FM4-Logo

jetzt live:

Aktueller Musiktitel:

Grafik zum Thema Biometrie

CC0

Erich Moechel

Einreisen in USA und EU künftig nur mit Selfie-App

Im kommenden ETIAS-Voranmeldesystem sollen mithilfe von Selfies auch Ausreisekontrollen möglich werden. Die USA versuchen damit gerade, ein Gesetz von 2004 vollständig umzusetzen.

Von Erich Moechel

Die visumfreie Einreise in die EU soll künftig nur noch mit einem Smartphone und einer speziellen App möglich sein. Vor Reiseantritt muss ein Selfie angefertigt werden und mit dem Antrag auf visumfreie Einreise in das EU-System ETIAS hochgeladen werden. Dasselbe wird bei der Einreise in die USA für EU-Staatsbürger gelten.

Dieses Bild wird für die geplanten biometrischen Ausreisekontrollen benötigt, es soll sicherstellen, dass Einreisende entdeckt werden, die nach Ablauf der visumfreien Frist im Land verblieben sind. Nach 18 Jahren Entwicklungszeit ist das von Anfang an mitgeplante US-Ausreisekontrollsystem aber gerade erst auf der Ebene „technischer Demonstrationen“ angelangt.

CBP-Timeline

DHS

Diese Biometrie-Timeline stammt aus einem Vortrag von Nael Samha, dem Exekutivdirektor des „Targeting and Analysis Systems Directorate“ der Zollbehörde CBP. Sie zeigt die an Rückschlägen reiche Geschichte des Ein- und Ausreisesystems US-VISIT, dessen Entwicklung von Präsident G. W. Bush in Auftrag gegeben geworden war, aber bis heute nicht fertig ist. Das Referat wurde am „Industrial Day“ der eu-LISA im Juni gehalten. eu-LISA ist für das operative Management großer IT-Systeme zuständig, wie etwa der Schengen-Datenbank SIS2, des Visa-Systems und der Fingerprint-Datenbank EURODAC, die alle in das EU-Einreisesystem ETIAS integriert werden. Von diesem ganztägigen Meeting liegt ORF.at ein Videomitschnitt vor.

Alles eine Frage der Zeit

Das EU-Einreisesystem ETIAS kopiert nicht nur den einigermaßen funktionierenden Teil des US-Heimatschutzsystems.

Schon in den Vorträgen der offiziellen Vertreter aus dem US-Ministerium für Heimatschutz am „Industrial Day“ der eu-LISA spielte der Zeitfaktor eine zentrale Rolle: wie lange es nämlich dauert, die biometrische Identifikation bei Grenzkontrollen durchzuführen. Die dabei erhobenen Daten der Passagiere müssen nämlich in Echtzeit abgeglichen werden, hinter den Lesegeräten geht es in einen großen Datenbankverbund. Die Beratungsfirma Augmentiq hat am Beispiel des Londoner Bahnhofs St. Pancras - von dem der Eurostar-Express nach Brüssel und Paris abfährt - hochgeschätzt, welche Latenzzeiten bei diesem Datenabgleich anfallen, wenn nämlich Systeme eingesetzt werden, die auch Ausreisekontrollen ermöglichen.

Vor allem bei Ersteinträgen in das biometriegestützte Datenbanksystem dauert die Prozedur dreimal länger als bei normalen biometrischen Kontrollen. Die neuen Identität muss ja erst systemweit eingeordnet und verknüpft werden. Diesem Problem versucht man nun mit der verpflichtenden Voranmeldung beizukommen, die ein Selfie der Person enthält, das mit einer bestimmten App angefertigt werden muss. Das auf biometrische Identifizierung über das Netz spezialisierte, niederländische ReadID hat mit einer solchen App bereits sehr viel Erfahrung gesammelt, seit 2017 wird sie von Banken und Industrie zur Online-Authentifizierung vor allem in Holland eingesetzt.

Screenshot aus Dokument

augmentiq

Die einschlägig tätige Beraterfirma Augmentiq ist in London niedergelassen und so neu, dass ihre Website erst im Aufbau ist. Tatsächlich handelt es sich um ein Spin-off des indischen Cloud-Konzerns LTI, der seit 2016 an der indischen Börse NSE notiert und international tätig ist.

Alles hackbar, oder was?

Binnen einer Stunde produzierte der Hacker Starbug aus Haushaltsbeständen künstliche Finger, die mit geklonten Fingerprints versehen wurden.

