Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 19. November 2015 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 18/6761 18. Wahlperiode 23.11.2015 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Jan van Aken, Annette Groth, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 18/6594 – Einführung einer Schengen Masterlist zum Abgleich von Zertifikaten in elektronischen Ausweisdokumenten V o r b e m e r k u n g d e r F r a g e s t e l l e r Nicht alle in EU-Mitgliedstaaten verwendeten automatisierten Grenzkontrollsysteme prüfen, ob die im Reisepass gespeicherten Zertifikate, mit denen die Daten signiert sind, korrekt sind (heise online, www.heise.de vom 4. Juni 2015). Pässe könnten auf diese Weise gefälscht werden. Dies betrifft unter anderem Angehörige von insgesamt 17 Staaten außerhalb der EU, die im EU-Programm „Intelligente Grenzen“ bei der Einreise in den Schengenraum automatische Grenzkontrollsysteme nutzen sollen. Eine „Schengen Master Control List“ soll nun dafür sorgen, dass die Zertifikate aller Country Signing Certification Authorities (CSCA) von den Grenzkontrollsystemen abgerufen werden können. Diese seien laut der Europäischen Kommission „nicht vollständig an den Grenzkontrollstellen verfügbar“. Vorgeschlagen wird die Einrichtung einer Sammelstelle für Zertifikate, die in einem Forschungszentrum im italienischen Ispra gehostet werden soll. 1. Welche Verfahren sind der Bundesregierung bekannt, elektronische Ausweisdokumente unter Manipulation der enthaltenen RFID-Chips (RFID: radio -frequency identification) zu fälschen? Als mögliche Manipulationsverfahren kommen aus Sicht der Bundesregierung in Betracht: Klonen von RFID-Chips; Verfälschen von Inhalten (Daten) auf RFID-Chips; Simulieren von RFID-Chips. Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Drucksache 18/6761 – 2 – Deutscher Bundestag – 18. Wahlperiode 2. Inwiefern und in welchem Umfang ist es nach Kenntnis der Bundesregierung denkbar oder möglich, automatische Grenzkontrollschleusen damit zu überwinden , dass der originale RFID-Chip eines elektronischen Passes deaktiviert und durch einen aufgeklebten Chip ersetzt wird? Um sowohl die Authentizität und Integrität der Chipdaten als auch die Chipechtheit eines ePasses zu verifizieren, umfasst die elektronische Dokumentenprüfung in deutschen Grenzkontrollschleusen zwingend die Überprüfung der auf internationaler Ebene standardisierten elektronischen Sicherheitsmechanismen „Passive Authentication“ sowie „Chip Authentication“ oder „Active Authentication“. Überwindungsversuche mit manipulierten bzw. gefälschten RFID-Chips können somit zuverlässig erkannt werden. 3. Welche Sicherheitsrisiken sieht die Bundesregierung im Rahmen der Pilotierung und Einführung der Systeme „EasyPASS“ und „Intelligente Grenzen “? Sicherheitsrisiken bezüglich der Überwindung mittels gefälschter ePässe werden weder bei der Pilotierung „Intelligenter Grenzen" noch beim Wirkbetrieb von „EasyPASS“ gesehen, da beide Systeme über die Möglichkeit der Zertifikatsprüfungen verfügen. 4. Auf welche Weise werden im Rahmen der Systeme „EasyPASS“ und „Intelligente Grenzen“ (Pilotprojekt und anvisierte endgültige Lösung) Zertifikate der ausgelesenen Chips abgefragt bzw. geprüft, ob die Zertifikate, mit denen die Daten signiert sind, korrekt sind? Um die Authentizität und Integrität der Chipdaten zu bestätigen, wird sowohl bei „EasyPASS“ als auch im Kontext „Intelligente Grenzen“ stets die vollständige kryptografische Prüfung der Chipinhalte mittels „Passive Authentication“ auf Basis der deutschen Masterliste durchgeführt. Die deutsche Masterliste (Liste vertrauenswürdiger CSCA (Country Signing Certification Authorities) Root-Zertifikate ) wird durch das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) kontinuierlich gepflegt und der Bundespolizei zur Verfügung gestellt . 5. In welchen Pilotprojekten ist das gemeinsame Sammeln von Zertifikaten nach Kenntnis der Bundesregierung bereits erprobt worden, bzw. welche derartigen Projekte sind geplant? Bis auf das Schengen Masterlist Projekt auf EU-Ebene sind nach Kenntnis der Bundesregierung keine weiteren Projekte geplant. 