Parlamentarische Materialien

631/J XXIII. GP

Eingelangt am 03.04.2007
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.

Anfrage

der Abgeordneten Mag. Johann Maier

und GenossInnen

an den Bundesminister für Inneres

betreffend „Sicherheit von Reisepässen - Biometrische Merkmale -

Schutz vor Klonen und (Ver-)Fälschungen"

Mit der AB 4153/XXII.GP wurden die entsprechenden Fragen für das Jahr 2005 beantwortet.
Leider konnten nicht alle Fragen beantworten werden. Aus systematischen Gründen werden
ähnliche bzw. dieselbe Fragen wieder gestellt um einerseits die Zahlen für 2006 sowie
andererseits Antworten zur aktuellen europäischen Diskussion zu erhalten, da neue
Sicherheitsfragen wie „Datenklonen" aufgetaucht sind und von einigen Staaten zusätzliche
Anwendungsbereiche für biometrische Daten gefordert werden.

„Die derzeitige ePass-Architektur ist ein einziger Hirnschaden", echauffiert sich Lukas
Grunwald gegenüber dem Online-Magazin Wired News. „Aus meiner Sicht sind RFID-Pässe
eine riesige Geldverschwendung, da sie in keinerlei Hinsicht die Sicherheit erhöhen ", erklärt der
Geschäftsführer der Hildesheimer DN-Systems, ein auf IT-Sicherheitsprodukte und-
Dienstleistungen spezialisiertes Beratungsunternehmen. Grunwald benötigte eigenen Angaben
zufolge lediglich zwei Wochen, um herauszufinden, wie sich die elektronischen Daten eines
RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen - auch auf
Smartcards, die dann für Zutrittsberechtigungen genutzt werden könnten................

Laut Grunwald erhält man so ein Dokument, das elektronische Pass-Lesegeräte nicht vom
Original unterscheiden können. Lediglich Änderungen der Daten (etwa Name oder
Geburtsdatum) fallen auf, da diese über Kryptoschlüssel zusätzlich gesichert sind. Straftäter
könnten derart manipulierte Pässe aber durchaus nutzen, um an automatisierten Grenzkontrollen
eine elektronische Fahndungsabfrage zur eigenen Person zu umgehen. Auffallen würde der
Eingriff allerdings, wenn ein Grenzbeamter das Lichtbild und die gedruckten Passdaten mit den
auf dem Chip abgelegten digitalen Daten vergleicht. Ziel der Einführung von elektronischen
Reisepässen ist aber nicht zuletzt, den Personalaufwand für Kontrollen im Grenzverkehr künftig
deutlich einzuschränken". (news 03.08.2006).

So ist es einem Sicherheitsexperten gelungen, in weniger als 48 Stunden Daten aus den neuen
britischen RFID-Chip-Reisepässen auszulesen. Auch das Klonen eines Chips sei kein Problem,
sagen Spezialisten. Dies gelang einem deutschen Experten: Er konnte den Chip mit einem
einfachen Lesegerät auslesen und die Daten auf einen anderen Chip zu kopieren.
Anders Meinung und Auffassung von Unternehmen und Behörden: Diese haben die neuen
elektronischen Reisepässen, bei denen Daten auf RFID-Chips gespeichert werden, als
absolut sicher bezeichnet!

Die vom BMI aufgrund des im Nationalrat einstimmig beschlossenen EA „Moratorium für die
Einführung biometrischer Merkmale in Pässen" (598/A(E), XII.GP) beauftragte Studie sprach
diese Probleme nicht an.

Der Deutsche Bundesrat hat sich nun in einer Plenarsitzung am 16.02.2007 für eine Speicherung
von Gesichtsbildern und Fingerabdrücken aus biometrischen Ausweisdokumenten bei der Polizei
sowie einen automatisierten Vergleich der höchstpersönlichen Daten mit Fahndungsdatenbanken
ausgesprochen (zentrale Referenzdatenbanken). Gefordert wird somit ein automatischer Abgleich
von Lichtbild und Fingerabdruck mit zentralen Referenzdatenbanken. Dies ist gegenwärtig im
europäischen Recht nicht vorgesehen!

Im Einzelnen drängen u.a. die deutschen Bundesländer darauf, dass die Polizeivollzugsbehörden
die bei der Passkontrolle erhobenen Daten zur Überprüfung der Identität des Passinhabers auch
"für einen automatisierten Abgleich mit erkennungsdienstlichen Dateien" wie dem beim
Bundeskriminalamt geführten automatischen Fingerabdruck-Identifizierungssystem (AFIS)
verwenden dürfen. Dies ist von Österreich und anderen EU-Mitgliedsstaaten in den letzten Jahren
bewusst abgelehnt worden und würde einen Paradigmenwechsel in der Sicherheitspolitik und
Datenschutzpolitik darstellen.

In Österreich fehlt weiterhin das Vier-Augen-Prinzip bei der Passausstellung - Ein
Passbediensteter kann ohne weitere Kontrolle für Jedermann/Jederfrau einen Hochsicherheitspass
ausstellen lassen. Der Ausstellungsvorgang unterliegt keiner besonderen Kontrolle.

