DHS und TSA testen digitale Identitätssysteme und bewerten die „Echtheit“ von Selfies

Das US Department of Homeland Security (DHS), die Transportation Security Administration (TSA), das Homeland Security Investigations Forensic Laboratory und das National Institute of Standards and Technology (NIST) befinden sich auf der letzten Etappe der Evaluierung biometrischer digitaler Ausweissysteme im Rahmen des Remote Identity Validation Technology Demonstration (RIVTD) Programms.

Das RIVTD-Programm wurde Ende 2022 ins Leben gerufen und befindet sich nun in seinem dritten und letzten „Track“. Es handelt sich dabei um „eine Reihe von technologischen Herausforderungen zur Bewertung der Fähigkeit von Systemen zur Authentifizierung von Identitätsdokumenten, zur Bewertung der ‚Liveness‘ von Selfie-Fotos und zur Bewertung der Identitätsüberprüfung anhand von Bildern, die mit Smartphones und ähnlichen Geräten aufgenommen wurden“.

Track 1 konzentrierte sich auf die Bewertung der Gültigkeit eines Identitätsdokuments, z. B. eines vom US-Bundesstaat ausgestellten Führerscheins oder Personalausweises.

Track 2 konzentrierte sich auf den Abgleich eines „Selfie“-Fotos mit dem Foto auf dem Ausweisdokument.

Track 3 ist derzeit im Gange und konzentriert sich auf die Bewertung der „Lebendigkeit“ des „Selfie“-Fotos.

Eines der Ziele von Track 3 ist es, zu erkennen, wenn jemand versucht, das Selfie mit einem Papier- oder Digitalfoto zu fälschen oder eine Maske zu verwenden, anstatt ein echtes Selfie in Echtzeit zu machen.

“Mit der zunehmenden Verbreitung von Technologien zur Fernvalidierung von IDs wird die Erkennung von Angriffen auf die Lebendigkeit/Präsentation von böswilligen Akteuren oder Nachahmern eine entscheidende Komponente der Fernregistrierung der digitalen Identität einer Person sein.“ Jason Lim, TSA Identity Capability Manager, Januar 2024

“Die Fähigkeit, die Identität einer Person festzustellen und zu überprüfen, ermöglicht es dem Ministerium, risikobasierte Entscheidungen zu treffen, die auf die jeweilige Person zugeschnitten sind. Eine solche Entscheidungsfindung kann beinhalten, dass festgestellt wird, ob eine Person Anspruch auf bestimmte Dienstleistungen oder Leistungen hat, oder dass festgestellt wird, ob eine Person eine bekannte oder vermutete Bedrohung darstellt.“ US Department of Homeland Security (DHS), Digitale Identität und Vertrauen

Über das Biometric and Identity Technology Center der Direktion für Wissenschaft und Technologie (S&T) des DHS soll das RIVTD die Industrie in die Lage versetzen:

Entwicklung sicherer, genauer und benutzerfreundlicher Technologien

Objektive Messung der Leistung gegen realistische und anspruchsvolle Angriffe

Beantwortung von Fragen zu Gesamtleistung, Risiken und Fairness dieser Technologien für den Einsatz in kommerziellen oder staatlichen Anwendungen

Informieren Sie sich über die Bemühungen zur Standardisierung und Zertifizierung von Technologien, die gegen anspruchsvolle und sich schnell entwickelnde Angriffe wirksam sind.

Die RIVTD-Demos finden in der Maryland Test Facility (MdTF) statt. Auf der RIVTD-FAQ-Seite des MdTF heißt es, dass die Dokumentenvalidierungssysteme sowohl REAL ID als auch alte Dokumente unterstützen sollten.

Ab dem 7. Mai 2025 müssen US-Reisende REAL ID-konform sein, um Inlandsflüge zu besteigen und Zugang zu bestimmten Bundeseinrichtungen zu erhalten. Die Karte selbst muss REAL ID-konform sein, es sei denn, der Einwohner verwendet ein alternatives akzeptables Dokument wie einen Reisepass.

Und eine digitale REAL ID ist bereits auf dem Weg.

“Es könnte Sie interessieren, dass Inhaber von physischen Führerscheinen bald in der Lage sein werden, mobile Führerscheine (mDLs) zu beantragen, die auf Smartphones gespeichert sind, wenn sie zu einer digitalen ID wechseln wollen. Dies ist das Ergebnis eines Gemeinschaftsprojekts, an dem die Direktion für Wissenschaft und Technologie (S&T), das National Institute of Standards and Technology (NIST) und die TSA beteiligt sind.“ DHS, „Einführung von mobilen Führerscheinen: Nicht so einfach, wie Sie denken“, März 2022

Im Jahr 2020 verabschiedete der US-Kongress den REAL ID Modernization Act, „der es dem DHS erlaubt, die elektronische Übermittlung von Nutzeridentitätsdaten zu akzeptieren und die Möglichkeit eröffnet, dass neuartige digitale Technologien zur Überprüfung und Aufrechterhaltung der Identität eingesetzt werden können“.

Mit dem Gesetz wurden die Anforderungen für die Ausstellung von Führerscheinen und Personalausweisen im Rahmen des REAL ID Act von 2005 geändert.

Genauer gesagt, der REAL ID Modernization Act:

Erlaubt elektronische und mobile Führerscheine

Ermöglicht die elektronische Übermittlung der erforderlichen Informationen

Erlaubt ein digitales Foto, das bereits in den Akten des Staates vorhanden ist, wenn das Foto innerhalb der letzten sechs Jahre vor der Antragstellung aufgenommen wurde

Hebt die Ermächtigung des Verkehrsministeriums auf, den Bundesstaaten Zuschüsse für die Einhaltung von Standards zu gewähren

Verlangt von Flugzeugbetreibern und dritten Buchungsstellen, die Passagiere über die Anforderungen dieses Gesetzes zu informieren

Beseitigt die Dokumentationsanforderungen für Sozialversicherungsnummern und ständige Adressen.

“Während regelmäßiger Tests und Entwicklungen können die TSA und das DHS Office of Science and Technology (S&T) die Passagierdaten bis zu 24 Monate lang aufbewahren. Während der Testphase mit S&T werden die Passagiere durch Schilder am Kontrollpunkt über die verlängerte Aufbewahrungsfrist informiert und haben die Möglichkeit, das Live-Foto abzulehnen.“ TSA Digital Identity *Kleingedrucktes

Anfang dieses Jahres gab die TSA bekannt, dass sie an ausgewählten TSA-Kontrollpunkten an mehreren innovativen digitalen Identitätsinitiativen“ mitgearbeitet hat.

Die TSA betont, dass „Fotos und biometrische Daten nach Abschluss der Identitätsüberprüfung gelöscht werden“, aber das Kleingedruckte besagt, dass Passagierdaten für „Test- und Entwicklungszwecke“ wie das RIVTD bis zu zwei Jahre lang gespeichert werden können.

Delta und United sind zwei Fluggesellschaften, die derzeit mit der TSA bei digitalen ID-Initiativen zusammenarbeiten.

Im Jahr 2018 ging United Airlines eine strategische Partnerschaft mit Peter Thiels Palantir Technologies ein – ein Unternehmen, das vom Risikokapitalarm der CIA, In-Q-Tel, finanziert wurde.

The first fully integrated digital identity travel experience – from shopping for flights to arrival – has been demonstrated on a journey from LHR-FCO with @British_Airways This marks a significant stride towards simpler and smoother travel experiences in the future. #IATAWPS pic.twitter.com/jISInSUgVb — IATA (@IATA) October 25, 2023

Letztes Jahr kündigte ein Branchenverband, der rund 300 große Fluggesellschaften vertritt, einen Konzeptnachweis an, der das „erste Reiseerlebnis mit digitaler Identität“ demonstrierte, das auch eine „biometrische Lebensdauerkontrolle“ beinhaltete, wie sie derzeit vom DHS und der TSA geprüft wird.

Die International Air Transport Association (IATA) demonstrierte in Zusammenarbeit mit dem in der Schweiz ansässigen Anbieter digitaler Identitätslösungen SICPA „das erste vollständig integrierte Reiseerlebnis mit digitaler Identität“ auf einem British Airways-Flug von London nach Rom.

Bequemlichkeit und Datenschutz waren die Hauptargumente für dieses spezielle digitale Identitäts-Reiseprogramm – „die Passagiere haben die volle Kontrolle über ihre persönlichen Daten“, so die IATA und ihre Partner.

Doch wie bei jeder Dienstleistungsvereinbarung kann es zum Ausschluss führen, wenn man sich gegen die Offenlegung seiner persönlichen Daten entscheidet.

Im Dezember 2020 kündigte die IATA beispielsweise an, dass sie den IATA-Reisepass „zur Verwaltung von COVID-19-Tests oder -Impfungen“ entwickeln werde.

Und genau wie bei der Ankündigung der digitalen Identität für Reisen im letzten Jahr sagte die IATA auch 2020, dass der IATA Travel Pass „Reisenden die Kontrolle über ihre persönlichen Informationen für Datensicherheit und Datenschutz auf höchstem Niveau geben wird.“

Aber was bedeutet es eigentlich, „die Kontrolle über seine Daten zu haben“, wenn man sich dafür entscheidet, seine Daten privat zu halten?

Im Fall der Impfpässe bedeutete es, dass man nicht reisen oder an vielen Aspekten der Gesellschaft teilnehmen konnte.

“Unser Ziel war schon immer eine Zukunft des Reisens, die vollständig digital und durch biometrische Identifikation gesichert ist.“ Nick Careen, IATA-Vizepräsident für Betrieb, Sicherheit und Gefahrenabwehr, Oktober 2023

Bequemlichkeit ist auch für das DHS ein wichtiges Verkaufsargument, wenn es um die digitale Identität geht.

In einem Artikel vom 29. März 2022 schilderte das DHS ein Szenario, das wie aus einer dieser Late-Night-Infomercials aussah, in denen Menschen schwarz auf weiß gezeigt werden, die an grundlegenden Aufgaben scheitern.

Stellen Sie sich Folgendes vor:

„Sie stehen in der Sicherheitsschlange am Flughafen und versuchen, Ihren Führerschein aus der Brieftasche zu holen. Nachdem Sie ihn gefunden haben, lassen Sie Ihren Ausweis fallen und gehen weiter zur Kontrolle, ohne zu wissen, dass Sie eines der wichtigsten Dokumente für die Sicherheitskontrolle nicht dabei haben. Glücklicherweise findet jemand hinter Ihnen Ihren verlorenen Ausweis und gibt ihn zurück, gerade als Sie die Kontrolleure für Reisedokumente erreichen.

Das DHS präsentiert dann die folgende Lösung für diese fast tragische und traumatische Erfahrung.

„Es wird Sie vielleicht interessieren, dass Inhaber von physischen Führerscheinen bald in der Lage sein werden, mobile Führerscheine (mDLs) zu beantragen, die auf Smartphones gespeichert sind, wenn sie zu einem digitalen Ausweis übergehen wollen, dank eines Gemeinschaftsprojekts, an dem das Science and Technology Directorate (S&T), das National Institute of Standards and Technology (NIST) und die TSA beteiligt sind.“

Bequemlichkeit ist ein Verkaufsargument, Sicherheit ein anderes.

Auf dem DHS-Portal„Digital Identity and Trust“ heißt es: „Die Möglichkeit, die Identität einer Person festzustellen und zu überprüfen, versetzt das Ministerium in die Lage, risikobasierte Entscheidungen zu treffen, die auf die betreffende Person zugeschnitten sind. Eine solche Entscheidungsfindung kann beinhalten, dass festgestellt wird, ob eine Person berechtigt ist, bestimmte Dienste oder Leistungen zu erhalten, oder dass festgestellt wird, ob eine Person eine bekannte oder vermutete Bedrohung darstellt.“

„Digitales Vertrauen, das durch neue Fähigkeiten wie digitale Ausweise (z. B. mobile Führerscheine (mDL)) und eine Zero-Trust-Architektur ermöglicht wird, ist für das Heimatschutzministerium von entscheidender Bedeutung für den erfolgreichen Einsatz und Betrieb von 5G-Kommunikationssystemen, kritischen Infrastrukturen, staatlichen Dienstleistungen und vielen anderen Aufgaben des Ministeriums.“

„Diese digitale Identität bestimmt, auf welche Produkte, Dienstleistungen und Informationen wir zugreifen können – oder umgekehrt, was uns verschlossen bleibt.“ Weltwirtschaftsforum, 2018

Quelle: Weltwirtschaftsforum

Alle Wege führen zu einer massiven Einführung der digitalen Identität: Der Kongress hat bereits ein Gesetz verabschiedet, um den Weg für eine digitale Real-ID zu ebnen, das DHS und die TSA arbeiten fieberhaft an der Bewertung der technischen Aspekte digitaler ID-Systeme, und der Privatsektor entwickelt seit Jahren seine eigenen digitalen Identitätssysteme.

Jetzt sieht es so aus, als ob das Weiße Haus eine Durchführungsverordnung herausgeben wird, die „Bundes- und Staatsregierungen dazu drängt, die Einführung von Smartphone-basierten mobilen Führerschein- und Ausweisoptionen zu beschleunigen.“

Letzte Woche berichtete NOTUS, dass es einen Entwurf der Anordnung erhalten habe, in dem es heißt: „Es ist die Politik der Exekutive, die Verwendung digitaler Identitätsdokumente nachdrücklich zu fördern.“

„Der Entwurf der Anordnung drängt die Regierungsbehörden auch dazu, digitale Identitätsnachweise zu akzeptieren, wenn sie Websites erstellen, die es der Öffentlichkeit ermöglichen, Dinge wie die Anmeldung von Arbeitslosigkeit oder die Beantragung von Sozialversicherungsleistungen zu erledigen, sowie das von der Regierung betriebene Login.gov, die Standardberechtigung für den Zugang zu Bundeswebsites“, so NOTUS.

Werden digitale Identitätssysteme immer freiwillig sein, oder werden sie nach und nach zur Pflicht?

Wenn sie nicht verpflichtend sind, wie könnte sich der Verzicht auf eine digitale Identität auf die Möglichkeit auswirken, zu reisen, einen Führerschein zu machen, finanzielle Transaktionen zu tätigen oder sogar auf das Internet zuzugreifen?