Livio Brandenberg
Wer kürzlich seinen Pass erneuern musste, hat sich die Frage womöglich gestellt: Wie sicher sind meine persönlichen Daten, welche die Behörden – im Kanton Zug das Ausweisbüro – erheben? Gemeint sind die sogenannten biometrischen Daten, also die Fingerabdrücke und der Gesichtsscan. Seit 2010 werden in der Schweiz nur noch biometrische Pässe ausgestellt. Diese sind mit einem Chip versehen, auf dem die Fingerabdrücke und ein Gesichtsbild elektronisch gespeichert sind. Dies, da ein Pass mit diesen Daten gemäss Bund schwieriger zu missbrauchen ist.
Die Frage der Sicherheit erhält jetzt zusätzlich Gewicht. Denn wie der Bayerische Rundfunk und weitere internationale Medien berichten, werden heute weltweit Millionen an biometrischen Daten geklaut. Der kriminelle Handel damit im Darkweb sei das neue Geschäft der Cybermafia. So sollen etwa Terroristen des IS gestohlene respektive gefälschte Fingerabdrücke für Finanztransaktionen genutzt haben. Der Sender stützt seine Aussagen unter anderem auf Recherchen der ARD. Demnach verhafteten türkische Beamte Ende 2017 in der osttürkischen Stadt Kirsehir zehn Mitglieder des IS, die in ihrem Haus Fingerabdruckformen lagerten.
Sicherheitslücken in den Übertragungssystemen
Gemäss der Recherche werden im sogenannten Darkweb mittlerweile Hunderte Ausweise mit biometrischen Daten angeboten. So seien den ARD-Reportern Pässe mit freier Wahl der biometrischen Merkmale für 3000 Euro angeboten worden. Die europäische Grenzagentur Frontex habe auf Anfrage bestätigt, dass es «einige Fälle von gefälschten Pässen mit einem manipulierten Chip in der EU und im Schengenraum» gebe.
An die Fingerabdrücke und weiteren persönlichen Daten gelangen die Kriminellen via riesige Datenbanken, aus denen sie die biometrischen Daten «abfischen». In Indien etwa haben die Reporter der ARD mit zahlreichen Personen gesprochen, deren Fingerabdrücke gestohlen wurden. Und eine Journalistin vor Ort konnte nachweisen, dass die grösste biometrische Datenbank der Welt mit rund 1,2 Milliarden Daten nicht zugriffssicher gewesen ist.
Die grösste biometrische Datenbank der Welt mit rund 1,2 Milliarden Daten war nicht zugriffssicher.
Ein weiteres Einfallstor für die Kriminellen seien schlecht gesicherte Übertragungssysteme. Eine seit Jahren bestehende Sicherheitslücke bei Fingerabdruckscannern besteht gemäss Experten in vielen Ländern – so etwa in Deutschland – beim Erfassen der Daten, dem «Capturing». Nämlich darin, dass die gescannten Fingerabdrücke oder Gesichtsbilder unverschlüsselt vom Scanner, wo man seine Finger auflegen muss, zum Computer oder Server übermittelt werden. Und dieser Übertragungsweg deshalb angreifbar ist.
Kanton spricht von einer «Blackbox»
Wie sieht es bezüglich der Sicherheit im Kanton Zug aus? Welches System verwenden die Behörden hier? Werden Fingerabdrücke oder Gesichtsscans hier ebenfalls unverschlüsselt vom Scanner zum PC oder zum Server übertragen? Müssen Personen, die einen neuen Pass erstellen lassen, um ihre biometrischen Daten fürchten? Und gab es allenfalls bereits Fälle von entwendeten biometrischen Daten in Zug?
Beim zuständigen Ausweisbüro heisst es, man vollziehe im Auftrag des Bundes die Ausstellung von Pässen und Identitätskarten für Schweizerbürgerinnen und -bürger im Kanton Zug. «Sämtliche Hardware und Software für die Durchführung dieser Aufgabe wird uns vom Bund zur Verfügung gestellt.» Auch die Wartung und der Unterhalt dieser Systeme erfolgten durch den Bund. «Für uns im Kanton präsentiert sich das System als ‹Blackbox›.» Mit anderen Worten: Der Kanton weiss nicht, mit welchem System er arbeitet. Deshalb verweist die Staatskanzlei an das verantwortliche Bundesamt für Polizei Fedpol.
«Die Scanner sind abgeschirmt, und die Kabel, also die Leitungen, welche zu den Servern führen, sind alle verschlüsselt.»
Lulzana Musliu, Sprecherin des Fedpol
Dort gibt man Entwarnung: In der Schweiz würden biometrische Daten mittels eines abgeschirmten Systems erfasst, erklärt Lulzana Musliu, Mediensprecherin des Fedpol. «Dieses Erfassungssystem wurde schon von Beginn an für den Pass 2010 so aufgesetzt. Die Scanner sind abgeschirmt, und die Kabel, also die Leitungen, welche zu den Servern führen, sind alle verschlüsselt.» Es habe daher in der Schweiz auch noch nie einen Diebstahl biometrischer Daten gegeben, sagt Musliu. Und sie fügt an: «Der Schweizer Pass gilt generell als einer der sichersten Pässe überhaupt.»
Geschützt sind gemäss Fedpol besonders die Fingerabdrücke: Die Schweiz berechtigt für den Zugriff nämlich nur Länder, deren Datenschutz dem schweizerischen gleichwertig ist.
