Channel Header
2373164

Breeder Documents: Wichtig für sicheren Identitätsnachweis

14.12.2018 | 14:00 Uhr | Dr. Andreas Wolf

Am Beispiel der deutschen Geburtsurkunde erklärt Dr. Wolf, was Breeder Documents sind, wo sie uns begegnen und warum sie für die Sicherheit des internationalen Pass-Systems wichtig sind. Beleuchtet werden auch das steigende Interesse an sicheren Ausgangsdokumenten und weitere Gründe für eine schnelle europaweite Harmonisierung.

Bescheinigt ein Staat heute die Identität seiner Bürger durch den Pass oder den Personalausweis, basieren diese Ausweisdokumente in den meisten Fällen auf Geburtsurkunden. Für diese Ausgangsdokumente, im europäischen Raum als Breeder Documents bezeichnet, brauchen wir ein modernes, sicheres und zeitgemäßes Fundament. An einem europäischen Rahmenwerk dazu wird bereits gearbeitet.

Was sind Breeder Documents?

Wenn Identitäten von Personen überprüft werden, schaffen Breeder Documents ausreichendes Vertrauen. In den meisten Fällen verwendet man dafür ein Identitätsdokument wie den Pass oder den Personalausweis.

Für ihren ersten Personalausweis weisen Jugendliche hierzulande ihre Identität durch die Geburtsurkunde nach. Sie werden dabei von ihren Eltern begleitet, die sich wiederum ausweisen müssen.

Auch wenn kein Pass oder Personalausweis vorhanden ist, weil er verloren, gestohlen oder vernichtet wurde und ein neues Dokument ausgestellt werden soll, liefert der Eintrag im Melderegister bzw. die Geburtsurkunde des Antragstellers den Anscheinsbeweis für dessen Identität.

Weitere deutsche Breeder Documents sind beispielsweise Personenstandsurkunden oder Registerauszüge aus Personenstandsregistern wie Heirats-, Lebenspartnerschafts-, Geburts- und Sterbeurkunden oder Abschriften aus der Sammlung der Todeserklärungen.

Identitätsnachweis

Evidence of identity (EOI), sometimes mentioned as breeder documents in a physical representation form, refers to a single or a set of evidence that can be used to provide confidence to the claimed identity. Trust of evidence of identity needs prudential assessment by an authority or a service provider before such evidence of identity can be accepted for identity verification or eligibility evaluation purposes.

( Yang et.al.: Towards standardizing trusted evidence of identity. Proceedings of the 2013 ACM workshop on Digital identity management)

Kommt die Geburtsurkunde in die Jahre?

Eine Identität, die in einem neu ausgestellten ID-Dokument beschrieben wird, entsteht mit dessen Ausstellung nicht neu. Sie war schon vorher da. Dieser Mensch ist schließlich zum Zeitpunkt der Ausstellung in seinem sozialen Umfeld bekannt. Von den Eltern und Geschwistern über die Kindergartenfreunde können viele seine Identität bestätigen.

Schwierig wird ein Identitätsnachweis außerhalb der gewohnten Umgebung, etwa im Ausland. Früher traten solche Fälle relativ selten auf und wurden mit hohem Aufwand durch die zuständigen Behörden bearbeitet. Doch in Zeiten zunehmender Mobilität sind schnellere und automatisierbare Prozesse gefragt. Kann die Geburtsurkunde mit dieser Entwicklung und den neuen Anforderungen Stand halten?

Hält die Vertrauenskette im System Pass?

Geburtsurkunden sind spezielle Breeder Documents. In vielen Ländern werden sie im Kontext der Sicherstellung der Authentizität von Identitätsdokumenten verwendet und haben deshalb eine herausragende Bedeutung. Beantragt man etwa einen Pass oder einen Personalausweis, wird dieser in den in den meisten Staaten auf Grundlage des vorgelegten gültigen Vorgängerdokumentes ausgestellt.

Was aber passiert, wenn der Antragsteller kein gültiges Vorgängerdokument hat, wenn es also weiterer Nachweise bedarf? Da die aktuell im Umlauf befindlichen europäischen Pässe ein sehr hohes Sicherheitsniveau haben, werden sich potenzielle Angreifer an die Geburtsurkunde als schwächste Stelle des Systems Pass halten.

Sind manuelle Überprüfungen noch zeitgemäß?

Sind beispielsweise die Eltern nicht verfügbar und existiert kein Vorgängerdokument, legt der Antragsteller die Geburtsurkunde vor. Wurde diese in Deutschland ausgestellt, gibt es selbst hier kein einheitliches Dokumentenformat. Zumindest aber existieren weder sprachliche noch organisatorische Hürden.

Anders ist es bei der Überprüfung ausländischer Geburtsurkunden. Kompliziert wird es, weil der Mitarbeiter des Bürgerbüros diese vier Punkte klären muss:

1. Inhalt: Die vorgelegte Urkunde kann in einer Fremdsprache oder gar anderem Schriftsystem abgefasst sein sowie keine Legende in einer geläufigen Sprache enthalten. In vielen Fällen wird eine Übersetzung mit amtlicher Beglaubigung notwendig.

2. Authentizität: In vielen Staaten liegt das Design und die Ausstellung von Geburtsurkunden in der Hand der Kommunen. Manche Staaten verwenden Registerauszüge anstelle von Urkunden. Es gibt Tausende verschiedener Dokumente, deren Echtheitsprüfung im Zweifel nur durch eine spezialisierte Urkundenprüfstelle erfolgen kann.

3. Gültigkeit: Selbst eine authentische Urkunde könnte widerrufen worden sein. Etwa weil sie als verloren gemeldet wurde oder der berechtigte Inhaber verstorben ist. Für diese Prüfung bedarf es des Zugangs zu den Sperrlisten oder zu dem Register, auf dessen Grundlage die Urkunde ausgestellt wurde.

4. Vertrauen: Auf Grundlage der Angaben in der Urkunde werden weitere Dokumente ausgestellt. Deshalb muss festgestellt werden, ob dem Aussteller der Urkunde dahingehend vertraut werden kann, dass die gelesenen Daten zutreffend sind.

Damit die Vertrauenskette hält, sollte außerdem sichergestellt sein, dass der neue Pass für die richtige Person ausgestellt und an diese ausgegeben wird.

Unabhängig von der potenziellen Bedrohung durch mögliche Schwächen bei der Bearbeitung und dem damit verbundenen möglichen Sicherheitsproblem sind die arbeitsintensiven manuellen Prüfschritte zu ihrer Erledigung nicht mehr zeitgemäß.

Können europäische Familiengründungen einfacher werden?

Unsere Zeit ist durch eine stetig wachsende Migration geprägt, von außerhalb und innerhalb der Europäischen Union. EU-Bürger leben in zunehmendem Umfang auch außerhalb ihres Heimatlandes, und das ist politisch gewollt.

Warum muss ein Paar, bestehend aus einer Französin und einem Deutschen, die heute in Italien heiraten, in Spanien ein Kind bekommen und dann in Schweden leben werden, unter den Unzulänglichkeiten eines Systems aus dem vergangenen Jahrtausend leiden? Diese junge Familie wird diverse kostspielige und zeitintensive Begegnungen mit Behörden haben, die ihre Geburtsurkunden überprüfen müssen. 

Ziel der Staatengemeinschaft Europa sollte es sein, Identitätsprüfungsprozesse insbesondere auf der Basis von Breeder Documents anzugleichen. Eine heute kosten- und zeitintensive Klärung der vier oben genannten Punkte könnte einfach und überwiegend automatisiert durchgeführt werden.

Wie kann Europa die Identitäten seiner Bürger absichern?

Sowohl aus dem Servicegedanken für die eigenen Bürger heraus als auch zur Abwehr potenzieller Angriffe auf die Sicherheit der europäischen Pässe sollten Lösungen entwickelt werden, welche

  • die Inhalte europäischer Breeder Documents harmonisieren,

  • die möglichen und vielfältigen Erscheinungsformen dieser Dokumente eingrenzen,

  • ein europaweit abgestimmtes und adäquates Sicherheitsniveau dieser Dokumente ermöglichen,

  • sicherstellen, dass die Daten der Breeder Documents überall richtig interpretiert und automatisiert gelesen werden können,

  • die Authentizität und Gültigkeit der Dokumente einfach und automatisiert prüfbar machen und

  • den „Privacy by Design“-Gedanken umsetzen.

Wer profitiert von einer einheitlichen Geburtsurkunde für alle EU-Bürger?

Warum so viel Aufhebens um ein simples Stück Papier, und was macht eine Einigung so kompliziert? Es stellt sich schnell heraus, dass das Stück Papier nur die sprichwörtliche Spitze des Eisbergs ist.

Von einer Einigung könnten zunächst die betroffenen Bürger profitieren. Aber wie oft haben Sie Ihre Geburtsurkunde schon gebraucht? Eben. Der Druck durch die Öffentlichkeit ist nicht groß.

Wie wichtig ist es dem Bürger, dass Zuziehende ihre Identität einfach nachweisen können? Diese Frage könnte zumindest im Prinzip interessant sein. Öffentliche Verwaltungen verbinden mit neuen Dingen neue Anforderungen, mehr Arbeit und höhere Kosten. Der Aufwand entsteht gleich bei der Einführung. Ein monetär messbarer Nutzen durch Zeiteinsparung und Sicherheitsgewinn folgen erst später, vermutlich erst nach dem Ende einer Wahlperiode.

Was kann ein technisches Rahmenwerk leisten?

Die zu erarbeitende Technische Spezifikation (CEN/TS Personal Identification - Secure and Interoperable European Breeder Documents) wird Vorgaben zu Erschaffung, Umgang und Nutzung von Breeder Documents bereitstellen. Geschaffen wird ein Rahmen, innerhalb dessen der Bürger seine Daten für Identitätsnachweise und -prüfungen überall in Europa einfach verwenden kann. Beschrieben werden auch Methoden, die das Vertrauen in die Dokumente bewerten und erhöhen. Es werden physische und digitale Dokumente definiert sowie die Prozesse im Lebenszyklus dieser Dokumente abgesichert und die Verknüpfung eines Dokumentes mit seinem Inhaber ermöglicht.

Wird eine inhaltliche Einigung erzielt werden?

Auf der langen Liste der Dinge, die untersucht werden müssen, findet sich auch die Geburtsurkunde. Welche Daten eine Geburtsurkunde enthalten, soll, dazu hat beinahe jedes Land eigene Vorstellungen. Anhand einer Analyse diverser internationaler Vereinbarungen (Quelle: FP7 project Fidelity deliverable D6.3 Process definitions for breeder documents . April 2015) und der gelebten Praxis in einer größeren Zahl von europäischen Staaten kristallisiert sich eine Kernliste von Pflichtdaten heraus.

Neben einer Dokumentennummer, Ort und Datum der Geburt, allen Namen und dem Geschlecht des Kindes sind dies Geschlecht und Geburtsdaten der Eltern sowie Ort, Datum und Bezeichnung des Ausstellers der Urkunde. Dazu kommen je nach Land noch weitere Angaben.

Will man eine breit akzeptierte Lösung, muss sichergestellt sein, dass alle Länder Europas sich in ihr wiederfinden. Dafür sollten viele optionale Felder vorgesehen werden.

Ist ein gemeinsames Design für alle EU-Staaten möglich?

Interoperabilität ist das oberste Kriterium für die Qualität einer Lösung, die potenziell weltweit anwendbar sein soll. Eine Geburtsurkunde muss in anderen Staaten, die dem Standard folgen, einfach lesbar und prüfbar sein. Durch die Transkription in einen anderen Zeichensatz können Charakteristika von Namen verlorengehen, bis dahin, dass der Namensträger den eigenen Namen nicht mehr erkennt.

In Europa müssen wir deshalb mindestens mit dem lateinischen, dem griechischen und dem kyrillischen Zeichensatz umgehen, erweitert durch eine Vielzahl von diakritischen Sonderzeichen. Zudem sollten wir schon heute daran denken, dass es auf der Welt weitere Schriftsysteme gibt, die beispielsweise von rechts nach links oder von oben nach unten laufen.

Die Transkription braucht man natürlich auch, eigentlich auch eine Transliteration, damit man bei einem Umzug in einen anderen Sprachraum seinen Namen in der neuen Sprache wiederfindet.

Wir kennen nun die Anforderungen an die Daten einer Geburtsurkunde.

Zurück zum Papierdokument: Wie soll diese Urkunde eigentlich aussehen?

In manchen Ländern bekommt der Bürger ein Blatt Papier, zum Beispiel in Deutschland. Ob man das als Sicherheitsdokument bezeichnen mag, ist Ansichtssache. In Frankreich wird ein Papier mit kurzer Gültigkeitsdauer ausgestellt. In wieder anderen Ländern, etwa in Finnland, ersetzt ein zentrales Bürgerregister die Notwendigkeit einer Geburtsurkunde.

Soll überhaupt die Chance auf die Einführung eines harmonisierten europaweiten Systems bestehen, wird man alle Varianten abbilden müssen.

Provokativ gefragt: Sollten wir die Identität unserer Kinder nicht wenigstens auf dem gleichen Niveau absichern wie die unserer Autos?

Es wird schnell klar, dass man am Ende eine Lösung braucht, die IT-basierte Verfahren mit konventionellen, also papierbasierten, kombiniert.

Designvorschlag für eine harmonisierte europäische Geburtsurkunde
Vergrößern Designvorschlag für eine harmonisierte europäische Geburtsurkunde

Die Erfahrung von zehn Jahren elektronischem Pass zeigt, dass sämtliche Datenstrukturen erweiterbar gestaltet werden müssen. Spätere Änderungen der Architektur sind, wenn überhaupt, nur aufwändig umzusetzen. Wie soll das bei Dokumenten funktionieren, die potenziell so lange existieren wie ein Mensch lebt? Würde man nur alle zehn Jahre die Datenstruktur oder eine Schnittstelle ändern und unterstellt man durchaus realistisch, dass viele Geburtsurkunden gemeinsam mit ihren Besitzern den hundertsten Geburtstag feiern, müssen zehn verschiedene Versionen gleichzeitig unterstützt werden – mindestens.

Papier oder elektronisches Dokument?

Druckt man eine Geburtsurkunde weiterhin auf Papier, wäre die Etablierung einer europaweiten Prüf-Infrastruktur vergleichsweise einfach möglich. Das Beispiel aus der Abbildung ist so groß wie ein aufgeklappter Pass. Die Urkunde passt zusammengefaltet hervorragend in die schon heute existierenden Passleser. Der aufgebrachte Barcode garantiert einfache maschinelle Lesbarkeit – wenn es sein muss, auch mit einem Smartphone.

Die Maschinenlesbarkeit ist eine wichtige Eigenschaft. Nur durch sie kann man eine automatisierte Bearbeitung der Urkunden erreichen, eines der Ziele des Projektes. Im Zweifel würde ein per PDF versendeter und ausgedruckter Barcode für viele Anwendungszwecke ausreichen, zumindest aus technischer Sicht.

Gibt es RFID und sichere Kryptographie noch in 100 Jahren?

Es gibt auch Vorschläge, das Papierdokument mit einem RFID-Aufkleber (Radio Frequency Identification) anzureichern, um kontaktlos Daten lesen zu können. Die Technologie dafür beherrscht man schon seit geraumer Zeit.

Bei dieser Lösung könnte sich allerdings herausstellen, dass RFID-Token nicht die nötige Haltbarkeit aufweisen. Zur Erinnerung: Hundert Jahre sind angedacht. Eine Erneuerung der Geburtsurkunden alle zehn Jahre erscheint außer den Halbleiter- und Dokumentenherstellern niemandem verführerisch.

Wo wir schon beim Chip sind: Redet man über RFID-Chips, dann kommt immer auch Kryptographie ins Spiel. Schließlich soll nicht jedermann den Inhalt des Datenspeichers auslesen können.

Kann es Kryptographie geben, die ein Menschenleben lang sicher ist? Bei langlebigen Dokumenten erscheint es im Gegenteil fraglich, ob Verschlüsselung auf dem Dokument überhaupt sinnvoll ist. Tatsächlich wird hier eine Sicherheit vorgegaukelt, die so nicht existiert, über so lange Zeit gar nicht existieren kann.

Warum also nicht gleich aus der Not eine Tugend machen: Der Inhalt der Geburtsurkunde wird gar nicht verschlüsselt. Will man ihn auf Authentizität prüfen, dann kann das durch Ansicht der Sicherheitsmerkmale der Urkunde geschehen, soweit vorhanden. Jeder Polizist macht das so, wenn er auf der Straße den Personalausweis eines Bürgers kontrolliert. Für viele Fälle reicht diese Art der Prüfung wahrscheinlich aus.

Privacy by Design für personenbezogene Daten

Besteht Bedarf an einer tiefergehenden Prüfung, muss die IT helfen. Bei der Erstellung einer Geburtsurkunde werden die aufgebrachten Daten in einem elektronischen Register erfasst. Das geschieht in Europa schon heute. Diese Daten werden elektronisch signiert und nur die Signaturdaten, insbesondere der Hashwert, werden für den Zugriff auf einem geeigneten Server bereitgestellt. Damit sind Daten und Signatur physisch getrennt.

