Neulich war ich mal wieder beim Bürger*innenamt. Perso erneuern, weil ich schon so oft darauf angesprochen wurde. Hat sich zwar nix geändert, außer vielleicht die immer mal wieder wechselnde Haarlänge, aber was soll’s. Der Staat weiß ja eh schon alles, was da drauf steht.
Pustekuchen! „Sie müssen ihre Fingerabdrücke abgeben, das wird jetzt Pflicht.“, so die ungefähre Aussage. Erstmal deshalb an die Beamt*innen des Bürgeramtes: Noch ist es keine Pflicht! Trotzdem, ab dem 02. August 2021 wird die Speicherung von Fingerabdrücken durch den Staat zum Zwang. Was bisher noch auf freiwilliger Basis auf den Bürgerämtern möglich war, wurde am 07. November durch einen Beschluss des Europaparlaments verpflichtend. Ich will aber nicht dass meine Fingerabdrücke der Polizei, Zoll, Büger*innenämtern und Co. bekannt sind.
Warum will ich das nicht ?
- Zum einen finde ich es eine unglaubliche Beschränkung meiner Datenrechte, beziehungsweise ein weiterer Vorstoß des Staates in meine Privatsphäre. Die Praxis, die bisher nur bei Straftäter*innen möglich ist, soll nun bei jeder Person eine ganz normale Sache werden. Einfach so, mitten in der Pandemie, in der große Proteste ohne schlechtes Gewissen und/oder Infektionsrisiko kaum möglich sind. In der die Medien 24/7 nur noch von einer Sache berichten und in der wir sowieso schon massive (mehr oder weniger sinnvolle) Einschränkungen hinnehmen, um unsere Mitmenschen zu schützen.
- Zum anderen hat das ganze für mich einen persönlicheren Aspekt. Denn durch diese Speicherung werden bewusst Aktivisten kriminalisiert. Der Einsatz von digitalen Fingerabdruck-Auslesegeräten ist längst Praxis auf großen Protesten und nun ist es möglich jede Person zu identifieren, ohne dass diese jemals vorher straffällig geworden ist. Das das ganze keine Wirkung bei der Terrorismusbekämpfung hat, zeigt eine kleine Anfrage der LINKEN im Bundestag, welche ergab:
„Es sind keine konkreten Fälle von als terroristisch eingestufter Straftaten bekannt, in denen das Nichtvorhandensein gespeicherter Fingerabdrücke auf Personalausweisen sowie anderen Ausweisdokumenten mutmaßlich dazu geführt hätten, dass die Taten nicht verhindert bzw. nicht aufgeklärt und die Täter [nicht] ermittelt werden konnten.“
- Zum dritten erfüllt diese Maßnahme nicht einmal ihren Zweck. Begründet wird das ganze aus dem Innenministerium (ach unser lieber Horst) durch einen vermeintlich sichereren Personalausweis und mehr Komfort beim Behördengang.
- Der erste Aspekt ist reine Farce, denn ein Fingerabdruck hat gegenüber einem Passwort oder Sicherheitszertifikat einen gehörigen Nachteil: Er ist einzigartig. Das heißt, wenn diese Daten einmal durch einen Hack oder einfach nur Unvorsichtigkeit von einer staatlichen oder privaten Stelle geleakt werden, können wir sie nicht ändern. Alle Accounts, sowohl bei Unternehmen als auch beim Staat, die mit dem Abdruck verknüpft sind, sind dann unsicher. Sollte ein Account mit dem Passwort ‚abcdefghij‘ gehackt werden (Bitte benutzt das niemals als Passwort..), habe ich allein mit dieser Buchstabenkombination 10! = 10 x 9 x … 2 x 1 = 3628800 Möglichkeiten mein Passwort zu ändern. Und sollte das nicht reichen, können immer noch andere Zeichen benutzt werden oder das Passwort verlängert werden. Bei Fingerabdrücken habe ich genau 20 Chancen in meinem gesamten Leben (wenn wir noch die Zehen mit dazu nehmen).
- Der zweite Aspekt lässt sich genauso gut durch ein Sicherheitszertifikat ohne die Knüpfung an biometrische Daten lösen. Nichts anderes ist nämlich auch die Datei, welche am Ende von der Behörde ausgelesen wird. Eine Verkettung von Zahlen und Buchstaben, die euren Fingerabdruck darstellen. Aber warum ? Es klappt doch z.B. auch beim Steuersystem ‚Elster‘ mit einem Sicherheitszertifikat und Passwort.
Nun bleibt die Frage: Was tun ? Ihr könnt natürlich versuchen euren alten Perso bis in alle Ewigkeit zu behalten, aber damit dürftet ihr irgendwann auf Probleme stoßen. Am besten ihr beantragt noch bis Ende Juli einen neuen #PersoOhneFinger und ab dem Zeitpunkt habt ihr (sofern 23 oder jünger) 6 Jahre Zeit, bis der Perso erneuert werden muss. Das ändert allerdings nichts am Zwang für euch und andere, die diese Nachricht vielleicht nicht so früh erreicht. Deshalb nutzt den Hashtag und informiert euch und eure Freunde über Möglichkeiten und Aktionen. Eine gute erste Anlaufstelle bietet zum Beispiel der Verein Digitalcourage e.V.
Der Staat zeigt seine Zähne und gemeint sind wir alle !
Und weil ich mich nicht zurück halten kann: Wenn ihr ein Passwort von 10 Stellen mit Sonderzeichen, Groß- & Kleinbuchstaben einrichtet, dann braucht es bei einer Rechenleistung von 1 Mio. Passwörtern pro Sekunde ca. 158308 Jahre, um eurer Passwort durch Try-& Error zu knacken. Mit anderen Worten: Sobald das Passwort geknackt wird, ist es nicht mehr euer Problem, sondern das von eueren Urururur…urenkel*innen. Zum Vergleich: vor 150.000 Jahren lebten wahrscheinlich nicht mal Menschen außerhalb des afrikanischen Kontinents. Wenn ihr also meint, dass ein biometrischer Datensatz besser schützt als ein normales Passwort , dann ist das zwar technisch richtig, aber in der Praxis kaum relevant. Die größte Sicherheitslücke besteht immer noch in der Wahl der Passwörter und vor allem in der unsicheren Weitergabe.
Und noch ein nicht so Fun-Fact: Laut security.org wurden im Jahr 2020 bei folgenden Anteilen an Herstellern die angegebene Datenart gehackt:
Art der Daten | Anteil der Hersteller mit Datenlecks |
Anmeldung | 55% |
Personelles | 49% |
Zahlung | 20% |
sonstige | 25% |
Das heißt nicht, dass dieser Anteil an Daten erbeutet wurde, sondern dass es kaum einen Hersteller bzw. kaum ein Sicherheitssystem gibt, das keine Lücken hat. Wenn also versichert wird, dass eure Daten sicher aufbewahrt werden, dann können die Absichten perfekt sein, aber trotzdem Lecks entstehen. Meistens bei der meschlichen Verwaltung der Modelle, nicht am informatischen Grundkonstrukt.