6. Von wem wurden diese Pilotprojekte nach Kenntnis der Bundesregierung durchgeführt und wer nahm daran teil? Das aktuelle Schengen Masterlist Projekt wird von der Europäischen Kommission durchgeführt. Im Übrigen wird auf die Antwort zu Frage 5 verwiesen. 7. Inwiefern sind die Zertifikate, die für eine automatisierte Überprüfung von elektronischen Ausweisdokumenten an Grenzen im Zuständigkeitsbereich der Bundespolizei liegen, vollständig verfügbar? Die Bundespolizei nutzt ausschließlich die Zertifikate, die über die deutsche Masterliste bereitgestellt werden. Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/6761 8. Inwiefern trifft es, wie von „Heise“ berichtet, zu, dass die Bundesregierung den „Versuch“ gemacht habe, eine eigene Zertifikatsliste zu erstellen? Es wurde kein „Versuch“ unternommen. Die deutsche Masterliste existiert seit über 5 Jahren und wird kontinuierlich gepflegt. 9. Aus welchen Gründen ist dieser Versuch „unvollständig“ geblieben? Es wird auf die Antwort zu Frage 8 verwiesen. 10. Wo ist diese Liste angesiedelt, welche Zertifikate sind dort gespeichert, und wie wurden diese besorgt? Es wird auf die Antwort zu Frage 4 verwiesen. Die jeweils aktuelle Version der deutschen Masterliste ist sowohl über das ICAO (International Civil Aviation Organization ) Public Key Directory als auch über die Webpräsenz des BSI unter www.bsi.de/csca öffentlich verfügbar. Die CSCA - Zertifikate der dort genannten Staaten werden der Bundesrepublik Deutschland durch den jeweiligen Staat zur Verfügung gestellt. 11. Welche weiteren EU-Mitgliedstaaten verfügen nach Kenntnis der Bundesregierung über eine zentrale Sammelstelle für Zertifikate? Über Sammelstellen für Zertifikate und nationale Masterlisten verfügen nach Kenntnis der Bundesregierung Spanien, Frankreich und Ungarn. 12. Inwiefern und zu welchem Zweck sind Bundesbehörden mit diesen Ländern hinsichtlich der Sammelstellen für Zertifikate in Kontakt? Zum Zweck des gegenseitigen Zertifikatsaustauschs steht das zuständige BSI mit den entsprechenden ausländischen Stellen in Kontakt. 13. Was ist der Bundesregierung über die Einrichtung einer „Schengen Master Control List“ als zentrale Datenbank bekannt? Bei der Schengen Masterliste handelt es sich nach Kenntnis der Bundesregierung nicht um eine „zentrale Datenbank“. 14. Welche Zertifikate sollen in der „Schengen Master Control List“ gespeichert werden, und wie würden diese besorgt werden? Nach Kenntnis der Bundesregierung sind hierzu noch keine Festlegungen getroffen worden. 15. Mit welchen nationalen oder internationalen Zertifikatsstellen hat die Europäische Kommission nach Kenntnis der Bundesregierung hierzu bereits kommuniziert? Die Europäische Kommission steht hierzu mit dem zuständigen BSI in Kontakt. Weitere Erkenntnisse liegen der Bundesregierung nicht vor. Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Drucksache 18/6761 – 4 – Deutscher Bundestag – 18. Wahlperiode 16. Auf welche Weise und mit welchen Arbeiten sind nach Kenntnis der Bundesregierung auch die EU-Agenturen eu-LISA, FRONTEX und Europol in die Einrichtung der „Schengen Master Control List“ eingebunden? Nach Kenntnis der Bundesregierung sind sowohl eu-LISA als auch FRONTEX in das Schengen Masterlist Projekt eingebunden. Weitere Erkenntnisse liegen der Bundesregierung nicht vor. 17. Inwiefern unterhalten oder unterhielten Europol und FRONTEX nach Kenntnis der Bundesregierung selbst Arbeitsgruppen zum Thema, wer nahm daran teil, und welche Zielsetzung wurde oder wird darin verfolgt? Der Bundesregierung liegen hierzu keine Erkenntnisse vor. 18. Welche Forschungsprojekte wurden nach Kenntnis der Bundesregierung auf EU-Ebene zur Einführung einer zentralen Sammelstelle für Zertifikate durchgeführt? Der Bundesregierung sind keine derartigen Forschungsprojekte bekannt. 19. Wo soll die „Schengen Master Control List“ nach Kenntnis der Bundesregierung gehostet werden, und auf welche Weise hat sich diese Stelle dafür qualifiziert? Der Bundesregierung liegen hierzu keine Informationen vor. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333