Seit Mai gelten neue Regeln für Passbilder. Früher konnten die Menschen einfach ein ausgedrucktes, biometrisches Foto mit zum Amt bringen und abgeben. Das ist seit Mai nicht mehr möglich, denn das „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ sieht vor, dass die Bilder direkt bei der Behörde gemacht werden oder von Foto-Dienstleistern, die das Bild über eine zugelassene Software für die Behörde ablegen. So sollen einerseits eine bessere Qualität gewährleistet und andererseits Manipulationen an den Bildern verhindert werden.
Wie die Bilder von den Foto-Dienstleistern zum Amt gelangen, hat sich nun die IT-Sicherheitsfirma Mint Secure angeschaut. Dazu haben die Sicherheitsforscher im Selbstversuch biometrische Fotos bei den Dienstleistern Ringfoto/alfo-Passbild und beim dm-Drogeriemarkt machen lassen. Dabei kam heraus, dass die beiden Dienstleister die biometrischen Fotos verschlüsselt in der Amazon-Cloud AWS zwischenspeichern, bevor diese von der jeweiligen Behörde abgerufen werden können. Bei den Dienstleistern wird AWS jedoch nicht genannt, laut Mint Secure ist dort von „sicherer dm-Cloud“ oder „C5-Hochsicherheits-Cloud“ die Rede. Die Pressestellen von dm und Ringfoto haben auf eine Anfrage von netzpolitik.org bislang keine inhaltliche Antwort geschickt. Sollte diese noch folgen, reichen wir sie als Update nach.
Cloud-Act könnte Zugriff ermöglichen
Laut Gesetz muss die Verarbeitung von personenbezogenen Daten durch einen in der EU ansässigen Anbieter auf dem Gebiet der EU stattfinden. Das ist bei der europäischen AWS-Tochter zwar der Fall, aber möglich ist, dass das Unternehmen unter den US Cloud Act fällt. Dieses Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.
Mint Secure befürchtet, dass es „in einer nachrichtendienstlichen Logik sinnvoll und möglich“ sei, dass Geheimdienste ein Interesse daran haben könnten, die verschlüsselten biometrischen Passbilder zu speichern, um sie in einigen Jahrzehnten zu entschlüsseln, sobald dies technisch möglich wäre. „Letztlich hätte man so biometrische Informationen von nahezu jeder Person in Deutschland“, heißt es weiter im Bericht.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Souverän geht anders
Aus dem Blickwinkel digitaler Souveränität sollte dieses Vorgehen „nachdenklich stimmen“, so die Sicherheitsforscher. Und in der Tat ist natürlich fraglich, warum für einen Prozess, der mit hoheitliche Aufgaben zusammenhängt und für die Übermittlung biometrischer Merkmale auf ein Unternehmen zurückgegriffen wird, bei dem US-Behörden Zugriff bekommen könnten.
Eine weitere Anforderung für die Erstellung und Übermittlung durch externe Dienstleister ist, dass die Fotografierenden das Foto ihrer Kund:innen mit ihrem Personalausweis signieren. Das soll garantieren, dass die Bilder nicht manipuliert werden, weil man weiß, wer die Bilder gemacht hat. Bei der Drogeriekette dm gab es deshalb schon Zoff, weil das Unternehmen laut Medienberichten Druck auf die Mitarbeiter ausgeübt hat, damit diese ihren ePerso dafür nutzen. Laut den Sicherheitsforschern ist es wahrscheinlich, dass auch die Daten der signierenden Person in der AWS-Cloud gespeichert werden. Zudem verweisen sie auf gleich eine Reihe unterschiedlicher Systeme, auf denen die Fotos bearbeitet und gespeichert werden (siehe Schaubild).
Wer eine Verarbeitung seines biometrischen Fotos in der AWS-Cloud vermeiden will, kann bei der Passbeantragung ein Foto in der jeweiligen Behörde anfertigen. Doch noch sind nicht alle Kommunen mit eigenen funktionsfähigen Geräten ausgestattet, um die Lichtbilder aufzunehmen. In manchen Ämtern wird es auch in Zukunft keine geben.
