BSI TR-03170 Sichere elektronische Übermittlung von Lichtbildern an die Pass-, Personalausweis- oder Ausländerbehörden

Überblick

Am 11. Dezember 2020 wurde das vom Deutschen Bundestag und Bundesrat verabschiedete Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen im Bundesgesetzblatt veröffentlicht. Ziel des Gesetzes ist es, angemessene Sicherheitsmaßnahmen festzulegen, um eine sichere Übertragung elektronischer Lichtbilder an Pass-, Personalausweis- und Ausländerbehörden sicherzustellen.

Die Verordnung zur Änderung der Personalausweisverordnung, der Passverordnung, der Aufenthaltsverordnung sowie weiterer Vorschriften vom 30. Oktober 2023 verankert die rechtliche Grundlage zur Nutzung eines cloudbasierten Übermittlungsverfahrens von Lichtbildern nach BSI TR-03170.

Gefährdungslage durch Morphing

Morphing bezeichnet eine Technik, mit der Lichtbilder (i. A. für Pass, Personalausweis und ausländerrechtliche Ausweisdokumente) elektronisch manipuliert werden können, indem mehrere Gesichtsbilder zu einem einzigen Bild digital verschmolzen werden und somit die Gesichtszüge von verschiedenen Personen in einem Lichtbild erscheinen.

Durch Morphing-Manipulation ist der Pass beziehungsweise Personalausweis als Instrument zur Identitätskontrolle im Kern bedroht, sodass die bisherige Praxis, nach der antragstellende Personen ausgedruckte Lichtbilder bei der Pass-, Personalausweis- oder Ausländerbehörde einreichen, nicht mehr den aktuellen Sicherheitsanforderungen entspricht.

Stärkung der Sicherheit durch Verfahren zur digitalen Übermittlung der Lichtbilder

Das Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen sieht Änderungen in den Gesetzen und Verordnungen zum Pass- und Personalausweiswesen sowie im Aufenthaltsgesetz und der Aufenthaltsverordnung vor, nach denen künftig Manipulation von hoheitlichen Dokumenten durch Morphing gezielt begegnet werden soll, indem ab dem 1. Mai 2025 das Lichtbild ausschließlich digital erstellt und auf einem gesicherten elektronischen Weg zur Behörde übermittelt wird. Bis dahin wird der bisherige Prozess zur Erstellung und zum Transport der Lichtbilder bei den Fotografinnen und Fotografen beibehalten.

Gegenstand der Technischen Richtlinie

Die Technische Richtlinie BSI TR-03170 regelt die digitale Übermittlung der biometrischen Lichtbilder von Dienstleistern (z.B. Fotografinnen und Fotografen) an Pass-, Personalausweis- oder Ausländerbehörden über einen sicheren Cloud-Dienst und definiert Anforderungen für die Zertifizierung von Diensten für dieses Verfahren. Allen zuständigen Behörden wird hierbei der Abruf der Lichtbilder von nach BSI TR-03170 zertifizierten Dienstanbietern ermöglicht.

Kontakt:

Fachlich zuständig für die Betreuung dieser TR ist das

Bundesamt für Sicherheit in der Informationstechnik
Referat D 15 - eID-Lösungen für die digitale Verwaltung
Postfach 20 03 63
53133 Bonn
E-Mail: AusschreibungLichtbild@bsi.bund.de

Technische Richtlinie und Schnittstellenspezifikation

Die Technische Richtlinie ist zielgruppengerecht aufgeteilt in drei normative Teildokumente und eine Spezifikation der Schnittstelle:

Die BSI TR-03170 gliedert sich in ein Rahmendokument, Teil 1 – „Anforderungen anden Cloud-Dienst“ und Teil 2 – „Anforderungen an die Software“ und richtet sich an Anbieter von Fotodienstleistungen für biometrische Lichtbilder, die über eine Cloud, die entsprechenden Lichtbilder an die Pass-, Personalausweis- und Ausländerbehörden digital übermitteln. Durch Zertifizierungen nach Teil 1 bzw. Teil 2 der Technischen Richtlinie BSI TR-03170 wird die im Gesetz geforderte datenschutzkonforme und manipulationssichere Übertragung biometrischer Lichtbilder nachgewiesen. Die zur Technischen Richtlinie zugehörige Schnittstellenspezifikation ermöglicht den interoperablen Abruf von biometrischen Lichtbildern durch die zuständigen Behörden und richtet sich an Cloudanbieter und Verfahrenshersteller.

Die Anforderungen aus TR-03170-1 zum C5 Testat vom Typ 2 wird in der nächsten Version der Technischen Richtlinie in 2025 dahingehend umgewandelt, dass für die Erstzertifizierung auch ein Testat vom Typ 1 ausreichend ist.

Zertifizierung nach TR-03170

Die Zertifizierung von BSI TR-03170 kann in zwei Teile aufgeteilt werden. Für eine vollständige Umsetzung der Technischen Richtlinie entsprechend den Vorgaben aus der Verordnung wird sowohl eine Zertifizierung nach BSI TR-03170-1 als auch eine Zertifizierung nach BSI TR-03170-2 benötigt. Bei BSI TR-03170-1 wird die Cloud in die die Lichtbilder übertragen und aus der sie abgerufen werden zertifiziert. BSI TR-03170-2 wird für die Zertifizierung der Anwendung herangezogen, mit der die Lichtbilder in die Cloud übertragen werden. Die beiden Zertifizierungen können gemeinsam oder getrennt voneinander vorgenommen werden.

Kontaktaufnahme mit Prüfern und Prüfstellen

Für eine Zertifizierung nach BSI TR-03170-1, die als Managementzertifizierung nach TR durchgeführt wird, müssen Auditoren für BSI IT-Grundschutz oder CC-Evaluierende mit Erfahrung im Bereich ALC (Assurance: Life-Cycle) von anerkannten CC-Prüfstellen eingesetzt werden.

Die Zertifizierung nach BSI TR-03170-2, die als Produktzertifizierung nach TR durchgeführt wird, müssen anerkannte Prüfstellen für die Zertifizierung nach TR-03170 eingesetzt werden.

Informationen zum Ablauf der Zertifizierung und Antragsstellung beim BSI

Konkrete Informationen zum Ablauf einer Zertifizierung nach TR finden Sie hier.

Antragsinformationen und Kontaktdaten zur Zertifizierung finden Sie hier.

Übersicht erfolgreich zertifizierter Produkte/Systeme

Nach erfolgreicher Zertifizierung werden alle zertifizierten Produkte als solche auf der Webseite des BSI gelistet. Möchten Sie sich erkundigen, welche Zertifizierungen nach TR vorliegen, können Sie diese Information hier nachvollziehen.