Die unterzeichneten Abgeordneten richten daher an den Bundesminister für Inneres nachstehende

Anfrage:

1. Wie wird zur Zeit das Sicherheitsniveau von Reisepässen (z.B. Fälschungssicherheit), die zur
Zeit in anderen Mitgliedsstaaten der EU ausgestellt werden, durch das BMI beurteilt? Mit
welchen Ländern gab es im Jahr 2006 die größten Probleme?

2. Wie wird Sicherheitsniveau von Reisepässen (z.B. Fälschungssicherheit), die in Drittstaaten
ausgestellt werden, durch das BMI beurteilt? Mit welchen Drittstaaten gab es im Jahr 2006
die größten Probleme?

3. Welche Pässe von anderen EU-Mitgliedsstaaten und von Drittstaaten lassen sich aus Sicht des
Ressorts besonders leicht falschen? Wie viele und welche Fälle sind dem Ressort 2006
bekannt geworden?

4. Wie viele Fälle von (Ver)Fälschungen österreichischer Pässe (inkl. der gefälschten Pässe)
sind dem Innenressort 2006 im In- oder aus dem Ausland bekannt geworden?

5. In welchen Ländern wurden Verfälschungen von österreichischen Reisepässen oder
gefälschte österreichische Pässe im Jahr entdeckt?

6. Wie oft wurden 2006 in Österreich bei fremdenbehördlichen oder sicherheitsbehördlichen
Kontrollen Menschen mit einem gefälschten oder verfälschten nichtösterreichischen Pass
(z.B. Griechischer Pass) aufgegriffen (Aufschlüsselung auf Passherkunftsländer)?

7. Wie viele Straftaten nach dem StGB wurden unter Verwendung eines verfälschten oder
gefälschten Passes 2006 begangen? Welche Delikte betraf dies (Aufschlüsselung der
Anzahl auf Delikte und Passherkunft)?

8. Wie viele Verstöße nach dem Passgesetz gab es 2006 in Österreich? Um welche
Verstöße handelte es sich dabei (Aufschlüsselung der Anzahl der Verstöße9?

9. Wie viele Fälle von Urkundenfälschung (z.B. Reisepass) sind Ihnen in den letzten 5 Jahren
bekannt geworden und zur Anzeige gebracht worden (Aufschlüsselung auf Jahre und
Herkunft der Täter)? Wie viele davon im Jahr 2006?

10. Welche technischen Spezifikationen wurden auf EU-Ebene (bzw. ICAO) für die Abnahme
bzw. Aufnahme von Fingerabdrücken in Reisepässen festgelegt? Wann wurden diese
festgelegt?

11. Falls noch keine diesbezüglichen technischen Spezifikationen festgelegt wurden: Wann wird
voraussichtlich eine Entscheidung darüber getroffen werden?

12. Welche (elektronischen) biometrischen Erkennungssysteme (Erkennungsverfahren) kommen
zur Zeit in den EU-Mitgliedsstaaten zur Anwendung (Aufschlüsselung auf EU-
Mitgliedsstaaten)?

13. In welchen EU-Mitgliedsstaaten wird (bzw. soll) nach Einführung von biometrischen
Passdaten im Rahmen von Grenzkontrollen das auf dem Chip gespeicherte Passbild
analysiert und mit dem aktuellen Kamerabild verglichen werden?

14. Wie werden in den anderen EU-Mitgliedsstaaten im Rahmen von Passkontrollen die
biometrischen Passdaten verwendet? Wie erfolgen die behördlichen Kontrollen, was wird
ausgelesen?

15. In welchen EU-Mitgliedsstaaten erfolgt die Grenzkontrolle durch den Vergleich des
gedruckten Bildes mit dem im Chip gespeicherten Bild und der vor dem Grenzorgan
stehenden Person?

16. Werden Sie auf EU-Ebene dafür eintreten, dass europaweit die biometrischen Merkmale
(Daten) ausschließlich von den für die Passkontrollen zuständigen Behörden für hoheitliche
Zwecke genutzt werden?

Wenn nein, warum nicht?

17. Werden Sie in der EU dafür eintreten, dass der Zugriff für Private (z.B. Banken,
Sicherheitsunternehmen) auf biometrische Passdaten generell ausgeschlossen wird?
Wenn nein, warum nicht?

18. Werden Sie in der EU dafür eintreten, dass biometrische Daten, die auf der Grundlage

gesetzlicher Verpflichtungen zu öffentlichen Zwecken (siehe Passgesetz) gespeichert werden,
und solchen, die mit ausdrücklicher Einwilligung von Personen zu Vertragszwecken
gesammelt und gespeichert werden, strikt getrennt bleiben?
Wenn nein, warum nicht?

19. Werden Sie in der EU dafür eintreten, dass die in Ausweisen gespeicherten Daten mit
biometrischen Merkmalen nicht als Referenzdaten genutzt werden, um Daten aus
unterschiedlichen Systemen und Kontexten zusammenzuführen? Wenn nein, warum nicht?