Wie wir im April berichteten, haben die fast 6.000 betroffenen Ämter in Deutschland mehrere Möglichkeiten, wenn sie selbst eine Foto-Option anbieten wollen. Die allermeisten von ihnen werden aber wohl ein System der Bundesdruckerei nutzen. Die Geräte mit dem Namen „PointID“ gibt es als Tisch- oder Standgerät, wahlweise mit integriertem Fingerabdruckleser und einem Feld zur Unterschrifterfassung.
„Jede Kommune hat vor etwa einem Jahr ein entsprechendes Angebot erhalten“, schrieb uns damals das Bundesinnenministerium. Zahlen müssen die Kommunen dafür nichts. Die Kosten würden über „Nutzungsentgelte und Gebühren“ refinanziert. Das heißt: Die Antragsteller:innen zahlen für die Bilder auf dem Amt, und das Geld fließt an die Bundesdruckerei zurück. Die zusätzlichen Kosten für ein Lichtbild bei der Ausweisbeantragung betragen dann sechs Euro.
Update 9.5.:
Roman Melcher, dm-Geschäftsführer für das Ressort IT und die dm-Tochter dmTECH bestätigt gegenüber netzpolitik.org die Nutzung AWS-Cloud. „Die Entscheidung für AWS erfolgte basierend auf der Erfüllung der BSI-Vorgabe C5 Type 2, die bis zum 18.11.2024 gültig war. Zu diesem Zeitpunkt war AWS der einzige Anbieter, um die Anforderungen an Sicherheit und Verfügbarkeit zu gewährleisten“, heißt es in einem Statement.
Der Serverstandort befinde sich in Frankfurt am Main, wodurch sichergestellt wird, dass die Daten innerhalb der EU verarbeitet werden. Darüber hinaus habe es am 16. September 2024 eine Bestätigung des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur Nutzung von AWS gegeben.
Dass AWS dem Cloud-Act unterliege bestätigt auch Melcher. Eine Massenüberwachung sei über den Cloud Act nicht gestattet. US-Unternehmen mit Servern in der EU müssen sowohl den Cloud Act als auch die Datenschutz-Grundverordnung (DSGVO) beachten. Blecher verweist auf die Verschlüsselung der Bilddaten als Sicherheitsmechanismus, diese würden „den Zugriff auf die Bilddaten durch US-Behörden ohnehin faktisch verhindern.“
Na wenn DAS mal nicht erbauend ist
absoluter Blödsinn.
Die Fotografen weche über das Ringfoto System für das E- passbild unter dem Namen Alfo zusammengeschlossen sind, arbeiten nicht mit irgendwelchen Amazon Clouds. Dann wäre das System auch nicht vom BMI / BSI abgenommen worden. wieder zeigt sich einmal was deutscher Journalismus wert ist. Es geht um Click bait und sonst nichts.
Die cloud die verwendet wird ist deutsch und so ausgelegt, dass das Foto komplett zerlegt wird und nur ganz alleine über den qr Code den der Kunde bekommt wieder zusammengesetzt werden, ansonsten auf keine einzige andere Art und Weise, für niemanden. Dies gilt für alle deutschen Fotografen. Zum System von DM kann ich nichts sagen, aber selbst dort gehe ich von ähnlichem Datenschutz aus. Also bitte das nächste mal dem Namen journalist gerecht werden und anständige Recherche betreiben.
Viele Grüße Ando Möller
Das ist leider nicht korrekt. Das Bild wird nicht im sogenannten DataMatrix-Code gespeichert, sondern darin wird nur kodiert eine URL und ein Schlüssel abgelegt.
Die kodierte URL verweist auf AWS …
Was ja auch logisch ist.
Andi Müller ist wahrscheinlich Fotograf.
Erzählen Sie bitte, was Sie sonst noch so alles zu Wissen glauben.
Steile Aussage. Wie wäre es mit ein paar Quellen? Oder etwa doch nur Blödsinn?
