Polizeitechnisches Institut

Transkript

1 Polizeitechnisches Institut Im Auftrag der PG DokG Richtlinie für Dokumentenlese- und Dokumentenprüfgeräte für den Einsatz bei der Polizei Stand: PDF Deutsche Hochschule der Polizei Polizeitechnisches Institut Zum Roten Berge Münster Richtlinie_DokG_2013_06_10.doc

2 Inhaltsverzeichnis 1 VORBEMERKUNG ALLGEMEINES ZWECK ALLGEMEINE ANFORDERUNGEN ARBEITSSICHERHEIT UND UMGEBUNGSBEDINGUNGEN TECHNISCHER BETRIEB ENERGIEVERSORGUNG SCHUTZKLASSE GERÄTESPEZIFISCHE MERKMALE MOBILER EINSATZ IN FAHRZEUGEN SONSTIGER MOBILER EINSATZ SYSTEMTECHNISCHE ANFORDERUNGEN ZERTIFIKATSVERWALTUNG IT-INFRASTRUKTUR FACHLICHE ANFORDERUNGEN POLIZEIFACHLICHE ANFORDERUNGEN AN DAS DOKUMENTENLESE- UND DOKUMENTENPRÜFGERÄT MASCHINENLESBARE ZONE (MACHINE READABLE ZONE) MRZ ZONE FÜR VISUELLE INSPEKTION (VISUAL INSPECTION ZONE) VIZ GANZSEITENAUFNAHME DES DOKUMENTES AUSLESEN UND PRÜFEN DER MRTD-CHIPDATEN WEITERE MASCHINELLE ECHTHEITSPRÜFUNGEN ANFRAGEN IN AUSKUNFTSSYSTEMEN SONSTIGE SYSTEMANFORDERUNGEN POLIZEIFACHLICHE ANFORDERUNGEN AN BIOMETRISCHE KOMPONENTEN FINGERABDRUCKSENSOR KAMERA ZUR AUFNAHME DES GESICHTSBILDES SONSTIGE ANFORDERUNGEN SOFTWAREKOMPONENTEN (FUNKTIONALE ANFORDERUNGEN) GENERELLE ANFORDERUNGEN DOKUMENTENPRÜFUNG GESICHTSBILDVERGLEICH FINGERABDRUCKVERGLEICH SONSTIGE ANFORDERUNGEN Seite 2 von 27

3 8 QUELLENVERZEICHNIS INTERNATIONAL CIVIL AVIATION ORGANISATION (ICAO) DOKUMENTENSERIE DOC 9303, MACHINE READABLE TRAVEL DOCUMENTS IT-SICHERHEITSPOLICY CNP TECHNISCHE RICHTLINIEN DES BSI SPEZIFIKATIONEN DES FBI (FEDERAL BUREAU OF INVESTIGATION) ANHANG 1 BEGRIFFE UND DEFINITIONEN ANHANG 2: AUFBAU EINES DOKUMENTENLESE- UND DOKUMENTENPRÜF- SYSTEMS BEIM STATIONÄREN EINSATZ (SCHEMA) Anlagenübersicht Anhang 1: Begriffe und Definitionen Anhang 2: Aufbau eines Dokumentenlese- und Dokumentenprüf-Systems beim stationären Einsatz (Schema) Seite 3 von 27

4 1 Vorbemerkung Am 18. Januar 2005 trat die VERORDNUNG (EG) Nr. 2252/2004 DES RA- TES vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten [EU-Pass-VO] in Kraft. Diese Verordnung ist für alle Mitgliedstaaten bindend. Seit dem 1. November 2005 werden in Deutschland elektronische Reisepässe (epässe) mit dem Biometriemerkmal Gesichtsbild und seit November 2007 zusätzlich mit Fingerabdrücken ausgegeben. Die epässe enthalten ein elektronisches Speichermedium (MRTD 1 -Chip), in dem Angaben zum Dokument, zur Person und die biometrischen Daten digital gespeichert sind. Zum Schutz vor Fälschungen und Verfälschungen sind die Daten im MRTD-Chip elektronisch signiert. Der epass enthält Sicherheitsmerkmale gem. den EU-Mindestsicherheitsanforderungen, die Bestandteil der o. g. Verordnung sind (u. a. eine holographische Wiedergabe von Bundesadler, Lichtbild und maschinenlesbaren Zeilen, Laserschrift und Wasserzeichen). Nahezu alle EU-Staaten haben mittlerweile mit der Ausgabe von elektronischen Reisepässen nach dem EU-Standard begonnen. Neben den Mitgliedstaaten der EU haben zahlreiche weitere Staaten Pässe und Identitätskarten mit elektronischer Biometriefunktion eingeführt bzw. werden diese in naher Zukunft einführen. Im internationalen Rahmen erfolgt die Standardisierung durch die ICAO 2, die entsprechende Empfehlungen zur Gestaltung von Reisepässen und zur Speicherung biometrischer Daten in Reisepässen erstellt [Doc9303-1]. 3 Auf europäischer Ebene besteht politisches Einvernehmen, dass elektronische Aufenthaltstitel (eat) 4 die gleichen biometrischen Merkmale enthalten sollen wie Reisepässe und den ICAO-Standards genügen müssen. Für die nationalen Personalausweise der Mitgliedstaaten hat der Innen- und Justizrat am 4./ eine aktualisierte Entschließung zu gemeinsamen Mindestsicherheitsnormen verabschiedet 5. Deutschland hat die Einführung eines neuen elektronischen Personalausweises (npa) im Jahr 2010 vorgenommen. 1 MRTD-Chip = In elektronischen (Reise-)Dokumenten integrierter RF-Chip MRTD = Machine Readable Travel Document, i.z.m. elektronischen Dokumenten auch emrtd RF-Chip = Chip mit kontaktloser Schnittstelle auf Basis von Hochfrequenztechnik (Radio Frequency) 2 ICAO = International Civil Aviation Organization 3 Wesentliche Dokumente der ICAO sind in Kapitel 2, Seite 5 aufgeführt. 4 siehe Nr. 8.3, Seite 25: BSI TR 03127, elektronischer Aufenthaltstitel 5 Tagung des Rates Justiz und Inneres Brüssel, den Dezember 2006 Seite 4 von 27