20. Werden Sie in der EU weiterhin dafür eintreten, dass keine zentralen oder vernetzten
Biometriedatenbanken geschaffen werden und die biometrischen Identifizierungsdaten
ausschließlich nur auf dem jeweiligen Ausweisdokument gespeichert werden dürfen?
Wenn nein, warum nicht?

21. Werden Sie in der EU weiterhin dafür eintreten, dass keine Europäische Passdatei mit den
biometrischen Daten der EU-BürgerInnen angelegt wird?

Wenn nein, warum nicht?

22. Werden Sie in der EU dafür eintreten, dass die Verwendung biometrischer Merkmale in
Pässen auf den Zweck der Identifizierung durch Vergleich der Daten des Dokuments mit
Daten des Dokumentinhabers im Moment der Dokumentvorlage technisch beschränkt wird?
Wenn nein, warum nicht?

23. Werden Sie in der EU dafür eintreten, dass die maschinelle Auslesung von biometrischen
Merkmalen auf Pässen nur bei den Passbehörden sowie an den Grenzkontrollstellen und
Flughäfen erfolgt?

Wenn nein, warum nicht?

24. Werden Sie in der EU dafür eintreten, dass die für die Ausstellung und das Auslesen von
biometrischen Merkmalen verwendete Lesegeräte nach internationalen Standards von einer
unabhängigen Stelle zertifiziert und diese in regelmäßigen zeitlichen Intervallen durch eine
zentrale Einrichtung authentisiert werden?

Wenn nein, warum nicht?

25. Werden Sie in der EU dafür eintreten, dass harmonisierte Verfahren in der EU festgelegt
werden, die einen Datenmissbrauch beim Auslesen von biometrischen Daten verhindern und
diese Verfahrensfestlegung durch eine unabhängige Stelle regelmäßig evaluiert wird?
Wenn nein, warum nicht?

26. Werden Sie in der EU dafür eintreten, dass durch international festzulegende Standards
sowie Vorschriften und Vereinbarungen sichergestellt wird, dass die bei den Passkontrollen
erhobenen biometrischen Merkmalen (Ausweisdaten) weltweit nur gemäß eines noch
festzulegenden einheitlichen hohen Datenschutz- und IT-Sicherheitsstandards verarbeitet
werden dürfen?

Wenn nein, warum nicht?

27. Werden Sie in der EU dafür eintreten, dass Passlesegeräte bei den nationalen Ausgabestellen
(Passbehörden) kostenfrei aufgestellt werden, damit jeder Bürger überprüfen kann, welche
Daten auf seinem Pass-Chip gespeichert sind?

Wenn nein, warum nicht?

28. Werden Sie in der EU dafür eintreten, dass innerhalb der EU Amtshaftungs- bzw.
Schadenersatzregelungen für den Fall der Nichtidentifikation oder Nichtverifikation
(Biometrie funktioniert nicht) bzw. einer Falschidentifikation festgelegt werden, wenn davon
betroffene Personen dadurch einen Schaden erleiden?

Wenn nein, warum nicht?

29. Werden Sie im EU-Ministerrat dafür eintreten, dass abschreckende Strafbestimmungen für
das illegale Auslesen, Verarbeiten, Verwenden oder für die rechtswidrige Übermittlung und
Verwertung von biometrischen Daten EU-weit normiert werden (Umgehung der IT-
Sicherheitstechnik bzw. der Verschlüsselung)?

Wenn nein, warum nicht?

30. In wie weit hat die Arbeit der österreichischen Dokumentenberater zu deutlichen Erfolgen
im Kampf (insb. gegen illegale Migration) auf dem Luftweg geführt? Welche Erfolge
können 2006 konkret nachgewiesen werden?

31. Welche internationalen Vereinbarungen und Datenschutzregelungen mit Drittstaaten zum
Schutz vor dem Auslesen von RFID-Chips (Biometrische Daten) und der Speicherung dieser
Daten gibt es?

32. Welche Probleme sind dem Ressort mit den österreichischen Hochsicherheitspässen bislang
bekannt geworden? Welche Probleme sind dem Ressort mit Hochsicherheitspässen anderer
Mitgliedsstaaten bekannt geworden?

33. Können auch österreichische Sicherheitspässe mit biometrischen Kennzeichen wie im
Einleitungstext beschrieben ausgelesen, geklont und die Daten auf einen anderen Chip
übertragen werden? Wenn nein, warum nicht?

34. Warum kostet der Kinderpass ohne Chip 26 Euro und der Kinderpass mit Chip 69 Euro?

35. Warum gibt es keinen Kinder-Personalausweis - dieser kostet für alle Personen 56 Euro?

36. Sollen auch aus Sicht des Ressorts auch biometrische Merkmale auf dem Personalausweis
gespeichert werden?

37. Wie viele Hochsicherheitspässe, die von der Staatsdruckerei weggeschickt wurden, sind
bislang auf dem Postweg verloren gegangen (RSb-Zustellung)?

Zu welchen Konsequenzen führte dies jeweils?