Ich finde man sieht an den Kommentaren ganz gut, was für eine Reichweite netzpolitik.org mittlerweile hat. ^^
Der Artikel beruft sich ja im wesentlichen auf Aussagen von aus dem Post von Mint Secure und ich finde ihn eigentlich recht unaufgeregt und schon gar nicht reißerisch. Aber subjektives Empfinden halt… -.-
Auch wenn sich das System auf den zweiten Blick als durchdachter und stabiler herausstellt (Werner hatte Fefe verlinkt, der das – wie ich finde – ganz gut einordnet), ist doch die zentrale Frage: Warum müssen die Daten bei einem amerikanischen Anbieter gespeichert werden? Das ist ja keine Raketenwissenschaft, Blob Storage kann wirklich jeder Anbieter…
> die zentrale Frage: Warum müssen die Daten bei einem amerikanischen Anbieter gespeichert werden?
Für Discounter sind Kosten generell sehr relevant. Und wenn Kunden nicht danach fragen, dann ist es ohnehin kein Thema.
„Dann wäre das System auch nicht vom BMI / BSI abgenommen worden“
Rate mal wer noch alles in AWS unterwegs ist. Natürlich absolut grundschutzkonform und alles genau überprüft *hust*
Heißt wohl…. Wer Amazon verweigert muss auch den neuen Personalausweis verweigern?
Wenn legitim, dann ist eine Anleitung auf netzpolitik, wie man sich vor Polizeikontrollen schützen kann, wie der Hotel Check-In in EU-Ländern funktioniert, etc. nicht verkehrt.
Steht doch da: Foto im Amt machen.
Heißt es nicht. Wer Amazon boykottieren will, was prinzipiell eine gute Idee ist, sollte dann keinen externen Dienstleister wählen, der die AWS-Cloud nutzt. Da Pranee vermutlich genau lesen kann, möchte er/sie/? aber den Gedanken streuen, den Perso generell zu verweigern, nicht wahr?
Leider lassen die laengst bestellten Geraete der hiesige Stadtverwaltung auf sich warten…
Was habt ihr für ein Problem mit US amerikanischen Behörden?
Wer ist „ihr“ und womit hast Du ein Problem?
Interessanterweise ist das nicht mehr ganz richtig: Die Bundesdruckerei hat die Hosen voll und „traut sich nicht“ die Gebühren, die der Bürger am Automaten bezahlt, (teilweise) einzubehalten, sondern will den Kommunen diese Gelder lassen – weil sie gemerkt haben, dass sie dort erhöhten Aufwand haben, dann nicht jeder mit den Automaten zurechtkommt. zumindest ist das eine interne information unserer Stadt. ich bin selbst Fotograf und deshalb im direkten Kontakt mit ihnen.
verzeiht.
eigentlich war ich bei euch bessere Recherche gewöhnt.
bei Feder könnt ihr lesen, das der Foto Graf nur einen symmetrisch verschlusselen blob hochläd. Die Zuordnung zur Person folgt nur über einen Index zu den symmetrischen Schlüsselnn
Das Amt. lädt nur den blob herunter.
Technisch dürfte die NSA nicht in der Lage sein, die blops in den nächsten Jahren zu entschlüsseln.
DAS ist ebend mal „Software aus Germany“
bitte korregiert euren Beitrag, wenn ihr euch keinen Click bait und Inkompetenz vorwerfen lassen wollt.
So doof ist dass BSI wirklich nicht.
Es könnte allerdings sein, dass AWS sich weigert, verschlüsselte Daten zu speichern, weil dsst ja ihrem edlen Kampf gegen Missbrauch Darstellungen stören würde..(nicht dass nun ein Schelm denkt, dass das nur vorgeschoben wäre, damit die NSA auf die Bilder zugreifen kann?)
Steht sogar im Text, aber damit hätte man ja keinen click bait und Empörung. EMPÖRUNG.
„[…] die verschlüsselten biometrischen Passbilder zu speichern, um sie in einigen Jahrzehnten zu entschlüsseln, sobald dies technisch möglich wäre.“
Wobei man sich fragen darf, inwieweit veraltete Passfotos für eine Massenauswertung überhaupt noch interessant sind, und ob das den Aufwand der Entschlüsselung rechtfertigen könnte.
Was mich wundert ist, dass hier niemand auf die Idee kommt, die Qualität der Verschlüsselung zu hinterfragen. Postquantum-Verschlüsselung gibt es ja heute schon.