Es folgten mehrere Präsentationen von Start-ups aus dem EU-Raum und ebenso viele Apps, die auch sichere biometrische Identifizierung ab dem Zeitpunkt garantieren sollten, an dem Reisende ihre Anmeldungen bei ETIAS bzw. US-VISIT erstellen. Weil dafür eine beliebig lange Zeitspanne in einer nicht kontrollierten Umgebung zur Verfügung steht, haben Angreifer auch beliebig lange Zeit für Manipulationsversuche. Denn dafür hatte sich die erste Generation von biometrischen Ein- und Austrittssystemen als äußerst anfällig gezeigt, wenn das Ambiente der Authentifizierung nicht kontrolliert wird.

Ab 2006 hatte Starbug vom Chaos Computer Club mit seiner Fingerabdruckshow auf einschlägigen Events der Hackerszene für beste Unterhaltung gesorgt, wenn er einfache Fingerprint-Scanner reihenweise mit vor Ort geklonten Fingerabdrücken narrte. Solche Scanner für zwei Zeigefinger, die sehr schnelle Authentifizierung etwa an den Ausgängen von Gates in Flughäfen versprachen, hatten die USA damals für das Ausreisesystem getestet. Die folgenden Versuche, stattdessen Iris-Scans dafür einzusetzen, scheiterten ebenso blamabel. Diese Systeme waren zwar schnell, aber noch weit anfälliger für Manipulationen, sie wurden mit einfachen Fotos einer Iris, die vor die Kamera gehalten wurden, ausgetrickst.

Screenshot aus Dokument

iProov

iProov ist in London niedergelassen und wird etwa vom britischen Innenministerium und im Gesundheitssystem eingesetzt. Der aktuelle Hack eineѕ halben Dutzends solcher foto- und videobasierter Biometriesysteme in Deutschland kommt, nicht ganz überraschend, aus dem Umfeld des CCC.

Zusätzliche, sogenannte Sicherheitsfaktoren

In den Präsentationen zweier Start-ups wurde auf die vielfältigen Manipulationsmöglichkeiten bei Fern-Authentifizierung über Geräte, die nicht unter der Kontrolle der Authentifizierer stehen, Bezug genommen. Das System von iProov benutzt mehrfarbige Beleuchtung des Gesichts durch das Smartphone bei der Erstellung des Selfies als zusätzlichen Sicherheitsfaktor. Die Reihenfolge der jeweils unterschiedlichen Farbkombinationen könne nicht imitiert werden, hieß es bei der Präsentation.

Innovatrics setzt hingegen auf die Einbindung eines KI-Systems, um sicherzustellen, dass kein manipuliertes Foto, sondern das Gesicht eines echten Menschen von der Selfiekamera abgelichtet wird. Die Präsentationen von smartphone-basierten Biometriesystemen stammen, wie erwähnt, von Mitte Juni. Anfang August wurde der Bericht des Sicherheitsforѕchers Martin Tschirsich, ebenfalls vom Chaos Computer Club, veröffentlicht.

Screenshot aus Dokument

innovatriqs

Innovatrics ist ein slowakisches Unternehmen mit Filialen in Tschechien, Brasilien, Saudiarabien, Singapur, Taiwan und in den USA.

Alles hackbar, war ja klar

Das Heimatschutz-Desaster mit biometriegestützten RFID-Funkchips 2007 in Reisedokumenten hatte zur Folge, dass diese „Lösung“ für Ausreisekontrollen in Folge gestrichen wurde.

Im Auftrag des deutschen Bundesamts für „Sicherheіt in der Informationstechnik“ (BSI) konnte Tschirsich erfolgreiche Angriffe auf mehr als ein halbes Dutzend bekannter Video-Authentifikationsverfahren demonstrieren. Einigermaßen alarmierend ist dabei, mit welch einfachen Mitteln diese Angriffe möglich waren. Während alle Welt über die Gefährlichkeit von KI-generierten Deepfakes schwadroniert, reichten Tschirsich „handelsübliche Unterhaltungselektronik“, nämlich Kamera, TV-Bildschirm und Laptop, dazu kamen etwas rote Wasserfarbe und quelloffene freie Software-Tools, vor allem zur Bild- und Videobearbeitung.

Da es sich um eine Auftragsarbeit für das BSI handelt, wurden keine Hersteller genannt. Weil die getesteten Applikationen aber mehrheitlich von europäischen Firmen stammen, ist es wahrscheinlich, dass darunter auch die hier beschrieben sind. Im einleitenden Resümee heißt es dazu: „Die Annahme, bekannte Schwachstellen in Prozessen zur Videoidentifikation könnten durch ‚Einsatz von Künstlicher Intelligenz‘ beseitigt werden, hat sich in der Praxis als unrichtig erwiesen.“

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: