwendeten Algorithmen zur Hash-Wert-Bildung gebrochen werden, siehe MD5? Was passiert mit den bis dahin ausgegebenen, noch bis zu 10 Jahren gültigen Dokumenten? Daraus die Antwort zu formulieren, daß man wegen solcher rein spekulativen Unwägbarkeiten das alles lieber komplett lassen sollte, ist sicherlich nicht zielführend, insbesondere, da man dann in vielen anderen Bereichen ganz andere Probleme bekäme, aber es fehlen Informationen, wie man mit solchen Szenarien umzugehen gedenkt.


Ein zentraler Streitpunkt war die Frage der Errichtung von Datenbanken. Frank Hofmann und Gisela Piltz sprachen die Passage zur Anwendung bei Straßenverkehrsordnungswidrigkeiten im Gesetzentwurf zur Änderung des Passgesetzes und weiterer Vorschriften an:

Hierzu gehört zum einen die Zulassung eines Online-Abrufs der in den dezentralen Pass- und Personalausweisregistern gespeicherten Lichtbilder durch die Polizei- und Bußgeldbehörden bei Straßenverkehrsordnungswidrigkeiten.



Bisher erfolgt zwar ebenfalls eine Übermittlung der Lichtbilder aus den Meldebehörden zu diesen Zwecken, das geschieht jedoch per Post oder Telefax (s. hinten im Gesetzentwurf). Bei in elektronischer Form vorliegenden biometriegeeigneten Passphotos eröffnet sich jedoch plötzlich ein viel größeres Potential, bei dem man durchaus Bauchschmerzen kriegen.

(In anderem Kontext ist umgekehrt lobenswert, daß die Seriennummer zukünftig zufällig sein soll. Als Antwort auf bekannte Schwächen der BAC in Bezug auf die Schlüssellänge beim Aushandeln des Sitzungsschlüssels ist das ein sinnvoller Ansatz.)

Mein Fazit nach Durchlesen des Protokolls ist


  1. daß die Fragen in Bezug auf Datenbanken für mich nicht zufriedenstellend beantwortet wurden,
  2. man bereits jetzt recht lange braucht, um auf Schwachstellen zu reagieren und
  3. es scheinbar keine Szenarien gibt, wie man schnell auf gravierende Probleme (Chip-Betriebssystem u.ä.) reagieren könnte


Weiterhin hat sich bestätigt, daß inbesondere die Kritiker ihre Argumente sehr gewissenhaft formulieren müssen.

Tags: ,

Freitag, Januar 05, 2007

Zahlenmythen bei ePass-Kosten

Es ist immer sehr schade, wenn man mit (entweder schlecht recherchierten oder bewußt so ausgewählten) Falschinformationen versucht, Stimmung zu machen. So beim Bericht im Heise-Newsticker über den ePass-Vortrag beim 23C3, in dem man folgendes findet:

Den "Erträgen" stünden 669 Millionen Euro allein an einmaligen Einrichtungskosten der ersten ePass-Generation und jährlich auflaufende weitere 610 Millionen gegenüber.


Nachtrag:Nachdem inzwischen auch das Video des Vortrags vorhanden ist, kann endgültig klargestellt werden, daß obiges Zitat direkt von Heise stammt. Im Gegensatz zum ePass-Vortrag zum 22C3 2005 wurden die Zahlen nicht wiederholt.

Diese Zahlen basieren auf dem Bericht zu Biometrie und Ausweisdokumenten des Büros für Technikfolgenabschätzung. Verfolgt man die Historie der Heise-Berichterstattung, findet man folgende Entwicklung:


  • Völlig korrekt am 26.5.2004: "Das TAB rechnet bei Einführung einer völlig neuen Ausweisgeneration mit einmaligen Kosten in Höhe von rund 669 Millionen Euro, an laufenden Kosten entstünden jährlich weitere 610 Millionen Euro."
  • Schon ein wenig verwaschener am 2.12.2004: "Das aus einem nachvollziehbaren Grund: Experten rechneten mit einmaligen Kosten in Höhe von bis zu 669 Millionen Euro. An laufenden Kosten seien pro Jahr über 600 Millionen Euro zu erwarten." Das "bis zu" kann man schon fast übersehen, auch kann man nicht mehr zuordnen, wofür das "bis zu" nun eigentlich steht.
  • Am 28.12.2005 wurden bei der Berichterstattung zum 22C3 aus den Zahlen der komplett neuen Ausweisgeneration plötzlich die Zahlen für den ePass, keine Nennung mehr einer komplett neuen Generation eines elektronischen Personalausweises, die ebenfalls in den Zahlen enthalten ist: "Angesichts der einmaligen Einrichtungskosten von 669 Millionen Euro und jährlich auflaufenden weiteren 610 Millionen ist der Pass offenbar vor allem ein teures Spielzeug für Geeks." Heise ist formal kein Vorwurf zu machen, da der Vortrag nur zitiert wird. Da jedoch Heise auch gerne mal kommentiert, wäre hier eine Erwähnung der falschen Zahlen auch nicht fehl am Platze gewesen. Man kann nur hoffen, daß nicht etwa schlechte Recherche dazu geführt hat, daß das gar nicht erst auffiel.
  • Am 29.12.2006 wurde beim Zitieren des 23C3 sogar noch weiter eingeschränkt, denn plötzlich stehen die Zahlen nur noch für die "erste ePass-Generation": "Den "Erträgen" stünden 669 Millionen Euro allein an einmaligen Einrichtungskosten der ersten ePass-Generation und jährlich auflaufende weitere 610 Millionen gegenüber."


Daher nochmal ein wenig genauer die Ergebnisse der TAB-Studie. Es wurden drei Szenarien betrachtet.

Das erste Szenario betrachtet die Verwendung der existierenden Dokumente ohne irgendeine Aufrüstung, das Lichtbild wird einfach vom Ausweisdokument gescannt. Hierbei ergeben sich einmalige Kosten von gut 21 Millionen Euro (davon 5 Millionen für Personalschulung) sowie laufende Kosten von rund 4,5 Millionen Euro pro Jahr.

Das zweite Szenario betrachtet die zusätzliche Einbindung biometrischer Merkmale in Ausweisdokumente, z.B. durch einen Chip, ohne diese so grundlegend zu verändern, daß komplett neue Herstellungsprozesse eingeführt werden müßte. Mithin das, was beim ePass gemacht wurde. Das Szenario wird dabei unterteilt, in einer Variante erfolgt die Generierung der biometrischen Templates in den Meldebehörden, in der anderen beim Produzenten, d.h., in letzterem Fall die Beibehaltung des vorherigen Systems.

Dementsprechend rechnet die erste Variante mit einmaligen Kosten von 614 Millionen Euro (davon 530 Millionen Euro für Ausrüstung und Schulung der Meldebehörden) sowie laufenden Kosten von 332 Millionen Euro pro Jahr (davon 205 Millionen Euro für Personalkosten in den Meldebehörden). Für die laufende Produktion der Reisepässe wurden 9 Millionen Euro p.a. angenommen (Personalausweis: 18 Millionen) sowie 4,5 Millionen Euro (9 Millionen) für die Speichermedien des Reisepasses (Personalausweises). Aus den laufenden Kosten ergibt sich übrigens ziemlich genau 130 Euro für den neuen Preis eines Reisepasses, die 2005 vor Bekanntgabe der eigentlichen Preise spekuliert wurden.

Die zweite Variante ist entsprechend billiger. Es werden einmalige Kosten von 179 Millionen Euro fällig (davon sind 80 Millionen Euro für Marketing/Kommunikation angenommen wurden) sowie laufende Kosten von 55 Millionen Euro pro Jahr.

Der ePass dürfte irgendwo zwischen diesen beiden Varianten liegen (laut Bundesregierung soll ja keine Preiserhöhung bei Einführung der Fingerabdrücke erfolgen, und ich halte es für möglich, daß dann in den Meldebehörden schon eine gewisse Vorverarbeitung erfolgt).

Das dritte Szenario schlußendlich betrachtet die Einführung eines komplett neuen chipbasierten Dokuments, dessen erklärtes Ziel es weiterhin ist, als "Eckpfeiler einer elektronischen Unterschrift für den elektronischen Geschäftsverkehr" einsetzbar zu sein. Explizit ist hierbei auch der Personalausweis drin. Klingt das nach der "ersten Phase des ePasses"? Es wird auch weiterhin angemerkt, daß die Kosten nur sehr vage geschätzt werden können. Es wird auch von komplett neuen Produktionsprozessen (mit entsprechenden Kosten, abgeschätzt mit 60 bis 80 Millionen Euro) für die komplett neuen Dokumente ausgegangen (was beim ePass offensichtlich nicht der Fall ist). Und erst mit diesem Szenario, das eher an die Pläne für den elektronischen Personalausweis denn an den ePass (geschweige denn seine "erste Phase") erinnert, kommen die weiter oben zitierten Zahlen ins Spiel:

Die einmaligen Kosten belaufen sich hier auf jene 669 Millionen Euro (davon 400 Millionen Euro Hard- und Software in den Meldebehörden, wieder 80 Millionen Marketing/Kommunikation, 80 Millionen Investition für neue Produktionsanlagen). Die laufenden Kosten sind eben jene 610 Millionen Euro pro Jahr. Davon sind 205 Millionen Euro Personalkosten in den Meldebehörden (sowohl für die Personalausweise als auch Reisepässe), 71 Millionen Euro laufende Kosten für Hard- und Software in den Meldebehören, 180 Millionen Euro laufende Kosten für den Personalausweis, 90 Millionen für den Reisepass, 45 Millionen Euro für die Speichermedien des Personalausweises (9 Millionen für den Reisepass). (Angesichts der Kosten in den Bereichen, in denen es nicht um das reine Dokument geht, wird übrigens auch klar, warum Firmen wie Siemens und IBM sich ebenfalls für solche Ausweise stark machen)

