Eidgenössisches Justiz- und Polizeidepartement

"Schutz der im Pass gespeicherten Daten"

Rede von Roman Vanek, Chef Abteilung Ausweise des Bundesamtes für Polizei

Reden, EJPD, 23.03.2009. Es gilt das gesprochene Wort

Bern. Medienkonferenz des Bundesrats vom 23. März 2009 zur Volksabstimmung vom 17. Mai 2009 über die Einführung von elektronisch gespeicherten biometrischen Daten im Schweizer Pass und in Reisedokumenten für ausländische Personen (Änderung des Ausweis- und des Ausländergesetzes).

Sehr geehrte Damen und Herren

Auf dem Chip im neuen E-Pass werden jene Daten gespeichert, die auch auf der Personalienseite ersichtlich sind, also Name, Vorname, Geburtsdatum, Heimatort, das Ausstellungs- und Ablaufdatum, etc. sowie das Foto. Zusätzlich sollen auch zwei Fingerabdrücke gespeichert werden.

Für die Speicherung der Daten hat die Internationale Zivilluftfahrtorganisation (ICAO) genaue Standards vorgegeben. Jedes Land, das E-Pässe ausstellt, muss sich an diese internationalen Vorgaben halten, ansonsten können die Pässe im Ausland nicht gelesen und kontrolliert werden. Die Schweiz kann also nicht selber einen eigenen Standard zur Speicherung der Daten festlegen.

Zum Schutz der gespeicherten Daten wurden zwei Schutzmechanismen festgelegt:

1. Das so genannte "Basic Access Control (BAC)"-Verfahren. Dieses bietet einen Grundschutz für die Personalien und das Foto, die weltweit lesbar sein müssen.

Wie gesagt, handelt es sich hierbei um dieselben Daten, welche sich auch heute schon auf der Personalienseite jedes Passes befinden. Um diese Daten lesen zu können, muss das Lesegerät zuerst die maschinenlesbare Zone (MRZ) im Pass auslesen. Aus der in der MRZ enthaltenen Passnummer, dem Geburtsdatum und dem Ablaufdatum des Passes wird ein Schlüssel errechnet, den das Lesegerät dann an den Passchip sendet. Passt der Schlüssel, gibt der Chip die Personalien und das Foto frei, und die Daten können überprüft werden.

Um einen möglichst hohen Schutz dieser Daten sicherzustellen, hat sich die Schweiz zusätzlich entschieden, die Passnummer nicht chronologisch, sondern zufällig zu vergeben. So ist es unmöglich, die Passnummer auf Grund des Ausstelldatums zu erraten. Damit geht die Schweiz weiter, als es die internationalen Normen verlangen.

Im blossen Vorbeigehen oder auch mittels irgendwelcher Lesegeräte aus der Ferne können die im Chip gespeicherten Daten dieser ersten Kategorie nicht ausgelesen werden.

In verschiedenen Berichten war die Rede davon, man könne Personalien und Foto auch auslesen, ohne dass man den Pass öffnet und die Personalienseite mit der MRZ auf ein Lesegerät hält. Dazu ist Folgendes zu sagen: Für den Zugang zu den Personalien und dem Foto muss wie gesagt das Geburtsdatum, das Ablaufdatum und die Passnummer bekannt sein. Wer Passnummer, Geburtsdatum und Ablaufdatum des Passes oder eines dieser Elemente kennt oder dieses in etwa bestimmen kann, weil es sich zum Beispiel um einen neu ausgestellten Pass handelt, kann im Labor in vielen Stunden, eventuell sogar Tagen, alle möglichen Schlüssel ausprobieren und vielleicht irgendwann den richtigen Schlüssel erwischen. Wie praktikabel ein solcher Versuch im Alltag ist, fraglich. Zudem müsste das Lesegerät in all der Zeit unbemerkt in unmittelbarer Nähe des Passes gehalten werden können.

Welche Daten hätte man schliesslich? Es sind die Daten, die auch auf der Personalienseite jedes Ausweises ersichtlich sind, und es gibt wohl ein Dutzend einfacherer und zuverlässigerer Methoden, den Namen einer Person zu erfahren oder an das Foto einer Person zu kommen. Jedes Mobiltelefon ist heute in der Lage, rasch ein Foto von einer Person zu knipsen. Häufig gibt man auch zum Beispiel den Pass im Hotel beim einchecken ab oder lässt es zu, dass eine Fotokopie erstellt wird.

2. Die Fingerabdrücke, also die Daten der zweiten Kategorie, sind mit einem zusätzlichen Schutzmechanismus gesichert, dem so genannten «Extended Access Control (EAC)»-Verfahren.

Um die im Chip gespeicherten Fingerabdrücke lesen zu können, ist ein spezieller Schlüssel notwendig, das sogenannte "Document Verifier (DV)"-Zertifikat und das "Inspection System (IS)"-Zertifikat. Verfügt ein Lesegerät, sei dies im In- oder Ausland, nicht über dieses Zertifikat, können die im Chip gespeicherten Fingerabdrücke nicht gelesen werden.

Damit ein Land die im Schweizer Pass gespeicherten Fingerabdrücke lesen kann, muss die Schweiz diesem Land die Zertifikate aktiv zur Verfügung stellen. Der Bundesrat entscheidet, welchem Land diese Zertifikate weitergegeben werden. Falls notwendig, kann der Bundesrat die Leseberechtigung zum Beispiel auch Fluggesellschaften oder anderen Stellen gewähren, die im öffentlichen Interesse Ausweise kontrollieren müssen.

Verschiedentlich war zu lesen und zu hören, man könne die im Chip enthaltenen Daten kopieren, in einem anderen Chip speichern und dann ändern, um z.B. andere Fingerabdrücke zu speichern. Danach würde dieser veränderte Chip dann in einem anderen Schweizer Pass eingebaut.

Dieses Szenario ist nicht möglich. Fingerabdrücke können nur mit dem erwähnten Schlüssel gelesen werden. Bei einer Grenzkontrolle, die gemäss den Vorgaben der ICAO durchgeführt wird, wird jede Manipulation am Chip und am Pass festgestellt. Die im Chip gespeicherten Daten sind wirkungsvoll mit Zertifikaten gegen Änderungen geschützt und auch Kopien können zuverlässig erkannt werden. Wichtig ist allerdings, dass die Kontrollen gemäss den internationalen Empfehlungen durchgeführt werden.

Zusammenfassend ist festzuhalten:

  • Der künftige Schweizer Pass erfüllt die internationalen Normen voll und ganz. Dort, wo dies möglich ist, geht die Schweiz sogar darüber hinaus. 
  • Es ist nicht möglich, die im Chip gespeicherten Daten zu verändern, ohne dass dies bemerkt würde. 
  • Die im Chip enthaltenen Personalien und das Foto sind Merkmale, die bereits heute auf der Personalienseite enthalten sind. Sie müssen bei Passkontrollen weltweit gelesen werden können. Der für diese Daten angewandte Grundschutz stellt sicher, dass die Daten im Alltag nicht im Vorübergehen von Unbefugten ausgelesen werden können. 
  • Die Fingerabdrücke sind mit einem besonderen Schutzmechanismus ausgestattet und die Schweiz bestimmt, wer die Fingerabdrücke auslesen darf. Ohne den entsprechenden Schlüssel der Schweiz können die Fingerabdrücke nicht gelesen werden. 
  • Das traditionelle Schweizer Passbüchlein sowie die im Chip gespeicherten Daten sind dank Einsatz moderner Technologie und der Einhaltung der Standards wirkungsvoll gegen Fälschungen und Missbräuche geschützt.

Kontakt / Rückfragen
Informationsdienst EJPD, T +41 58 462 18 18, Kontakt