>>“Wobei man sich fragen darf, inwieweit veraltete Passfotos für eine Massenauswertung überhaupt noch interessant sind, und ob das den Aufwand der Entschlüsselung rechtfertigen könnte.“
Für das Trainieren von „KI“ Alterungsprozess und Wiedererkennung
>>“Aufwand der Entschlüsselung“
Ich behaupte es gibt immer einen oder auch mehrere Generalschlüssel für jede Verschlüsselungsmethode.
>dass hier niemand auf die Idee kommt, die Qualität der Verschlüsselung zu hinterfragen
Naja, du hast ja sicher die Schnittstellenbeschreibung gelesen. Dann hast du auch sicher gesehen, dass in BSI TR-03170-2 Kapitel 2.2 natürlich explizit auf BSI TR-02102-2 verwiesen wird. Und dort steht genau beschrieben, welche Chiffren in welcher Betriebsart zu verwenden sind. Was ist an diesem Standarddokument nun genau zu hinterfragen?
Danke für den Hinweis auf die BSI TR!
das ist Hetze auf Bild Zeitungs Niveau.
damit die NSA die Binären Blops in Jahrzehnten (!) entschlusseln könnten, müssten sie jetzt Amazon einen immerhin richterlichen Beschluss vorlegen, sämtliche verschlüsselten Daten bei Amazon jetzt schon Mal zu kopieren. Anlasslos. Diese Pass Fotos werden ja nur kurzzeitig gespeichert.
Dank Snowden wissen wir, das die NSA unbegrenzte Ressourcen hat, aber die Amazon Cloud anlasslos Kopieren?
Des weiteren wäre zwar das Gesicht zu erkennen, aber sie hätten keinen Namen dazu. Denn dieser wird nur durch das übergeben des Barcodes für den symmetrischen Schlüssel verbunden.
Dazu kommt, das Amazon sich weigert verschlüsselte Daten zu speichern, weil da ja Böses drin sein könnte.
Das ist alles nicht so schlimm wie es hier reißerisch dargestellt wurde und kritiklos von außen übernommen wurde.
Schade, Netzpolitik org fand ich früher sehr lesenswert.
Aber so etwas schreckt mich ab
> Des weiteren wäre zwar das Gesicht zu erkennen, aber sie hätten keinen Namen dazu.
Brauchen sie ja auch nicht unbedingt. Nach Bildern kann man wunderbar suchen.
> Dazu kommt, das Amazon sich weigert verschlüsselte Daten zu speichern, weil da ja Böses drin sein könnte.
Das stimmt nicht: https://aws.amazon.com/blogs/storage/understanding-amazon-s3-client-side-encryption-options/
das kann man bei blog.fefe.de lesen.
das Bild zeigt nur den Datenfluss.
Es fehlen die nicht gerade unwichtigen Bearbeitungs Schritte „unter schreiben“ und „symmetrisch Verschlüsseln“.
bitte nachtragen
Hmm, wenn das mal nicht zu erwarten war. Kommerz first, Infrastruktur muss warten, bis wir in Valhalla sind.
Mal sehen, wie lange sie die Müllkippe brennen lassen, bis sich jemand mit ein bisschen Restkompetenz findet und den Stecker zieht.
Mit Softwarekompetenz lässt sich hierzulande kein Geld verdienen. Wenn Du jung bist und talentiert: mach lieber was mit Finanzspekulation.
Also , schlussendlich der Preis : Bei einem richtigen Fotograf ist es wesentlich billiger. Hab gerade gestern erlebt ,daß in der Stadt im Einkaufscentrum 28€ kosten sollte , mit 6kleinen Bildern dazu.
„Laut Gesetz muss die Verarbeitung von personenbezogenen Daten durch einen in der EU ansässigen Anbieter auf dem Gebiet der EU stattfinden.“
welches Gesetz ist denn hier gemeint?
Steht in der Passausweisverordnung §5b:
https://www.gesetze-im-internet.de/pauswv/__5b.html
Entnommen von hier:
https://mint-secure.de/e-passfotos-im-realitaetscheck-datenschutz-it-sicherheit/
okay – und der Autor ist der Meinung, dass die europäische AWS Tochter nicht in Europa ansässig ist? Oder das Frankfurt nicht in Europa liegt?