Das heißt, selbst wenn man sich den Text nicht durchgelesen hätte und nur die Tabelle nimmt, ist es äußerst schwierig, diese Zahlen mit den Kosten für die "erste Phase des ePasses" zu verbinden. Geht man von den kommunizierten Zahlen der Produktion aus (2-3 Millionen ePässe, 6 Millionen Personalausweise) reduzieren sich die Kosten auf der Ausstellungsebene entsprechend auf ein Drittel, rund 92 Millionen Euro. Nimmt man von den Produktionskosten nur diejenigen, die auch für den Reisepass sind, und läßt die genannten Kosten für Personalausweise und Visa weg, kommt man auf 99 Millionen Euro. Die Kosten in der Kontrollebene (Grenzstationen) kann man mit 1.4 Millionen Euro lassen. Aber damit erhält man selbst im Fall des Nichtlesens des Berichts schlimmstenfalls laufende Kosten von 193 Millionen Euro für den ePass, und keinesfalls 610 Millionen Euro.

Ich bleibe bei meiner Meinung, daß man mit Verdrehungen und bewußten Lügen den Kampf nur verlieren kann. Wenn man so eine Breitseite präsentiert, muß man sich nicht wundern, wenn Rufe verhallen und nur bei Gleichgesinnten auf fruchtbaren Boden stoßen. Sofern diese sich nicht die Mühe machen, selbständig die Quellen anzuschauen, hat man diese jedoch ebenfalls in die Irre geführt, und auch das erscheint nicht wünschenswert.

Stattdessen könnte man bereits jetzt entsprechende Kampagnen in Bezug auf den elektronischen Personalausweis zu starten - denn genau hierzu gibt es Zahlen, zu denen sich eine halbwegs offizielle Stelle zumindest irgendwie Gedanken gemacht hat: Szenario 3 des TAB-Berichts. Wenn es dafür nicht zu spät ist, weil es peinlich ist, wenn man plötzlich mit denselben Zahlen ankommt, die vorher angeblich für den ePass gegolten haben.

Tags: ,

Donnerstag, Januar 04, 2007

Smart Card Alliance empfiehlt ePass-Technologie für US-"Passport Card"-Programm

Die Smart Card Alliance empfiehlt der US-Regierung, ihre Pläne für das "Passport Card"-Programm umzugestalten.

Das Passport-Card-Programm dient dazu, US-Bürgern, die sich nicht im Besitz eines regulären Passes befinden, eine Identifikationsmöglichkeit zu geben, wenn sie z.B. die kanadische oder mexikanische Grenze passieren. Dafür sollen auch langreichweitige RFID-Chips nach ISO 18000-6 verwendet werden.

Dagegen spricht sich die Smart Card Alliance aus, die stattdessen die Verwendung der wesentlich kürzerreichweitigen ePass-Technologie vorschlägt. Ihre Kritikpunkte an langreichweitigen Chips sind:


  • Fehlende Sicherheitsmechanismen in langreichweitiger RFID-Technologie
  • Potential des Trackings mit Mißtrauen der Bürger
  • Dopplung der nötigen Grenzinfrastruktur zu ePässen
  • Verwendung zentraler Datenbanken und Netzwerkzugriffen
  • Fragwürdige Machbarkeit
  • Potentialle Probleme bei mehreren langreichweitigen RFID-Tags in Automobilen
  • Kein Review der Standards oder offene Diskussion des Implementationsansatzes


Eine entsprechende Heise-Nachricht verwendet allerdings fragwürdige Zitierungen. Aus "The Smart Card Alliance urges the Department of State and DHS to reconsider the technology choice and to select the contactless smart card technology that has been proven to be effective and secure for human identity applications and that is already being deployed in the ePassport program." (oder ähnliche Aussagen) wird "Wir bitten das State Department und das Department of Homeland Security eindringlich, ihre Entscheidungen für den Einsatz von RFID in Personaldokumenten noch einmal zu überdenken". In dem Kontext lohnt es sich auch, sich genau anzuschauen, gegen was die "Anti-RFID-Senatoren" protestiert haben.

Tags:

Dienstag, Januar 02, 2007

Stellungnahme der Bundesregierung zu Fingerabdrücken in ePässen

Die Bundesregierung hat auf eine kleine Anfrage der FDP eine Stellungnahme verfaßt.

