Biometrie: Passbilder in der Amazon Cloud

4 hours ago 7
Politik Rentenreform
Artikel Bild

Wer seine biometrischen Passbilder bei einem externen Dienstleister macht, muss damit rechnen, dass sie in der Amazon Cloud landen – und damit vor dem Zugriff von US-Behörden nicht sicher sind. Das haben IT-Sicherheitsforscher herausgefunden.

Muster-Personalausweis mit etwa 55 jährigem MannAuch das Foto von Max Mustermann würde durch die Amazon Cloud gesendet, wenn er bei einem Dienstleister sein Foto machen würde. – Alle Rechte vorbehalten Imago / Imagebroker

Seit Mai gelten neue Regeln für Passbilder. Früher konnten die Menschen einfach ein ausgedrucktes, biometrisches Foto mit zum Amt bringen und abgeben. Das ist seit Mai nicht mehr möglich, denn das „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ sieht vor, dass die Bilder direkt bei der Behörde gemacht werden oder von Foto-Dienstleistern, die das Bild über eine zugelassene Software für die Behörde ablegen. So sollen einerseits eine bessere Qualität gewährleistet und andererseits Manipulationen an den Bildern verhindert werden.

Wie die Bilder von den Foto-Dienstleistern zum Amt gelangen, hat sich nun die IT-Sicherheitsfirma Mint Secure angeschaut. Dazu haben die Sicherheitsforscher im Selbstversuch biometrische Fotos bei den Dienstleistern Ringfoto/alfo-Passbild und beim dm-Drogeriemarkt machen lassen. Dabei kam heraus, dass die beiden Dienstleister die biometrischen Fotos verschlüsselt in der Amazon-Cloud AWS zwischenspeichern, bevor diese von der jeweiligen Behörde abgerufen werden können. Bei den Dienstleistern wird AWS jedoch nicht genannt, laut Mint Secure ist dort von „sicherer dm-Cloud“ oder „C5-Hochsicherheits-Cloud“ die Rede. Die Pressestellen von dm und Ringfoto haben auf eine Anfrage von netzpolitik.org bislang keine inhaltliche Antwort geschickt. Sollte diese noch folgen, reichen wir sie als Update nach.

Cloud-Act könnte Zugriff ermöglichen

Laut Gesetz muss die Verarbeitung von personenbezogenen Daten durch einen in der EU ansässigen Anbieter auf dem Gebiet der EU stattfinden. Das ist bei der europäischen AWS-Tochter zwar der Fall, aber möglich ist, dass das Unternehmen unter den US Cloud Act fällt. Dieses Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Mint Secure befürchtet, dass es „in einer nachrichtendienstlichen Logik sinnvoll und möglich“ sei, dass Geheimdienste ein Interesse daran haben könnten, die verschlüsselten biometrischen Passbilder zu speichern, um sie in einigen Jahrzehnten zu entschlüsseln, sobald dies technisch möglich wäre. „Letztlich hätte man so biometrische Informationen von nahezu jeder Person in Deutschland“, heißt es weiter im Bericht.

Souverän geht anders

Aus dem Blickwinkel digitaler Souveränität sollte dieses Vorgehen „nachdenklich stimmen“, so die Sicherheitsforscher. Und in der Tat ist natürlich fraglich, warum für einen Prozess, der mit hoheitliche Aufgaben zusammenhängt und für die Übermittlung biometrischer Merkmale auf ein Unternehmen zurückgegriffen wird, bei dem US-Behörden Zugriff bekommen könnten.

Eine weitere Anforderung für die Erstellung und Übermittlung durch externe Dienstleister ist, dass die Fotografierenden das Foto ihrer Kund:innen mit ihrem Personalausweis signieren. Das soll garantieren, dass die Bilder nicht manipuliert werden, weil man weiß, wer die Bilder gemacht hat. Bei der Drogeriekette dm gab es deshalb schon Zoff, weil das Unternehmen laut Medienberichten Druck auf die Mitarbeiter ausgeübt hat, damit diese ihren ePerso dafür nutzen. Laut den Sicherheitsforschern ist es wahrscheinlich, dass auch die Daten der signierenden Person in der AWS-Cloud gespeichert werden. Zudem verweisen sie auf gleich eine Reihe unterschiedlicher Systeme, auf denen die Fotos bearbeitet und gespeichert werden (siehe Schaubild).

Schaubild zeigt, dass Fotos auf einem Smartphone, auf der lokalen Fotostation und dann in der Cloud des Dienstleisters und dann in der Cloud der Behörde verarbeitet werden.Bearbeitung der Passfotos bei einem Foto-Dienstleister wie dm - Alle Rechte vorbehalten Mint Secure

Wer eine Verarbeitung seines biometrischen Fotos in der AWS-Cloud vermeiden will, kann bei der Passbeantragung ein Foto in der jeweiligen Behörde anfertigen. Doch noch sind nicht alle Kommunen mit eigenen funktionsfähigen Geräten ausgestattet, um die Lichtbilder aufzunehmen. In manchen Ämtern wird es auch in Zukunft keine geben.

Wie wir im April berichteten, haben die fast 6.000 betroffenen Ämter in Deutschland mehrere Möglichkeiten, wenn sie selbst eine Foto-Option anbieten wollen. Die allermeisten von ihnen werden aber wohl ein System der Bundesdruckerei nutzen. Die Geräte mit dem Namen „PointID“ gibt es als Tisch- oder Standgerät, wahlweise mit integriertem Fingerabdruckleser und einem Feld zur Unterschrifterfassung.

„Jede Kommune hat vor etwa einem Jahr ein entsprechendes Angebot erhalten“, schrieb uns damals das Bundesinnenministerium. Zahlen müssen die Kommunen dafür nichts. Die Kosten würden über „Nutzungsentgelte und Gebühren“ refinanziert. Das heißt: Die Antragsteller:innen zahlen für die Bilder auf dem Amt, und das Geld fließt an die Bundesdruckerei zurück. Die zusätzlichen Kosten für ein Lichtbild bei der Ausweisbeantragung betragen dann sechs Euro.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Teilen:
Gesamten Artikel lesen

Ähnliche Artikel

Konflikt spitzt sich zu: Raketenangriff trifft indisch kontrollierten Teil Kaschmirs

Konflikt spitzt sich zu: Raketenangriff trifft indisch kontrollierten Teil Kaschmirs

Mehr lesen
Geschichte: Erster Pontifex aus den USA - päpstliche Superlative

Geschichte: Erster Pontifex aus den USA - päpstliche Superlative

Mehr lesen
Katholische Kirche: Reaktionen zum neuen Papst

Katholische Kirche: Reaktionen zum neuen Papst

Mehr lesen
Neuer Papst: Merz gratuliert Papst: "Anker für Gerechtigkeit"

Neuer Papst: Merz gratuliert Papst: "Anker für Gerechtigkeit"

Mehr lesen
Katholische Kirche: US-Amerikaner Robert Prevost neuer Papst

Katholische Kirche: US-Amerikaner Robert Prevost neuer Papst

Mehr lesen
Kaschmir-Konflikt: Raketenangriff auf indischen Teil Kaschmirs

Kaschmir-Konflikt: Raketenangriff auf indischen Teil Kaschmirs

Mehr lesen