Oder was soll der Gesetzesverstoß sein?
Nö.
„Laut Gesetz muss die Verarbeitung von personenbezogenen Daten durch einen in der EU ansässigen Anbieter auf dem Gebiet der EU stattfinden. Das ist bei der europäischen AWS-Tochter zwar der Fall, aber möglich ist, dass das Unternehmen unter den US Cloud Act fällt.“
Wo liest Du was von einem Gesetzesverstoß?
Bezüglich der AWS Cloud und den genannten Sicherheitsbedenken möchte ich zwei Aspekte hervorheben:
Sicherheitsstandards der AWS Cloud: Es ist korrekt, dass der US CLOUD Act ein relevanter Aspekt bei der Nutzung von US-Cloud-Anbietern ist. Jedoch bietet AWS selbst eine hochentwickelte Sicherheitsarchitektur und verfügt über zahlreiche Zertifizierungen (z.B. BSI C5, ISO 27001, SOC 2), die speziell auf die Anforderungen auch deutscher Behörden und Unternehmen zugeschnitten sind. Die Daten werden, wie im Artikel erwähnt, verschlüsselt und in EU-Rechenzentren gespeichert. Entscheidend ist hier die konkrete Ausgestaltung der Verschlüsselung und die Schlüsselverwaltung. Bei einer konsequenten clientseitigen oder Ende-zu-Ende-Verschlüsselung, bei der die Schlüssel ausschließlich beim europäischen Dienstleister oder idealerweise der datenverantwortlichen Stelle (hier indirekt die Behörde) liegen, wäre ein Zugriff auf die Klartextdaten durch US-Behörden selbst unter dem CLOUD Act technisch massiv erschwert bis unmöglich. AWS hätte dann lediglich Zugriff auf verschlüsselte, unlesbare Datenblöcke. Die Verantwortung für die korrekte und sichere Konfiguration dieser Dienste liegt beim Nutzer bzw. dem beauftragten Dienstleister.
Wirtschaftliche Vorteile digitaler Amtsgänge: Abseits der spezifischen Implementierungsdetails dieses Passbild-Prozesses dürfen die generellen und erheblichen wirtschaftlichen Vorteile digitaler Verwaltungsdienstleistungen nicht außer Acht gelassen werden. Die digitale Erfassung und Übermittlung von Daten, wie hier bei Passbildern, zielt darauf ab:
Effizienz zu steigern: Schnellere Prozesse für Bürger und Verwaltung, Reduktion von Medienbrüchen.
Kosten zu senken: Weniger manuelle Bearbeitung, Papier, Porto etc. auf lange Sicht.
https://blog.fefe.de/?ts=96e230a1
Der (symmetrische) Schlüssel ist (nur) im QR-Code hinterlegt.
Leider ist die Darstellung nicht ganz korrekt. Ich empfehle dem Autor dringend die Lektüre des BSi TR 03170. Dort heißt es:
1. Die Bürgerin/der Bürger lässt vom registrierten Dienstleister ein biometrisches Lichtbild erstellen. (Bei der Erstellung des Lichtbilds KÖNNEN Meta-Informationen zur Aufnahme, z. B. Marke/Modell der Aufnahmeeinheit, verwendete Software, etc. eingebracht werden).
2. Das ausgewählte Lichtbild wird kodiert (siehe [BSI TR-03170-2] Kapitel 2.1).
3. Der symmetrische Schlüssel wird erzeugt (siehe [BSI TR-03170-2] Kapitel 2.2).
4. Das Lichtbild wird mit dem symmetrischen Schlüssel verschlüsselt.
5. Der Dienstleister überträgt das clientseitig verschlüsselte Lichtbild über die Upload-Schnittstelle an den Cloud-Dienst. Die durch den Verordnungstext geforderte Anmeldung des Dienstleisters mit der eID oder einem anderen elektronischen Identifizierungsmittel (gemäß [BSI TR-03170-1] Kapitel 2.6) beim Cloud-Anbieter MUSS vor Schritt 5 (der Übertragung des Lichtbilds zur Cloud) erfolgen.