5 2 Allgemeines Dokumentenlese- und Dokumentenprüfgeräte (DokG) dienen zur Erfassung von personalisierten Dokumenten (Identitäts- und Aufenthaltsdokumenten), mit denen sich Personen gegenüber der Kontrollstelle ausweisen (Personenkontrolle). Die mittels DokG aus dem Dokument erhobenen Daten und Informationen werden für die Identitätsüberprüfung (Verifikation und Identifikation) von Personen sowie für die Prüfung der Echtheit und Unverfälschtheit von Ausweisdokumenten genutzt. Die hierzu benötigten Echtheitsmerkmale werden zum einen intern über das Dokument selbst zur Verfügung gestellt, zum anderen werden solche von den einzelnen Staaten und Regierungen oder deren berechtigte Beauftragte als externe dokumentspezifische Prüfmerkmale angeboten. Dieses geschieht durch ein umfassendes Zertifikatsmanagement, welches von den jeweiligen Stellen gepflegt und betrieben wird. Im Rahmen einer umfassenden Personenkontrolle beinhaltet das Prüfverfahren nicht nur die Identitätsüberprüfung (Verifikation und Identifikation) von Personen und die Prüfung der Echtheit von Ausweisdokumenten, sondern auch die Erkenntnisanfrage in Informationssystemen der Polizei (INPOL) und Schengener Informationssystem (SIS). Der Kontrollvorgang beinhaltet eine komplexe Verkettung einzelner Prozesse 6. Zur effektiven Durchführung einer Personenkontrolle gehört nicht nur das Fachwissen und die Erfahrung derjenigen Person, welche diese Kontrolle vornimmt (Nutzer), sie ist insbesondere auch vom Zeitverhalten des technischen Prüfsystems abhängig und davon, wie das Ergebnis der technischen Prüfung dargestellt wird. Diese Richtlinie enthält daher nicht nur Mindestanforderungen an die Technik, sondern auch an die Ergonomie (Mensch Maschine- Kopplung) mit dem Ziel, eine zuverlässige Personenkontrolle zu erreichen. Ein für polizeiliche Personenkontrollen eingesetztes Dokumentenlese- und Dokumentenprüfsystem beinhaltet das DokG und zusätzlich periphere technische Einrichtungen zur Durchführung polizeilicher Maßnahmen (z. B. Datenaustausch für Fahndungsabfragen). Grundlage dieser Richtlinie sind die mitgeltenden internationalen, europäischen und nationalen Normen, insbesondere der Reihen o ICAO Doc o BSI TR-03121, TR-03110, TR-03128, TR-03129, TR sowie weitere Technische Richtlinien des BSI 8 o IT-Sicherheitspolicy CNP 9 in der jeweils neuesten veröffentlichten Fassung (auch Entwurfsfassung). Die in dieser Richtlinie zitierten Bezüge auf nationale Regelwerke (Normen, Vorschriften, Bestimmungen, Richtlinien) schließen die Anerkennung von ver- 6 siehe z. B. Nr. 8.3, Seite 25: BSI TR-03135, Ziff. 5: Umfang der Dokumentenprüfung 7 siehe Nr. 8.1, Seite 24: International Civil Aviation Organisation (ICAO) Dokumentenserie Doc 9303, Machine Readable Travel Documents 8 siehe Nr. 8.3, Seite 25: Technische Richtlinien des BSI 9 siehe Nr. 8.2, Seite 24: IT-Sicherheitspolicy für den polizeilichen Informationsverbund; Corporate Network Polizei CNP Seite 5 von 27

6 gleichbaren Regelungen anderer EU-Staaten ein, wenn die Gleichwertigkeit nachgewiesen wurde. 3 Zweck Der hoheitliche Personenkontrollprozess unter Verwendung biometrischer Dokumente bedarf eines Dokumentenlese- und Dokumentenprüfgerätes innerhalb eines technischen Gesamtsystems und soll folgendes ermöglichen: das maschinelle Auslesen der Dokumentendaten z. B. aus der maschinenlesbaren Zone und dem MRTD-Chip (Speicherchip) das elektronische Verfahren zur Identitätsüberprüfung durch Erfassen der biometrischen Merkmale Gesicht und/oder Fingerabdruck und Abgleich mit gespeicherten Referenzdaten, den Fahndungsabgleich der alphanumerischen Dokumentendaten, ggf. auch zusätzlich der erfassten biometrischen Merkmale Finger/Gesicht mit dem polizeilichen Fahndungsbestand, die maschinell gestützte Echtheitsprüfung von Identitätsdokumenten. Diese Richtlinie nennt die Voraussetzungen, unter denen der Einsatz von DokG als geeignet erscheint und soll im Rahmen von Beschaffungsmaßnahmen dazu dienen, diese Beschaffenheit als Ausschreibungskriterium zu formulieren. Die Vielfalt der polizeilichen Einsatzszenarien erfordert stationäre und mobile Anwendungen. Dafür müssen jeweils geeignete Dokumentenlese- und Dokumentenprüfgeräte sowie Komponenten zur biometrischen Kontrolle zur Verfügung stehen. Auf Grund der Einsatzszenarien sind an die mechanischen, elektrischen und ergonomischen Eigenschaften von DokG entsprechend unterschiedliche Anforderungen zu stellen. Anmerkung: Die Betriebsweise von stationär betriebenen DokG erlaubt es, umfangreichere Anforderungen hinsichtlich ihrer Gerätetechnik, Stromversorgung und Anbindung an die IT-Infrastruktur zu formulieren, weil deren Erfüllung in einer gegebenen Infrastruktur, wie sie in einem Gebäude in der Regel anzutreffen ist, grundsätzlich unproblematischer ist als bei Geräten für den mobilen Einsatz. Die Struktur dieser Richtlinie ist daher so gewählt, dass zunächst die Anforderungen für den stationären Betrieb genannt werden. Seite 6 von 27

7 4 Allgemeine Anforderungen Hier werden die Anforderungen an die Gerätetechnik Software Funktionalitäten genannt, die grundsätzlich bei der Anwendung für stationär betriebene DokG erwartet werden. Von diesen Anforderungen kann im Einzelfall bei solchen Geräten abgewichen werden, die im mobilen Einsatz zur Anwendung kommen. Dieses kann z. B. in der Bauform, Abmessung und IT-Anbindung begründet sein. Ein modularer Geräteaufbau, d. h. Trennung zwischen Rechnereinheit und Dokumentenlese- und Dokumentenprüfgerät, kann unter Berücksichtigung bestehender IT-Infrastrukturen und Leistungsanforderungen von Vorteil sein. 5 Arbeitssicherheit und Umgebungsbedingungen Alle Produkte müssen die geltenden EU-Richtlinien, Deutsche Normen und VDE-Bestimmungen für den jeweiligen Einsatzzweck erfüllen. Insbesondere ist das Gesetz über die elektromagnetische Verträglichkeit von Betriebsmitteln (EMVG) zu erfüllen und Konformitätserklärung und CE-Kennzeichnung zu beachten. Die Bestimmungen der Bundesnetzagentur müssen erfüllt werden. Es sind die derzeit gültigen Regelwerke zugrunde zu legen. Die für den deutschen Rechtsbereich geltenden Regelungen (nationale Regelungen) sind dann zu beachten, wenn entsprechende EU-Richtlinien nicht bestehen oder deren Regelungsinhalt in den deutschen Regelwerken konkretisiert sind. Die in diesem Dokument zitierten Bezüge auf nationale Regelwerke (Normen, Vorschriften, Bestimmungen, Richtlinien) schließen die Anerkennung von vergleichbaren Regelungen anderer EU-Staaten ein, wenn die Gleichwertigkeit nachgewiesen wurde. 5.1 Technischer Betrieb Energieversorgung 230 Volt, 50/60 Hz oder Versorgung über USB-Anschluss (5 Volt DC) Schutzklasse Schutzklasse Gerätegehäuse IP 33 Schutzklasse optische Einheit IP 53 Schutzklasse Netzgerät IP 43 (falls nicht im Gerätegehäuse integriert) Umgebungstemperatur 5 bis 40 C Seite 7 von 27