Wichtige Punkte:


  • Von den 2,3 Millionen bisher produzierten ePässen gab es bei 26 Stück Probleme mit der Lesbarkeit. Diese Zahl relativiert sich jedoch m.E., weil später im Text noch einmal explizit erwähnt wird, daß momentan das Auslesen der ePässe nur in Ausnahmefällen erfolgt. Die defekten Pässe wurden von der Bundesdruckerei jedoch unentgeltlich ersetzt.
  • Die Bundesregierung plant nicht, die Verwendung der biometrischen Daten anderen als hoheitlichen Stellen zu erlauben (z.B. Fluggesellschaften oder privaten Unternehmen).
  • Die Bundesregierung plant nicht, die ab Herbst 2007 erhobenen Fingerabdrücke an anderer Stelle als im ePass (bzw. irgendwann dem elektronischen Personalausweis) zu speichern. Das trifft auch auf das örtliche Melderegister zu, das weiterhin lediglich eine Kopie des Lichtbilds behalten soll (wie bereits vor der Einführung des ePasses). Ebensowenig soll das Speichern der Daten in einer zentralen Datenbank geschehen.
  • Die biometrischen Daten sollen desweiteren nur zum 1:1-Abgleich der Chip-Daten mit den Inhaber-Daten verwendet werden. Insbesondere soll eine weitere Verwendung zur Verbrechensbekämpfung bei Daten deutscher Reisepässe nicht erfolgen. Die Betonung kommt von mir.
  • Es ist nicht geplant, die Passgebühren mit Einführung der Fingerabdrücke zu erhöhen.
  • Die Zahl der abgelehnten Lichtbilder beim ePass hat sich inzwischen auf das Niveau der Vor-ePass-Zeit eingependelt.


Tags:

Sonntag, November 19, 2006

Computerexperten zeigen: Basic Access Control funktioniert beim britischen ePass

Im Guardian gibt es einen Artikel über die Arbeit zweier IT-Experten am britischen ePass mit der Überschrift "Cracked It!" Liest man sich den Artikel jedoch genau durch, fragt man sich, was denn dort nun eigentlich gecrackt wurde. Denn es wird nur beschrieben, wie eine Basic Access Control erfolgreich durchgeführt wurde.

Der Artikel ist mehr ein Beispiel für ein fehlendes Verständnis der Funktionalität der ePass-Architektur. Daß der Pass so auslesbar ist (genauer: die Daten des Passes, die sich auf der Datenseite befinden, Active Authentication und später Extended Access Control greifen genau hier an), ist beabsichtigt und für jeden einsichtig, der sich die Spezifikationen durchgelesen hat.

Ein Punkt, der leider untergeht, da man beim Artikel zum schnellen Abwinken geneigt ist und der dort auch eher am Rande erwähnt wird, ist jedoch der: Ich erhalte nicht nur die Daten der Datenseite des Passes in elektronischer Form, sondern zusammen mit signierten Hash-Werten. Das sorgt zwar dafür, daß ich die Daten beim Klonen des Chips nicht ändern kann, gleichzeitig erhalte ich aber einen vom Staat signierten Datensatz, der für ein Lesegerät verifizierbar ist.

Während professionelle Ausweiskontrolleure (lies: Grenzbeamte) entsprechend ausgebildet sind und auch wissen, worauf man schaut, und daß man sich nicht nur auf den Chip verlassen darf (was ja auch in den Spezifikationen steht), wird das obige Problem eher relevant in Situationen, in denen nicht ausgebildetes Personal sich ein Bild über die Echtheit eines Dokuments machen muß. Den Pass muß ich wie bisher fälschen, und ich muß auch dafür sorgen, daß MRZ des Passes und Bild im Pass mit ihren elektronischen Gegenstücken übereinstimmen, da Lesegeräte diese Daten typischer- und sinnvollerweise nebeneinander anzeigen.

Die Frage, die sich jedoch stellt und die für mich noch nicht geklärt ist, ist die Frage, inwieweit ein grüner Haken des Lesegeräts über den elektronischen Teil es einfacher macht, die physikalische Fälschung unbemerkt durchzukriegen. Mein Instinkt sagt mir, daß man selbstverständlich verleitet ist, der Aussage der Maschine zu trauen insbesondere, da sie ja in der Regel auch wirklich recht hat, weshalb ich danach nicht jeden Ausweis wirklich genau anschaue, so daß man nur hoffen kann, daß die Hersteller solcher Geräte entsprechend in die Fälschungserkennung des physikalischen Dokuments investieren. Nicht umsonst traten ja neben den elektronischen Spezifikationen im Rahmen der EU-Beschlüsse um die Pässe auch Mindestsicherheitsstandards für die physikalischen Dokumente in Kraft.

Tags: