– 37 –
tember 2001 ist der Ruf nach mehr Sicherheit gestiegen. Die
Verfahren zur Identifikation bzw. Verifikation von Personen
werden bei höheren Sicherheitsanforderungen und den damit verbundenen zusätzlichen Kontrollen zur Überprüfung
von Personen personal- und kostenintensiv. Unterstützung
bei der Feststellung der Identität von Personen kann die
„Biometrie“ leisten. Bei dieser Technik werden unterschiedliche individuelle Merkmale des menschlichen Körpers wie
Iris, Fingerabdruck, Stimme oder Gesichtsform mithilfe
elektronischer Verfahren zur Identifikation bzw. Verifikation von Personen genutzt. Die zu bestimmenden Ausprägungen der Körpermerkmale werden dabei erfasst, gespeichert und automatisiert mit dem Original verglichen. Damit
wird der eigene Körper zum Schlüssel.
Zu den momentan auf dem Markt befindlichen biometrischen Systemen, die unterschiedliche biometrische Merkmale nutzen, liegen derzeit hinsichtlich eines Masseneinsatzes nur wenig aussagefähige Erfahrungswerte vor. Dies
schließt deren Genauigkeit, Fehlerquote und praktische
Nutzbarkeit ein. Auch werden Missbrauchsmöglichkeiten
der biometrischen Informationen diskutiert und die Entwicklung der einzelnen Verfahren ist noch nicht abgeschlossen. Dadurch, dass Missbrauchsmöglichkeiten bei einzelnen
Anwendungen nicht ausgeschlossen werden können, werden biometrische Daten als hoch sensibel eingestuft.
Je nach Sicherheitsanforderung kann bereits jetzt der Einsatz von auf dem Markt vorhandenen Produkten sinnvoll
sein. Dabei besteht auch durchaus die Möglichkeit eines datenschutzgerechten Einsatzes. Für die jeweilige Anwendung
sind dazu das entsprechend den Sicherheitsanforderungen
infrage kommende biometrische Verfahren, die Einsatzumgebung und die Randbedingungen zu untersuchen. Eine
grundsätzliche Aussage über die Datenschutzkonformität
der einzelnen Verfahren lässt sich nicht treffen; hier fehlen
derzeit noch vergleichende Erkenntnisse.
Maßstab für eine Anwendung im Sinne des Datenschutzes
sollte z. B. sein, dass
– nur solche Verfahren zum Einsatz kommen, die eine Benachteiligung bestimmter Personengruppen weitgehend
ausschließen;
– nur die für den späteren Vergleich notwendigen Merkmale und keine Überschussinformationen aufgenommen und gespeichert werden;
– eine strenge Zweckbindung der Daten sichergestellt ist;
– die Datensätze nur in einer gesicherten Umgebung
(Netzwerk, Datenbank) verarbeitet werden;
– nach Möglichkeit auf eine zentrale Speicherung der Daten verzichtet wird, z. B. durch Speicherung der Daten
auf einer Chipkarte oder einem Ausweis;
– nur kooperative biometrische Verfahren eingesetzt werden (die zu überprüfende Person muss aktiv in die Überprüfung einbezogen werden, keine verdeckte Erfassung);
– eine umfassende Information über die gesamte Anwendung beim beteiligten Personenkreis erfolgt bzw. eine
gesetzliche Regelung für den Einsatz vorliegt und
– eine sofortige Löschung der Daten vorgenommen wird,
sobald ein Betroffener nicht mehr an der Anwendung
teilnimmt.
Bei einem datenschutzfreundlichen Verfahren werden schon
beim „enrolment“ – der ersten Datenerhebung – vom System nur die für einen späteren Vergleich notwendigen Daten
erfasst und gespeichert. Eine Speicherung der vollständig
erhobenen Daten ist in der Regel nicht notwendig.
Da wir erst am Anfang der Nutzung biometrischer Verfahren stehen, bleibt abzuwarten, ob mit der Zuordnung eines
biometrischen Merkmals zu einer Person eine ausreichend
sichere Verifikation oder Identifizierung vorgenommen werden kann.
Das Bundesamt für Sicherheit in der Informationstechnik
prüft in Zusammenarbeit mit dem Bundeskriminalamt
derzeit verschiedene biometrische Verfahren auf ihre Eignung.
So wird u. a. die Möglichkeit der Aufnahme von maschinenlesbaren biometrischen Merkmalen in Ausweisdokumenten und die Einführung eines vereinfachten Grenzkontrollverfahrens untersucht. Vor einer Einführung derartiger
Systeme müssen jedoch noch die gesetzlichen Grundlagen
geschaffen werden.
Ob und wann damit das Auswendiglernen von PIN-Nummern und Passwörtern der Vergangenheit angehört, bleibt
abzuwarten.
4.3
Protection Profile – Sicherheitsanforderungen auf den Nenner gebracht
In der Vergangenheit wurde versucht, die Sicherheit und
Vertrauenswürdigkeit von IT-Systemen durch die Zertifizierung nach dem europäischen Kriterienkatalog „Information
Technology Security Evaluation Criteria (ITSEC)“ nachzuweisen. Der Kriterienkatalog enthält vordefinierte Funktionalitätsklassen, sodass Antragsteller ihr System oder
Produkt einer Evaluation gemäß dieser Klassen unterziehen
können. Die Anwendung der ITSEC-Kriterien ist sehr zeitund kostenintensiv und berücksichtigt anwendungsspezifische Forderungen beispielsweise des Datenschutzes nicht.
Da sich die ITSEC-Kriterien nur schwer am Markt durchsetzen ließen, wurde ein neuer Kriterienkatalog die „Common Criteria for Information Technology Security Evaluation (CC)“ erarbeitet und veröffentlicht: Diese Kriterien
sind eine Weiterentwicklung und Harmonisierung der
ITSEC, des Orange Book und der Sicherheitskriterien Kanadas. Nach beiden Kriterienkatalogen ist eine Prüfung und
Bewertung sowohl der Funktionalität als auch der Vertrauenswürdigkeit eines Systems möglich, wobei die CC detailliertere Funktionalitätskriterien bieten als die ITSEC. Die
CC sind für die Bewertung der Sicherheitseigenschaften aller informationstechnischer Systeme und Produkte geeignet.
Die Standardisierungsorganisation ISO hat die Federführung bei der Entwicklung übernommen und die CC zum international genormten Standard (ISO/IEC 15408) geführt.
Sie bestehen im Wesentlichen aus vier Teilen:
Einführung und allgemeines Modell,
– funktionale Sicherheitsanforderungen,
– Anforderungen an die Vertrauenswürdigkeit und
– Schutzprofile.
Aus datenschutzrechtlicher Sicht ist besonders die Möglichkeit interessant, für bestimmte Anforderungen, beispielsweise
die Informationsflusssteuerung, Schutzprofile (Protection
BfD 19. Tätigkeitsbericht 2001–2002