8 5.1.3 Gerätespezifische Merkmale Auf bewegliche mechanische Teile, ausgenommen sind Halte- und Sicherungseinrichtungen (z. B. Dokumentenfixierung und Diebstahlsicherungen) sollte verzichtet werden. Eine hohe Oberflächengüte (Kratzfestigkeit) insbesondere der Auflagefläche für Dokumente ist erforderlich. Die Geräte sollen weitgehend wartungsfrei sein, dennoch erforderlicher Wartungsbedarf soll systemseitig angezeigt werden Mobiler Einsatz in Fahrzeugen In Streifen-, Kontrollstellen- und Befehlsstellenfahrzeugen kommen die Dokumentenlese- und Dokumentenprüfgeräte im Stand zum Einsatz. Hier bietet sich ein modularer Aufbau unter Berücksichtigung bestehender Fahrzeugausstattungen an. Dem Einsatzzweck entsprechend ergeben sich spezielle Anforderungen an Gewicht und Größe. Weiter sind folgende Anforderungen zu erfüllen: Stromversorgung : Bordnetz (z. B. 12 V DC) IP-Klasse: IP 54, ggf. IP 55 Umgebungstemperaturen für o Funktionsfähigkeit/Betrieb: +5 bis +40 Grad Celsius o Lagerung: -20 bis +60 Grad Celsius Display: tageslichttauglich, blendunempfindlich, kratzfest Je nach Anwendungsfall können folgende Funktionalitäten bedeutsam sein: Datentransfer über das digitale Datennetz (TETRA) lokaler Secure Access Speicher (SAM 10 ) für Schlüsselmaterial geringe Anlaufzeiten bis zur Betriebsbereitschaft 10 SAM (= secure access module): kryptographisch geschützter Speicher Weiterführende Empfehlungen zu kryptographischen Verfahren siehe z. B. Nr. 8.3, Seite 27: BSI TR Seite 8 von 27

9 5.1.5 Sonstiger mobiler Einsatz Sonstiger mobiler Einsatz bedeutet, die Geräte werden durch den Nutzer mitgeführt. Neben den besonderen Anforderungen an entsprechende Kompaktheit, Ergonomie und Netzanbindung, sind im mobilen Einsatz folgende Anforderungen zu erfüllen: Stromversorgung durch o Akkubetrieb mit mindestens 8 Std. Betriebsdauer (Betriebsdauer kann auch durch ein unterbrechungsfreies Wechselakkusystem mit mind. 4 Std. Betriebsdauer je Akku erreicht werden) o Netz- und Kfz-Ladevorrichtung IP-Klasse: IP 54, ggf. bis IP 65 Umgebungstemperaturen für o Funktionsfähigkeit/Betrieb: -10 bis +40 Grad Celsius o Lagerung: -20 bis +60 Grad Celsius Tastatur: beleuchtet (im Bedarfsfall), ggf. Touchscreen Display: Mindestgröße 3,5 Inch Diagonale Auflösung 640x480 Pixel, (mindestens jedoch 320x240 Pixel) tageslichttauglich, blendunempfindlich, kratzfest Je nach Anwendungsfall können folgende Funktionalitäten bedeutsam sein: Datentransfer über das digitale Datennetz (TETRA) lokaler Secure Access Speicher (SAM) für Schlüsselmaterial Verlängerung der Betriebsdauer durch ein spezielles Powermanagement im Sinne eines Sleep-Modus geringe Anlaufzeit bis zur Betriebsbereitschaft Konstruktionsbedingt kann für diesen Gerätetyp die Ganzseitenerfassung - insbesondere mit verschiedenen Lichtquellen - entfallen. 5.2 Systemtechnische Anforderungen Zertifikatsverwaltung Die im MRTD-Chip (Speicherchip) elektronischer Identitätsdokumente gespeicherten Daten müssen für maschinell gestützte Identitätsprüfungen ausgelesen und auf Echtheit (Passive Authentisierung) geprüft werden. Hierfür ist neben der Unterstützung von Übertragungsprotokollen 11 für den Zugriff auf den 11 siehe Nr. 8.3, Seite 25: BSI TR-03135, Ziff Kommunikationsanforderungen, Technische Richtlinien des BSI Seite 9 von 27

10 MRTD-Chip die Nutzung einer Reihe von spezifischen Sicherheitsmechanismen wie Basic Access Control (BAC) [Doc ], Extended Access Control (EAC) [EAC-111, BSI TR ] und SAC 14 bzw. PACE 15 erforderlich. Insbesondere der EAC-Mechanismus schützt sensible Daten wie die Fingerabdruckdaten in europäischen Pässen und elektronischen Aufenthaltstiteln (eat) gegen unautorisiertes Auslesen. Im neuen Personalausweis (npa) sind alle Datengruppen mit EAC geschützt. Jedes Dokumentenlese- und Dokumentenprüfgerät benötigt Zugriff auf die zugehörigen EAC-Berechtigungszertifikate. Die Rolle der Root-CA für die erforderliche Public Key Infrastruktur wird für Deutschland vom BSI wahrgenommen. Die Details der technischen Anbindung sowie das Verfahren zur Zertifikatsverwaltung werden durch die Gesamtkonzeption EAC-PKI des BSI sowie durch weitere technische Dokumente beschrieben. Alle stationären und mobilen Dokumentenlese- und Dokumentenprüfgeräte müssen eine Online-Verbindung zu spezifischen Fahndungs- und Abfragesystemen unterstützen. Die Versorgung mit EAC-Berechtigungszertifikaten und Schlüsselmaterial soll ebenfalls über diese Online-Verbindung erfolgen können IT-Infrastruktur Die IT-Anbindung muss über vorhandene Festnetze möglich sein. DokG müssen innerhalb der polizeilichen IT-Infrastruktur betrieben werden können. Die Software muss auf einem Standard-Arbeitsplatz (PC) der Polizei lauffähig sein. Ein modularer Aufbau unter Verwendung polizeilicher IT-Infrastrukturen muss möglich sein (Trennung Rechnereinheit und DokG). Die Einhaltung der jeweils bestehenden Betriebsvorgaben, z. B. der Berechtigungskonzepte, ist zu gewährleisten. Geltende IT-Vorgaben und Sicherheitsvorgaben sind zu berücksichtigen. Installation, Deinstallation, Update und Konfiguration der Geräte müssen mit einer automatischen Softwareverteilung vereinbar sein. Eine Fehlerdiagnose soll durch Fernadministration des Betreibers möglich sein. Die unterschiedlichen Hard- und Softwarekomponenten des Gesamtsystems sollen unabhängig voneinander aktualisiert werden können. Ein zentrales Lizenzmanagement für die installierten Systeme muss unterstützt werden. Unter verschiedenen Lizenzmodellen (z. B. Landeslizenz) ist nach spezifischem Bedarf auszuwählen. Proprietäre Systeme sind zu vermeiden. Systembausteine mit Schnittstellen nach offenen Standards sind zu bevorzugen. Verbindungsparameter und Konfigurationsdaten müssen durch den Betreiber einstellbar sein. 12 BAC = Basic Access Control (siehe 8.1, S. 24: International Civil Aviation Organisation (ICAO) Dokumentenserie Doc 9303, Machine Readable Travel Documents) 13 EAC = Extended Access Control, (siehe Nr. 8.3, S. 25 BSI TR-03110) 14 SAC = Supplemental Access Control (siehe 8.1, S. 24: International Civil Aviation Organisation (ICAO) Dokumentenserie Doc 9303, Machine Readable Travel Documents) 15 PACE = Password Authenticated Connection Establishment (siehe Nr. 8.3, S. 25: BSI TR-03110) Seite 10 von 27