Will jemand ein ihm vorliegendes Dokument prüfen, liest er dessen Daten und rechnet den Hashwert nach dem ihm bekannten Verfahren aus. Der Rest ist klar: Ausgerechneter Hash und Server-Hash müssen übereinstimmen. Der Clou dabei basiert auf dem Privacy-by-Design-Konzept: Es werden keine personenbezogenen Daten übertragen. Ändert sich in den hundert Jahren Gültigkeit des Dokumentes das Signaturverfahren, kann der Herausgeber der Urkunde die neue Signatur auf seinem Server ergänzen. Der Inhaber der Urkunde braucht nichts zu tun. So soll es sein.

Die Prüfung der ausgegebenen Dokumente wird durch die Verwendung eines europa- oder gar weltweit harmonisierten Nummernraumes möglich. Vorbild dafür ist die Verwendung von Identifikationsmerkmalen etwa in Pässen. Es wird vorgeschlagen, jedes Breeder Document bereits bei der Herstellung des Vordrucks mit einer fünfzehn- bis zwanzigstelligen alphanumerischen Dokumentennummer zu versehen, aus der sich der Aussteller ermitteln lässt.

Neben der Authentizität einer Urkunde und ihres Inhalts muss man auch ihren Status prüfen können. Es darf nicht sein, dass jemand aus einem Standesamt Vordrucke stehlen und diese für die Produktion "echter" Geburtsurkunden verwenden kann. Alle Vordrucke müssen demnach bereits bei der Herstellung durchnummeriert werden. Wird eine Urkunde gestohlen, zerstört oder anderweitig vermisst, wird dieser Status registriert. Wird aus dem einen oder anderen Grund für eine Person eine neue Urkunde ausgestellt, muss die vorherige widerrufen werden können.

Welche Rolle spielt die europäische Datenschutz-Grundverordnung?

Daten, Daten, Daten: Befürchtungen, dass der Staat hier weitere Daten über seine Bürger sammeln wird, sind unbegründet, denn die neue Lösung wird der europäischen Datenschutz-Grundverordnung (DSGVO) entsprechen. Man muss allerdings darüber nachdenken, welche Daten in eine Geburtsurkunde gehören – und welche nicht.

Nach Meinung der Experten in der CEN-Arbeitsgruppe gehören zum Beispiel die medizinischen Daten eines Neugeborenen nicht dort hinein. Es gibt Staaten, die das anders sehen und praktizieren. Im Zuge der Einführung einer harmonisierten Europäischen Geburtsurkunde wird man sich über die enthaltenen Daten unter Berücksichtigung der DSGVO einigen müssen.

Bleibt noch die Bindung der Geburtsurkunde an die Person, für die diese ausgestellt wurde: Die technische Umsetzung dieser Aufgabe basiert auf Biometrie . An Lösungen zur Erhebung von Fingerabdrücken bei Neugeborenen wird allerdings noch geforscht. Bereits möglich, aber kontrovers diskutiert, ist die Verwendung des sogenannten genetischen Fingerabdrucks.

Welche Art biometrischer Daten soll es also sein? Die wissenschaftliche Community wird dazu weitere Vorschläge machen. Auch wird man Lösungen zur nachträglichen Aktualisierung und Erweiterung der Dokumente und Datensätze benötigen. Wenn Menschen altern, verändern sich auch die biometrischen Daten.

Außerdem müssen in einem physischen Dokument ohne Smartcard-Komponente die Daten sehr kompakt vorliegen. Aktuelle Lösungen mit Barcodes können das nur eingeschränkt leisten, insbesondere weil sie selbst nicht zu groß werden dürfen. Und nicht zuletzt kann Interoperabilität nur geschaffen werden, wenn mit internationalen Datenstandards gearbeitet wird.

Ausblick

Innerhalb der nächsten zwei Jahre wird ein Rahmenwerk entstehen, anhand dessen wir damit beginnen können, die europäischen Breeder Documents auf ein modernes, sicheres und zeitgemäßes Fundament zu stellen. Dieser Prozess wird sehr wahrscheinlich Jahrzehnte dauern. Die lange Dauer ist jedoch kein Grund, nicht damit anzufangen.

Die Harmonisierung und interoperable Verwendbarkeit von Breeder Documents ist ein Thema von herausgehobener Bedeutung für die Europäische Union. Aus diesem Grund arbeitet die CEN-Arbeitsgruppe eng mit wichtigen europäischen Stakeholdern zusammen. Es gibt auch über Europa hinaus erhebliches Interesse an den Arbeiten. So wird die New Technologies Working Group (NTWG) der ICAO regelmäßig über die zu erarbeitende Technische Spezifikation informiert.

Europa hat auf diesem Gebiet die Technologieführerschaft. Machen wir das Beste daraus.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2373164