(…)
7. Es wird ein Barcode mit den notwendigen Daten zum Abruf des Lichtbilds aus der Cloud und zur Integration ins Fachverfahren erzeugt (siehe [BSI TR-03170-2] Kapitel 2.3). Der Barcode wird lokal erzeugt.
(…)
12. Anschließend wird das Lichtbild entschlüsselt. Die Entschlüsselung ist nur möglich, wenn der Behörde der korrekte Schlüssel als Teil des Barcodes ausgehändigt wurde
Also ist in der Cloud nur ein verschlüsselter Blob ohne Identifizierung zu welcher Person er gehört. Der lokal erezuge Barcode ist Schlüssel und Identifizierung der Person zugleich und nur dem Beantrager bekannt.
Auch müssen sich die Dienstleister nicht zwingend mit ihrem ePerso ausweisen. Das kann auch eine Signaturkarte sein.
Und wer kontrolliert, dass der externe Dienstleister keine unverschlüsselte Bild-Datei behält, und diese anderweitig verwendet?
Derselbe, der das jetzt schon kontrolliert.
„und für die Übermittlung biometrischer Merkmale auf ein Unternehmen zurückgegriffen wird, bei dem US-Behörden Zugriff bekommen könnten.“ —- Ist doch bei Behörden auch ok. Netzpolitik hat drüber berichtet: Bürgerdaten, Polizeidaten, Ermittlungsakten, etc. wird alles bei Microsoft gespeichert. Auf Bundesebene soll der Freundeskreis um Musk sogar direkten Zugriff auf alle jemals gesammelten Polizeidaten bekommen. Die per Gesetz zu beschließende Schnittstelle heisst, glaube ich, Paladin oder so ähnlich. —- Also warum ist es einen Artikel wert, wenn ein Unternehmen Daten für die Microsoft-Cloud zuerst bei Amazon abspeichert? Ob verschlüsselt oder nicht, Vollzugriff bleibt Vollzugriff.
Ich kann mich einigen Vorrednern nur anschließen: selten so viel Dünnschiss auf einen Haufen gelesen und für die Glaubwürdigkeit von netzpolitik.org ein fraktaler Totalschaden.
BSI TR-03170 lesen, verstehen, ggf. Jemand mit Ahnung (ganz offenkundig NICHT Mint Secure!) fragen, dann Urteil bilden, dann das Geschrei starten – wenn es unklare Punkte gibt oder die Arbeitsgruppe wirklich Mist gebaut haben sollte. So ist das unsubstantiiertes Gebrüll, das mit vollständig falschen und überzogenen Darstellungen alle Technikferneren draußen verunsichert.
Und BTW: nachdem die Bundesdruckereigeräte gerade entweder nicht geliefert oder betriebsbereit sind bzw. das Fotografen-Portal nicht läuft ist das der atm einzige verbleibende, funktionierende und gesetzeskonforme Prozess.
Ich verstehe die Aufregung nicht, im Artikel oben steht „Dabei kam heraus, dass die beiden Dienstleister die biometrischen Fotos verschlüsselt in der Amazon-Cloud AWS zwischenspeichern, bevor diese von der jeweiligen Behörde abgerufen werden können.“ und auch im Artikel von Mint Secure steht das mehrfach so. Klar gibt es schlimmeres, aber wieso müssen die verschlüsselten Daten bei AWS abgelegt werden … damit fördert man wieder Big-Tech, statt europäische oder deutsche Anbieter und das in Zeiten in denen alle von „digitaler Souveränität“ sprechen.
Das mit dem AWS ist in der Tat Nix. Da muss eine nationale Lösung her. Zumindest eine die im Rahmen der EU und der DSGVO genutzt wird, wobei die Übergriffigkeit der Sicherheitsbehörden in der EU immer wieder Gegenstand und Anlass zur Sorge ist. Liest man ja immer mal wieder. Aber das Problem ist doch viel mehr das Prinzip „Harvest now, decrypt later“. Woher wissen wir denn mit Sichereit, dass alles was da erst mal landet, nicht gleich irgendwohin gespiegelt wird um das vll. später mit z.B. Quantencomputern zu entschlüsseln? Mehr dazu: https://en.wikipedia.org/wiki/Harvest_now%2C_decrypt_later