11 Die Geräte sollen über robuste, standardisierte und einfache Verbindungstechniken verfügen. 6 Fachliche Anforderungen 6.1 Polizeifachliche Anforderungen an das Dokumentenlese- und Dokumentenprüfgerät Die polizeifachlichen Anforderungen an ein Dokumentenlese- und Dokumentenprüfgerät in einem technischen Gesamtsystem für die Personenkontrolle unter Verwendung biometrischer Dokumente ergeben sich aus der in Kapitel 2 skizzierten Fachaufgabe und den daraus abgeleiteten Funktionen: Maschinelles Auslesen der alphanumerischen Dokumentendaten aus der maschinenlesbaren Zone (MRZ) und der Daten aus dem MRTD-Chip (Speicherchip). Elektronisches Verfahren zur Konsistenzprüfung auf Basis der visuellen Personalisierungsdaten (z. B. MRZ, VIZ, Gesichtsbild). Maschinell gestützte Echtheitsprüfung Hierbei ist folgende Einschränkung gegeben: Derzeit ist nur ein begrenztes Auslesen der MRTD-Chipdaten bei epässen und eat möglich. Für das Auslesen der Datengruppe 3 (Fingerabdruckbilder) aus dem MRTD-Chip von epässen und für den grundsätzlichen Zugriff auf die MRTD-Chipdaten z. B. beim npa ist "Extended Access Control" (EAC) erforderlich (siehe Nr ). Deshalb ist ein Abgleich von Daten aus dem MRTD- Chip (Speicherchip) mit denen aus der Personaldatenseite (z. B. Gesichtsbild) bzw. auch ein Abgleich mit Live-Daten (z. B. Fingerabdruckbild) nur in dem Maß möglich, wie dieses durch das Auslesen der Chipdaten derzeit unterstützt wird. Folgende weitere Anforderungen sind zu berücksichtigen: Sofern für den Leseprozess eine Führung oder Fixierung der Dokumente erforderlich ist, soll diese durch das Gerät unterstützt oder geleistet werden. Lesen und Prüfen der Dokumente sollte durch einmaliges Auflegen bzw. Einlegen erfolgen. Ein ggf. vorhandenes Display soll tageslichttauglich und spiegelungs-/ blendunempfindlich sein. Eine Systemwiederherstellung (Reset) soll möglich sein. Das Gerät soll manuell ein-/ausschaltbar sein und der Schaltzustand soll deutlich erkennbar sein. Die im Rahmen eines Anwendungsfalles durchzuführenden Prüfschritte sollen hinsichtlich der Prüftiefe, -reihenfolge und ihrer parallelen Verarbeitung durch den Betreiber konfigurierbar 16 gestaltet sein. 16 siehe z. B. Nr. 8.3, Seite 25: BSI TR-03135, Nr. 5.1 Prozessablauf der Dokumentenprüfung Seite 11 von 27

12 6.1.1 Maschinenlesbare Zone (machine readable zone) MRZ Die MRZ muss im Infrarotbereich (B 900-Band) gem. ICAO Standard zu maschinenlesbaren Reisedokumenten [Doc9303-1, -2, -3] ausgelesen werden. Ist ein Auslesen der MRZ in diesem Wellenlängenbereich auf Grund der spezifischen Eigenschaften eines Dokuments nicht möglich, so hat die Zeichenerkennung zur Gewährleistung der weiteren Bearbeitungsschritte unter Weißlicht zu erfolgen. Die Daten der MRZ werden für den Zugriff auf die im MRTD-Chip (Speicherchip) gespeicherten Informationen benötigt, daher muss das Lesen der MRZ allen davon abhängigen Funktionen vorausgehen. Ist das maschinelle Erfassen der MRZ z. B. wegen Verschmutzung oder Beschädigung des Dokuments nicht oder nur teilweise möglich, muss eine manuelle Eingabe der Inhalte bzw. eine Korrektur der angezeigten Zeichen möglich sein. Letzteres gilt auch für Dokumente, deren Format zwar der ICAO-Vorgabe entspricht, aber deren MRZ z. B. in Schriftbild oder Aufbau nicht ICAO-konform ist. Der Betreiber soll die Möglichkeit haben die Reihenfolge des Ablaufs für seine Zwecke zu optimieren. Bei nicht exakter Ausrichtung der zu lesenden Dokumente entlang der Kanten des Auslesebereiches eines Ganzseitenlesegerätes ist eine hohe Toleranz gefordert Zone für visuelle Inspektion (visual inspection zone) VIZ Um einen automatisierten Abgleich der Information aus der MRZ mit der VIZ vornehmen zu können, sollte das Lesen der VIZ mit OCR-Funktion (optical character recognition) möglich sein. Bei ID-1 formatigen Ausweisen mit CAN 17 (z. B. npa und eat) ist wegen des geforderten beidseitigen Lesens jedoch eine OCR im Bereich der vorderseitigen VIZ notwendig. Dieses dient u. a. zur Erkennung von Abweichungen zu den anderen Dokumentdaten und der Bereitstellung von zusätzlichen Informationen (z. B. Personennummer) für benachbarte Systeme. Ist ein Auslesen bestimmter Bereiche unter IR auf Grund der spezifischen Eigenschaften eines Dokuments nicht möglich, so hat die Zeichenerkennung zur Gewährleistung der weiteren Bearbeitungsschritte - wie im Fall der MRZ - unter Weißlicht zu erfolgen Ganzseitenaufnahme des Dokumentes Für die Echtheitsprüfung des Dokumentes muss die optische Erfassungseinheit so beschaffen sein, dass die Personaldatenseite Dokumentenseiten als Ganzseitenaufnahme unter verschiedenen Lichtquellen (Beleuchtungsmodi) aufgenommen werden kann. 17 CAN = Card Access Number Seite 12 von 27

13 Für die Beleuchtung sind mindestens folgende Lichtquellen vorzusehen: Weißlicht (Auflicht) Ultraviolettes Licht (365 nm) (Auflicht) Infrarotlicht (B 900-Band gemäß ISO ) (Auflicht) Aufnahmequalität bei Weißlicht und ultraviolettem Licht: Auflösung: Farbtiefe: mindestens 385 ppi (Pixel pro Inch) 24 Bit (=3x8 Bit pro Farbkanal) Aufnahmequalität bei Infrarotlicht (Graustufen) Auflösung: Farbtiefe: mindestens 385 ppi (Pixel pro Inch) 8 Bit (optional 24 Bit = 3x8 Bit pro Farbkanal) Die aufgenommenen Bilder sollen vom Bildzentrum bis in die Randbereiche eine gleichmäßige Schärfe aufweisen, verzerrungsfrei, und spiegelungs-/schattenfrei sein. Hinweis: Es sollte eine Funktion vorhanden sein, die den Nutzer in die Lage versetzt, die Darstellungsqualität (Kalibrierung) in einfacher Form - z. B. mit Hilfe einer Testtafel - zu prüfen, z. B. Geometrie, Helligkeit, Kontrast, Farbraum Auslesen und Prüfen der MRTD-Chipdaten Die Kommunikation zum im Dokument befindlichen MRTD-Chip (Speicherchip) ist mittels integrierten RF-Lesegerätes herzustellen. Das Auslesen und Prüfen der MRTD-Chipdaten ist gemäß TR durchzuführen. Grundsätzlich müssen unter der Voraussetzung des berechtigten Zugriffs alle Datengruppen (DG) aus dem MRTD-Chip ausgelesen und zur Weiterverwendung bereitgestellt werden können, mindestens jedoch die Datengruppen: DG1 (MRZ) DG2 (Gesichtsbild) und DG3 (Fingerabdruckbilder). Optional sind weitere DGen auszulesen, z. B. DG7 (Bilddatei mit der Unterschrift des Inhabers) DG11 (zusätzliche persönliche Details zur Identität des Inhabers) DG12 (zusätzliche Dokumentendetails Produktionsdetails) 18 ISO 1831: Printing Specifications for optical character recognition, 1980 Seite 13 von 27

14 Die Integrität und Authentizität der Chipdaten ist durch Passive Authentisierung (PA) anhand der über eine Zentralinstanz (Terminal Control Centre - TCC) bereitgestellten Zertifikatsinformationen sicherzustellen. Zur Umsetzung von EAC 19 (erweiterter Zugriffsschutz auf die Fingerabdruckdaten bei epässen und eat sowie grundsätzlicher Zugriffsschutz beim npa) ist das DokG (bzw. der Kontrollarbeitsplatz-PC) als Komponente in die EAC- PKI einzubinden (siehe Architekturbeschreibung in TR-03135). Die Details der technischen Anbindung sowie das Verfahren zur Zertifikatsverwaltung werden durch die "Gesamtkonzeption EAC-PKI des BSI 20 beschrieben. Bei Durchführung des EAC-Protokolls ist eine Online-Anbindung des DokG an das TCC erforderlich. Die Anbindung der DokG an das TCC muss durch den Betreiber konfigurierbar sein. Bei evtl. Zweifels-/Verdachtsfällen (z. B. Speicherchip wird nicht erkannt oder Speicherchipinhalt nicht amtlich ausgestellt) muss die Möglichkeit bestehen, die Prüfkriterien und das Prüfergebnis zu Dokumentationszwecken abzuspeichern Weitere maschinelle Echtheitsprüfungen Sind weitere maschinell prüfbare Sicherheitsmerkmale vorhanden, können diese optional bei der Echtheitsprüfung berücksichtigt werden. Hierfür können spezielle Beleuchtungs- und Detektionseinrichtungen zur Prüfung maschinell detektierbarer Strukturen gem. der Definitionen der ICAO [Doc9303-1, 2, 3] eingesetzt werden (z. B. die maschinell prüfbare Struktur (MPM) im Identigram deutscher Dokumente). Auch weitere Beleuchtungskonfigurationen kommen in Frage: Weißlicht (z. B. Koaxial-, Durch-, Streiflicht) ultraviolettes Licht (313 nm, 254 nm) grünes Licht für IR-Lumineszenzaufnahme (einschließlich eines beweglichen Sperrfilters) Optional sollen weitere Sicherheitsmerkmale in Dokumenten wie in die Ausfülldaten integrierte Informationen (Digitales Siegel, z. B. Jura D-IPI oder 1D bzw. 2D-Barcodes) ausgelesen und abgeglichen werden können. Hierzu können zusätzlich alternative Bilderfassungen verwendet werden. 19 siehe z. B. Nr. 8.3, Seite 25: BSI TR-03135, Ziff Sequenz zum Lesen und Prüfen der elektronischen Inhalte 20 siehe Nr. 8.3, Seite 25: BSI TR-03110, TR-03128, TR siehe Nr. 8.3, Seite 25: BSI TR Seite 14 von 27

15 6.1.6 Anfragen in Auskunftssystemen Für Anfragen in polizeilich relevanten Auskunftssystemen muss das System die notwendigen Schnittstellen zur Verfügung stellen. Auskunfts-/Fahndungssysteme (z. B. INPOL, SIS) Der automatisierte Fahndungsabgleich anhand der alphanumerischen Personal- und Dokumentendaten muss die INPOL-Dateien Personen- und Sachfahndung durch IT-Anbindung an Auskunftssysteme der Polizei umfassen und schließt das Schengener Informationssystem ein. Hierzu ist es erforderlich, die aus dem Dokument erhobenen Daten, mindestens Name, Vorname, Geburtsdatum, Dokumentennummer, Personennummer sowie die von der Person erhobenen Daten (Live-Daten) für Abfragen konfigurierbar bereitzustellen. Die Übergabe dieser Daten soll so konfigurierbar sein, dass die Art der Abfrage (z. B. nur Personenabfrage, Sachfahndungsanfrage bzw. Kombination beider Abfragen) und deren Reihenfolge durch den Betreiber einstellbar sind. VIS-Abfragen: Für durchzuführende Abfragen im VISA-Informationssystem sind die Daten aus der MRZ des Visums zur Weiterverarbeitung durch eine Drittanwendung zur Verfügung zu stellen. Zur kombinierten Abfrage im VIS mit der Visumnummer und Fingerabdruckbildern (Live-Daten) soll eine Aufnahme der Fingerabdrücke über einen angeschlossenen Fingerabdrucksensor und die Übergabe an eine Drittanwendung möglich sein. AFIS-Anfragen: Zur Durchführung von FastID-Anfragen mit Fingerabdruckbildern (Live-Daten) im polizeilichen System AFIS soll eine Aufnahme der Fingerabdrücke über einen angeschlossenen Fingerabdrucksensor und die Übergabe an eine Drittanwendung möglich sein. Des Weiteren sind die aufgenommenen Gesichtsbilder (Live-Daten) für weitere Abfragen bereitzustellen Sonstige Systemanforderungen Zugangsberechtigungen Um den Zugang für unterschiedliche Zugangsberechtigte zu den Funktionen des DokG zu regeln, sind unterschiedliche Zugangsberechtigungen vorzusehen, z. B. Seite 15 von 27

16 Zugangsberechtigung Definition ZB1 Zugang durch Nutzer A*) ZB2 Zugang Nutzer B*) ZB3 Zugang durch den Administrator *) ZB4 Zugang durch den Betreiber *) Der Inhaber der ZB4 entscheidet nach jeweiligem Betriebserfordernis und Sicherheitsbedürfnis über die Vergabe der Berechtigungen. Die Zuordnungen von Funktionen des DokG zu den Zugangsberechtigungen sind aufgabenspezifisch festzulegen und sollen frei wählbar sein. Eine Einbindung in bereits vorhandene Verzeichnisdienste soll möglich sein. Eventuell vorhandene Herstellerkonten sind offen zu legen. Unveränderliche herstellerseitige Administrationskonten sind nicht zulässig. Die einschlägigen IT-Sicherheitsvorgaben 22 sind einzuhalten. Die Verarbeitungszeiten sind durch Modularisierung und parallele Ausführung von Prozessen zu optimieren. 6.2 Polizeifachliche Anforderungen an biometrische Komponenten Fingerabdrucksensor Zur digitalen Aufnahme von Fingerabdruckbildern sind zertifizierte Hardwarekomponenten einzusetzen. Zugelassene Sensoren sind Geräte, die gemäß BSI TR Funktionsmodul AH-FP-FTR, BSI TR Annex 2, Anforderungen an die Erfassungshardware oder FBI (CJIS EFTS Appendix - F-) IAFIS IMAGE QUALITY SPECIFICA- TIONS 23 zertifiziert sind. Die Anforderungen an die Fingerabdrucksensoren sind u. a. Scanauflösung: Auflösung mindestens 500 Pixel pro Inch Farbtiefe: 256 Graustufen (8 Bit pro Pixel) Aufnahmeformat: Breite: mindestens 16 mm Höhe: mindestens 20 mm Aufnahme von aufgelegten oder abgerollten 24 Fingern Ein- oder Mehrfingerabtastfeld Geräte für modularen Aufbau müssen mindestens eine der folgenden Schnittstellen aufweisen: 22 siehe Nr. 8.2, Seite 24: IT-Sicherheitspolicy CNP 23 siehe 8.4, Seite 25: Spezifikationen des FBI (Federal Bureau of Investigation) 24 z. B. im Zusammenhang mit zusätzlichen erkennungsdienstlichen Funktionalitäten Seite 16 von 27

17 USB 2.0 Ethernet-Anschluss IEEE1394 Firewire Kamera zur Aufnahme des Gesichtsbildes Technische Anforderungen an die Kamera: Auflösung Die Kamera muss in der Lage sein, ein entsprechend der TR Biometrics for Public Sector Applications 25 (TR-03121) aufgenommenes Gesichtsbild zu erzeugen. Dabei ist ein Gesichtsbild in der Mindestgröße von 600 Pixel x 800 Pixel zu erzeugen. Dieses ist für die Interoperabilität mit dem INPOL-System (LiBi-INPOL) erforderlich. Gemäß Vorgabe des BKA soll die Kompression Faktor 19 (Berechnungsgrundlage: Datei-Größe des unkomprimierten Bildes durch Dateigröße des komprimierten Bildes) nicht überschreiten. 26 Farbtiefe 24 Bit pro Pixel / RGB Aufnahmeformat Die aufzunehmenden Lichtbilder dienen der Ausweis- und Passüberprüfung, nicht einer Bestandsbildung oder einer Speicherung in Dokumenten. Daher können in Abweichung von TR (Funktionsmodule AH-PH- DC und AH-PH-VID) mit der Festlegung auf Kompressionsverfahren JPEG2000 auch weitere gängige Speicher-formate wie JPEG, TIFF, BMP, RAW verwendet werden. Das optische Brennweitenäquivalent (zu Kleinbild-Vollformat) soll mindestens 55 mm betragen. Alternativ können die Anforderungen des BSI aus der Technischen Richtlinie Biometrie in hoheitlichen Anwendungen an Kameras für den entsprechenden Anwendungsfall erfüllt werden. Für den modularen Aufbau ist mindestens eine der folgenden Schnittstellen vorzusehen: USB 2.0 Ethernet-Anschluss IEEE1394 Firewire Sonstige Anforderungen Neben der Nutzbarkeit zur Verifikation des aus dem MRTD-Chip gelesenen Lichtbildes bzw. Fingerabdruckbildes mit den aktuell erhobenen biometrischen Daten soll die Hardware über definierte Schnittstellen so ansteuerbar sein, 25 siehe Nr. 8.3, Seite 25: BSI TR Anforderungen zu INPOL-Gesichtsbildern, entnommen aus Qualitätsstandardbeschreibung ED-Lichtbilder, 164. Tagung AG Kripo, Potsdam 2009, Seite 17 von 27

18 dass eine weitere Nutzung für Abfragen in entsprechenden benachbarten Systemen, z. B. Gesichtserkennungssystem in INPOL (GES), AFIS, VIS, möglich ist. Bereits im Einsatz befindliche Fingerabdrucksensoren und/oder Kameras sollten weiterhin verwendet werden können. 6.3 Softwarekomponenten (funktionale Anforderungen) Generelle Anforderungen Das System muss eine flexible Konfiguration der Prüfabläufe ermöglichen. Bei einigen Dokumenten (z. B. ID 1-Format) kann das Lesen mehrerer Dokumentseiten erforderlich werden. Für bestimmte Prüfabläufe ist das Lesen mehrerer Dokumente (Reisepass, VISA, AT) notwendig. Die Ergebnisse der Echtheitsprüfungen (Mustervergleich) und die sonstigen Kontrollergebnisse (z. B. Ablauf der Gültigkeit des Dokumentes, Gültigkeit der Prüfziffer/n) sind anschaulich zusammenzufassen und auf dem Bildschirm darzustellen. Des Weiteren sind die festgestellten Abweichungen durch entsprechende Markierungen auf dem Bildschirm hervorzuheben. Für den Bedarfsfall sind der gesamte Prüfumfang, seine Einzelergebnisse sowie die erlangten Werte auf dem Bildschirm darzustellen. Die Ergebnisse der elektronischen Prüfung einschließlich der Zertifikatskette (BAC, PACE, EAC und PA) sollen anschaulich zusammengefasst auf dem Bildschirm dargestellt werden. Es wird empfohlen, ein Ampelsystem zur Visualisierung zu nutzen 27. Anlassbezogen muss das Exportieren von Prüfergebnissen und Daten (Inhalt und Umfang gem. BSI-Richtlinie TR-03135, Nr. 6) möglich sein, zum Beispiel: das auf dem Monitor angezeigte Gesichtsbild der Personaldatenseite (Gesichtsbildscan). das diesem gegenübergestellte Gesichtsbild aus dem MRTD-Chip (Speicherchip) und die Inhalte des MRTD-Chips. Eingangsparameter und -daten, sowie Ergebnisse der Echtheitsprüfung Das System muss ohne Administratorenrechte auf Betriebssystemebene innerhalb der geschützten Netzwerke der Polizei durch entsprechend berechtigte Anwender auf den Standardumgebungen betrieben werden können. Die Software muss gleichzeitig mit anderen Produkten auf dem Arbeitsplatz betreibbar sein und darf keine exklusive Bereitstellung von Standardsystemkomponenten voraussetzen (z. B. Monitor). Hierdurch sollen störende Auswirkungen auf andere (bereits installierte) Programme ausgeschlossen werden. Das System muss ohne dauerhafte Speicherung personenbezogener Daten auf lokalen Speichermedien betrieben werden können. Temporär gespeicherte Daten müssen nach Vorgangsabschluss gelöscht / überschrieben werden. 27 siehe z. B. Nr. 8.3, Seite 25: BSI TR (Kap. 5.2 "Prüfergebnisse in der Kontrollanwendung") Seite 18 von 27

19 Das System muss updatefähig sein (z. B. zur Verbesserung der Echtheitsprüfungen) und eine zentral gesteuerte unternehmensweite Softwareverteilung unterstützen. Für die Ansteuerung von externen Geräten zur Erfassung biometrischer Objekte wird die Verwendung von Softwarekomponenten nach BioAPI, definiert nach BSI-TR , empfohlen. Andernfalls soll eine äquivalente (systemoffene) Schnittstelle bereitgestellt und dokumentiert werden Dokumentenprüfung Das System dient der automatisierten, maschinell gestützten Echtheitsprüfung von Personaldokumenten (z. B.: Reisepässe, Identitätskarten, Sichtvermerke, Aufenthaltstitel). Wesentliches Element für die Echtheitsprüfung von Dokumenten ist die Anzeige von Daten und bildlichen Informationen auf dem Bildschirm des Nutzers, der hierüber wesentliche Prüffunktionen wahrnimmt und auch die Kommunikation mit dem System abwickelt. Um den einzelnen Anforderungen gerecht zu werden, ist für die Prüfqualität und -ergebnisse eine optimale technische und ergonomische Auslegung dieser Komponente von entscheidender Bedeutung. Der visuellen Darstellung (Ausgabe-/Wiedergabequalität) kommt im Gesamtprozess eine wesentliche Bedeutung zu. Der Nutzer soll die Möglichkeit haben, jederzeit in einfacher Weise einen Funktionstest durchzuführen, um die Bildqualität zu verifizieren (z. B. mittels Prüftafel). Dabei sind alle implementierten Beleuchtungsmodi anzuwenden. Die Bilddarstellung ist nutzerfreundlich auszulegen. Die Bildqualität für den Nutzer soll folgende Anforderungen erfüllen: Bilddiagonale min. 19" Auflösung min x 1024 Helligkeit min. 300 cd/m2 Kontrast min : 1 Die Ganzseitendarstellungen des unter den verschiedenen Lichtquellen aufgenommenen Dokuments auf dem Bildschirm sollen mindestens in Originalgröße (Maßstab 1:1) wie das physikalische Dokument erfolgen. Des Weiteren ist eine Darstellungsmöglichkeit in nativer Aufnahmeauflösung (1 Anzeigepixel entspricht 1 Aufnahmepixel), sowie eine Zoom-Funktion für eine weiter vergrößerte Darstellung von Bildausschnitten erforderlich. Bild-, Daten- und Prüfergebnisse sind ergonomisch aufzubereiten und so darzustellen, dass sie vom Nutzer schnell und sicher wahrgenommen werden können. Der Betreiber muss die Möglichkeit haben, eine logische Zusammenfassung einzelner Prüfergebnisse durch definierbare Regeln in einer Anzeige darstellen zu lassen. Es ist eine automatische Bildausrichtung vorzusehen, die es erlaubt, nicht exakt positionierte Dokumente (schräg oder um 180 gedreht) azimut- und verzerrungsfrei darzustellen. Die Software muss durch eine regelmäßige Pflege den aktuellen Anforderungen angepasst werden. Seite 19 von 27