FAQ für Fotografinnen und Fotografen

Die Zertifizierung nach TR-03170 richtet sich an Hersteller von Software für die Übertragung von Lichtbildern und Clouddienstleister. Eine Zertifizierung von Fotografinnen und Fotografen ist nicht vorgesehen
Fotografinnen und Fotografen müssen sich erstmalig an einer nach TR-03170 zertifizierten Cloudlösung registrieren. Die Identität ist durch eine Anmeldung miteiner eID (z.B. dem Personalausweis, der eID-Karte für Bürgerinnen und Bürger der EU und des EWR, sowie dem elektronischen Aufenthaltstitel) oder einem anderen auf dem Vertrauensniveau "hoch" gemäß eIDAS-Verordnung notifizierten Identifizierungsmittel nachzuweisen. Fotografinnen und Fotografen müssen im Rahmen der Registrierung die Geschäftsmäßigkeit ihrer Dienstleistereigenschaftgemäß "Verordnung zur Änderung der Personalausweisverordnung, der Passverordnung, der Aufenthaltsverordnung sowie weiterer Vorschriften" vom 30.Oktober 2023 (https://www.recht.bund.de/bgbl/1/2023/290/VO.html) nachweisen. Lichtbilder können nicht mehr selbstständig durch Bürgerinnen und Bürger gefertigt und außerdem ausschließlich elektronisch übermittelt werden.
Die Verpflichtung zur Nutzung eines elektronischen Identifizierungsmittels auf dem Vertrauensniveau "hoch" gemäß eIDAS-Verordnung ergibt sich aus den gesetzlichen Vorgaben. Siehe hierzu: "Verordnung zur Änderung der Personalausweisverordnung, der Passverordnung, der Aufenthaltsverordnung sowie weiterer Vorschriften" vom 30. Oktober 2023 (https://www.recht.bund.de/bgbl/1/2023/290/VO.html).
Gemäß "Verordnung zur Änderung der Personalausweisverordnung, derPassverordnung, der Aufenthaltsverordnung sowie weiterer Vorschriften" vom 30.Oktober 2023 (https://www.recht.bund.de/bgbl/1/2023/290/VO.html) muss eine Identifizierung durch die Fotografin bzw. den Fotografen vor jedem Upload eines Lichtbilds erfolgen.
Verfahren zur Übertragung von Lichtbildern nach TR-03170 können durch beliebige Anbieter zur Verfügung gestellt werden. Sie müssen lediglich die Vorgaben der TR-03170 erfüllen und eine entsprechende Zertifizierung durch das BSI nachweisen. Es befinden sich verschiedene Unternehmen im Zertifizierungsprozess. Da es sich um ein neues Zertifizierungsverfahren handelt, können keine Aussagen zur Dauer des Zertifizierungsverfahrens gemacht werden, sodass aktuell keine Aussage getroffen werden kann, ab wann zertifizierte Anbieter zur Verfügung stehen. Sobald zertifizierte Lösungen vorliegen, werden diese auf der Seite Nach Technischen Richtlinien zertifizierte Produkte & Systeme veröffentlicht.
Die preisliche Gestaltung für die Bereitstellung bzw. Lizensierung einer Lösung ist den jeweiligen Anbietern überlassen. Das BSI hat hierauf keinen Einfluss.
Es befinden sich verschiedene Unternehmen im Zertifizierungsprozess. Da es sich um ein neues Zertifizierungsverfahren handelt, können keine Aussagen zur Dauer des Zertifizierungsverfahrens gemacht werden, sodass aktuell keine Aussage getroffen werden kann, ab wann zertifizierte Anbieter zur Verfügung stehen. Sobald zertifizierte Lösungen vorliegen, werden diese auf der Seite Nach Technischen Richtlinien zertifizierte Produkte & Systeme veröffentlicht.
Um als Fotostudio oder Fotograf/Fotografin auch zukünftig Lichtbilder für behördliche Dokumente anbieten zu können, sind folgende Schritte erforderlich:
1. Zertifizierte Cloud-Dienste und Anwendungen: Für die digitale Übermittlung Ihrer Lichtbilder benötigen Sie Zugang zu einem vom BSI zertifizierten Cloud-Dienst sowie einer entsprechenden Anwendungssoftware. Diese Systeme sind speziell dafür ausgelegt, die hohen Sicherheitsanforderungen des BSI zu erfüllen und einen reibungslosen sowie gesetzeskonformen Ablauf zu gewährleisten.
2. Vertragliche Vereinbarungen mit Cloud-Anbietern: Es ist erforderlich, dass Sie vertragliche Vereinbarungen mit dem Anbieter des zertifizierten Cloud-Dienstes treffen, der die Übermittlung und Speicherung der biometrischen Lichtbilder übernimmt. Diese Anbieter stellen sicher, dass die Daten gemäß den rechtlichen und technischen Vorgaben behandelt werden.
3. Prozess der Bildübermittlung nach Erstellung des Lichtbildes:
4. Vorbereitung: Die Erstellung des Lichtbildes unterliegt keinen spezifischen Vorgaben durch die TR-03170. Fotografen können die Lichtbilder wie gewohnt nach den allgemeinen biometrischen Anforderungen aufnehmen, wie sie in der Technischen Richtlinie BSI TR-03121 „Biometrie in hoheitlichen Anwendungen“ beschrieben sind.
5. Verschlüsselung und Upload: Sobald das Lichtbild aufgenommen ist, wird es von der Anwendungssoftware clientseitig verschlüsselt und sicher in die Cloud hochgeladen.
6. Barcode-Erstellung: Nach erfolgreichem Upload generiert die Anwendungssoftware einen Barcode, der alle notwendigen Informationen für den Abruf des Lichtbildes enthält, einschließlich des symmetrischen Schlüssels. Dieser Barcode wird ausgedruckt und der betreffenden Person übergeben.
7. Abruf durch die Behörde: Die betreffende Person nimmt den ausgedruckten Barcode mit zur Pass- oder Personalausweisbehörde. Die Behörde scannt den Barcode, um über eine gesicherte Verbindung auf das verschlüsselte Bild in der Cloud zuzugreifen und dieses für die Ausstellung des Dokuments zu verwenden.
Bitte beachten Sie, dass die Infrastruktur zur Zertifizierung von Cloud-Diensten und Anwendungen momentan im Aufbau ist. Sobald zertifizierte Lösungen verfügbar sind, werden diese über unsere offiziellen Kanäle sowie auf unserer Seite zu nach technischen Richtlinien zertifizierten Produkten & Systemen bekannt gegeben. Sie können alle aktuellen Informationen und zugelassenen Lösungen unter folgendem Link einsehen: https://www.bsi.bund.de/dok/6618094.

Navigation und Service

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Suche

Häufig gesucht

BSI TR-03170 Sichere elektronische Übermittlung von Lichtbildern an die Pass-, Personalausweis- oder Ausländerbehörden

Überblick

Gefährdungslage durch Morphing

Stärkung der Sicherheit durch Verfahren zur digitalen Übermittlung der Lichtbilder

Gegenstand der Technischen Richtlinie

Kontakt:

Technische Richtlinie und Schnittstellenspezifikation

Hauptdokument

Schnittstellenspezifikation

Prüfspezifikation

Zertifizierung nach TR-03170

Kontaktaufnahme mit Prüfern und Prüfstellen

Informationen zum Ablauf der Zertifizierung und Antragsstellung beim BSI

Übersicht erfolgreich zertifizierter Produkte/Systeme

FAQ für Fotografinnen und Fotografen

Ähnliche Themen