20 Dies betrifft z. B. die Aktualisierung der Muster-/Referenzdatenbank für Echtheitsprüfungen. die Anpassung der Software für das Erkennen und Auslesen physikalischer und elektronischer Dokumente. die für die Funktionalitäten des Systems, wie z. B. den automatisierten Abgleich der MRZ mit der VIZ. Updates sind bereitzustellen, sobald solche z. B. durch die Einführung neuer Dokumente veröffentlicht werden. Die Updatefähigkeit sollte in Abhängigkeit von der Nutzungsdauer (Lebenszyklus) und damit im Hinblick auf die künftigen Softwareentwicklungen (insbesondere bei Betriebssystemen) garantiert werden. Die Art des Dokumentes, z. B. Reisepass oder Identitätskarte, die jeweilige Serie, der Ausstellerstaat und auch die Tatsache, dass es sich um ein elektronisches Dokument handelt, soll anhand dokumentenspezifischer Merkmale automatisiert erkannt werden. Der Hersteller beschreibt, anhand welcher spezifischer Merkmale die Art/Serie des Dokumentes erkannt wird. Bestandteil jedes Lesevorganges der MRZ muss die Plausibilitätsprüfung anhand der in der MRZ enthaltenen Prüfziffern sein. Das Prüfergebnis ist anzuzeigen. Die Daten der MRZ der Personaldatenseite müssen automatisiert mit den MRTD-Chipdaten abgeglichen werden. Das Prüfergebnis ist anzuzeigen. Es muss ein automatisierter Abgleich der Informationen aus der MRZ des Visums bzw. des Aufenthaltstitels mit der MRZ des Hauptdokumentes (z. B. Reisepass, Personalausweis) erfolgen. Das Prüfergebnis ist anzuzeigen. Es soll eine Gegenüberstellung des aus dem MRTD-Chip (Speicherchip) ausgelesenen Gesichtsbildes mit dem Gesichtsbild aus der Personaldatenseite für den visuellen (manuellen) Vergleich erfolgen. Dazu müssen beide Gesichtsbilder mindestens in Passbildgröße und in gleicher Größe angezeigt werden. Abgelaufene Dokumente sollen automatisiert erkannt werden. Das Prüfergebnis ist anzuzeigen. Dokumentenspezifisch soll ein automatisierter Abgleich der Ausfülldaten im Dokument aus der visual inspection zone (VIZ) mit den Daten der MRZ erfolgen können. Das Prüfergebnis ist anzuzeigen. Es soll ein automatisierter Abgleich des unmittelbar aufgenommenen Gesichtsbildes (Live-Daten) mit dem aus dem Speicherchip ausgelesenen Gesichtsbild erfolgen können. Das Prüfergebnis ist anzuzeigen. Es soll ein automatisierter Abgleich des unmittelbar aufgenommenen Gesichtsbildes (Live-Daten) mit dem Lichtbild der Personaldatenseite (Weißlicht) erfolgen können. Das Prüfergebnis ist anzuzeigen. Es soll ein automatisierter Abgleich des Lichtbildes der Personaldatenseite (Weißlicht) mit dem aus dem Speicherchip ausgelesenen Gesichtsbild erfolgen können. Das Prüfergebnis ist anzuzeigen. Seite 20 von 27

21 Es soll ein automatisierter Abgleich des unmittelbar aufgenommenen Fingerabdruckbildes (Live-Daten) mit dem aus dem Speicherchip ausgelesenen Fingerabdruckbild erfolgen können. Das Prüfergebnis ist anzuzeigen. Die maschinell gestützte, automatisierte Echtheitsprüfung muss durch den Vergleich der Dokumentenaufnahmen unter mindestens drei verschiedenen Lichtquellen (Weiß-, Infrarot-, UV-Licht) mit Referenzbildern aus einer Musterdatenbank erfolgen. Diese Echtheitsprüfung muss die gebräuchlichen Sicherheitselemente wie z. B. Papiersubstrat (UV-Reaktion des Papiers) UV-reaktive Aufdrucke (Prüfung, ob Aussehen, Größe und Position den Referenzdaten entsprechen) Infrarotabsorbtionsverhalten Ausfülldaten sowie Lichtbild und ggf. dessen Sicherung prüfen. Sind weitere Sicherheitsmerkmale maschinell prüfbar, sollten diese ebenfalls unterstützt werden (z. B. MPM). Das Prüfergebnis ist übersichtlich anzuzeigen. Prüfergebnisse müssen im Bedarfsfall zumindest auf dem lokalen Speichermedium in der bestmöglichen verfügbaren Qualität ausgegeben werden können 28. Die Ergebnisse aus polizeirelevanten Auskunfts-/Fahndungssystemen sind übersichtlich (klassifizierbar und konfigurierbar) anzuzeigen, wobei Einzelergebnisse visualisierbar sein sollen. Für die Echtheitsprüfung sollen Muster-/Referenzdaten alter und neuer Serien mindestens folgender Dokumente zur Verfügung stehen: Reisepässe Personalausweise (ID-Karten) Reiseausweise (z. B. für Staatenlose und anerkannte Asylbewerber) Visaetiketten Aufenthaltstitel Die aktuell zur Verfügung stehenden Musterdaten (Art, Herkunft und Anzahl) sind anzugeben. Die Quelle der Daten (z. B. Botschaften) ist nachzuweisen. Zu der beim Bund und den Ländern eingesetzten Bilddatenbank Informationssystem Urkunden (ISU) soll eine Schnittstelle möglich sein. 28 siehe Nr. 8.3, S. 25: BSI TR Seite 21 von 27

22 6.3.3 Gesichtsbildvergleich Für den Gesichtsbildvergleich sind folgende funktionale Anforderungen zu erfüllen: Aufnahme des Gesichtsbildes aus der Personaldatenseite und Anzeige auf dem Bildschirm. Auslesen des Gesichtsbildes aus dem MRTD-Chip (Speicherchip) des jeweiligen elektronischen Identitäts- oder Aufenthaltsdokumentes und Anzeige auf dem Bildschirm. Aufnahme eines einzelnen Gesichtsbildes über eine angeschlossene oder systemintegrierte Kamera und Anzeige auf dem Bildschirm. Anmerkung: Zur optionalen Erweiterung des Systems mit Peripheriegeräten siehe auch Ansteuerung von Biometriekomponenten (Nr ) sowie Anschluss von Biometriekomponenten (Nr ). Eine zeitgleiche Darstellung der Gesichtsbilder ist für den visuellen Vergleich durch den Nutzer zu ermöglichen. Ein automatischer Vergleich der Gesichtsbilder soll möglich sein Fingerabdruckvergleich Beim Fingerabdruckvergleich sind folgende funktionale Grundanforderungen zu erfüllen: Auslesen der Fingerabdruckbilder aus dem MRTD-Chip elektronischer Identitäts- oder Aufenthaltsdokumente Information über die aus den Ausweisdokumenten ausgelesenen Fingerpositionen und Anzeige des zugehörigen Qualitätsniveaus (z. B. rechter Zeigefinger mangelhafte Qualität ) Aufnahme und Anzeige einzelner Fingerabdruckbilder mit Hinweis auf das zugehörige Qualitätsniveau Die Qualitätsprüfung der Aufnahme erfolgt durch ein QS-Modul. Als Bewertungsalgorithmus kann die freie Implementierung NFIQ aus dem NIST NFIS2 Paket [NFIS] auf unkomprimierten Bilddaten verwendet werden. Alternativ können andere vom BSI als geeignet bewertete QS-Algorithmen Verwendung finden. Vergleich des unmittelbar aufgenommenen Fingerabdruckes mit dem aus einem der vorgenannten Ausweisdokumente ausgelesenen Fingerabdruckbild Schnittstellen für die programmtechnische Ansprache der genutzten Funktionen (insbesondere für Encoding und Matching). Für die Parametrisierung des lokalen Fingerabdruckvergleiches sind durch den Algorithmenanbieter folgende Informationen bereitzustellen: 29 siehe Nr. 8.3, Seite 25: BSI TR Seite 22 von 27

23 Die in repräsentativen Versuchsreihen erreichten Werte FRR (false rejection rate) und FAR (false acceptance rate) sowie deren Verhältnis zueinander in verschiedenen Konfigurationen. Dabei sind mindestens die FRR für folgende Arbeitspunkte anzugeben: o FAR=1,00%, o FAR=0,10% und o FAR=0,01%. Vorzugsweise ist eine vollständige DET 30 -Kurve bereitzustellen. Die herstellerspezifischen Einstellungen, die das vorgenannte FAR /FRR Verhältnis beeinflussen und regeln. Diese Einstellungen sollen individuell durch den Betreiber regelbar sein. Zu unterstützende Dateiformate: o BMP o TIFF o WSQ o JPEG2000 o RAW (8-bit Graustufen) 7 Sonstige Anforderungen Handbücher bzw. Beschreibungen für die Systeme sollen in deutscher Sprache verfügbar sein (Bestandteil des Angebots). Ein Betriebshandbuch soll in unbeschränkter elektronischer Form zur internen Verwendung zur Verfügung stehen. An das Betriebshandbuch (Hard- und Software) werden folgende Mindestanforderungen gestellt: Verständlich und anwenderfreundlich Textliche und grafische Darstellung der installierten Softwarekomponenten (Betriebssoftware, Anwendersoftware etc.), der Hardwarekonfiguration und der Netzkomponenten, soweit für den Betrieb relevant Textliche Darstellung des Installationsprozesses Beschreibung von Maßnahmen zur Betriebsüberwachung (Monitoring), Fehlererkennung, Fehlerbehebung und Fehlerauswertung Beschreibung organisatorischer Regelungen für die Installation von Service Packs, Updates etc. Darstellung von administrativen Zugangsberechtigungen Nennung von Ansprechstellen und Erreichbarkeiten des Herstellers 30 Detection Error Tradeoff = Kurve zur Fehlerratenbewertung Seite 23 von 27

24 8 Quellenverzeichnis 8.1 International Civil Aviation Organisation (ICAO) Dokumentenserie Doc 9303, Machine Readable Travel Documents Part 1 - Machine Readable Passport - Volume 1 Passports with Machine Readable Data Stored in Optical Character Recognition Format Part 1 - Machine Readable Passport - Volume 2 Specifications for Electronically Enabled Passports with Biometric Identification Capabilities Part 2 - Machine Readable Visas Part 3 - Machine Readable Official Travel Documents - Volume 1 MRtds with Machine Readable Data Stored in Optical Character Recognition Format Part 3 - Machine Readable Official Travel Documents - Volume 2 Specifications for Electronically Enabled MRtds with Biometric Identification Capability Sixth Edition Sixth Edition Third Edition Third Edition Third Edition Version SUPPLEMENT to Doc Veröffentlicht unter: (letzter Abruf am ) 8.2 IT-Sicherheitspolicy CNP IT-Sicherheitspolicy für den polizeilichen Informationsverbund Corporate Network Polizei CNP (210. Sitzung des AK II am 29./ ) Bereitgestellt in EXTRAPOL, Seite 24 von 27

25 8.3 Technische Richtlinien des BSI EAC-PKI'n für den elektronischen Personalausweis Rahmenkonzept für den Aufbau und den Betrieb von Document Verifiern Advanced Security Mechanisms for Machine Readable Travel Documents PKIs for Machine Readable Travel Documents - Protocols for the Management of Certificates and CRLs Technische Richtlinie zur Produktionsdatenerfassung, -qualitätsprüfung und -übermittlung für Pässe Qualitätsanforderungen bei der Erfassung und Übertragung der Fingerabdrücke als biometrische Merkmale für elektronische Pässe Technische Richtlinie in Zusammenarbeit zwischen Bundesamt für Sicherheit in der Informationstechnik, Bundeskriminalamt und Bundespolizeipräsidium: "Elektronisch gestützte Dokumentenprüfung in hoheitlichen Kontrollinfrastrukturen" Technische Richtlinie Biometrie, Biometrics for Public Sector Applications Architektur elektronischer Personalausweis und elektronischer Aufenthaltstitel TR TR TR TR Annex 2 (QS-Finger) TR TR TR Kryptographische Verfahren: Empfehlungen und Schlüssellängen TR Veröffentlicht unter: (letzter Abruf am ) 8.4 Spezifikationen des FBI (Federal Bureau of Investigation) ELECTRONIC BIOMETRIC TRANSMISSION SPECIFICATION (EBTS), Appendix F- IAFIS IMAGE QUALITY SPECI- FICATIONS IAFIS-DOC Veröffentlicht unter: Seite 25 von 27

26 Anhang 1 Begriffe und Definitionen BAC CAN CVCA ICAO DVCA EAC Live-Daten MRTD emrtd MRTD-Chip Nutzer PACE SAC TCC Basic Access Control, Authentifizierungsverfahren zwischen einem Inspektionssystem und einem maschinenlesbaren Reisedokument Card Access Number Country Verifying Certification Authority International Civil Aviation Organisation, Internationale Zivilluftfahrtorganisation Document Verifying Certification Authority Extended Access Control Als Live-Daten werden die Daten bezeichnet, welche nicht aus dem zu überprüfenden Dokument, sondern direkt von der zu kontrollierenden Person erhoben werden. Der Begriff wird in der Richtlinie verwendet, um eine Differenzierung zwischen den aus den Dokumenten ausgelesenen biometrischen Daten und den mittels Fingerabdruckleser oder Kamera von der zu überprüfenden Person erlangten Daten zu ermöglichen. Machine Readable Travel Document, i.z.m. elektronischen Dokumenten auch emrtd In elektronischen (Reise-)Dokumenten integrierter RF-Chip RF-Chip = Chip mit kontaktloser Schnittstelle auf Basis von Hochfrequenztechnik (Radio Frequency) Nutzer im Sinne dieser Richtlinie ist diejenige Person, welche die beschriebenen Einrichtungen zur Wahrnehmung ihrer Aufgaben (hier zumeist Pass- und Ausweiskontrollen) verwendet. Password Authenticated Connection Establishment, siehe BSI TR , EAC und PACE Supplemental Access Control Terminal Control Centre Seite 26 von 27