Information und Schutz bei Reisepass-Funkchips

Antrag Rat der Stadt 08. Februar 2008:

Der Rat der Stadt Göttingen möge beschließen:
Zu jedem ausgestellten elektronischen Reisepass wird der Bürgerin / dem Bürger ein Infoblatt zur eingesetzten RFID-Technologie, ihrer Sicherheit und dem verbleibenden Restrisiko ausgegeben. Gleichzeitig erwirbt die Stadt Göttingen RFID-Schutzhüllen und bietet Sie zum Selbstkostenpreis bei der Ausweisausgabe an.

Begründung
Auf Basis der EU-Verordnung 2252/2004 vom 13. Dezember 2004 und dem Bundestagsbeschluss zur Änderung des Passgesetzes vom 23. Mai 2007 wird seit dem 1. November 2007 der elektronische Reispass zweiter Generation ausgegeben, welcher sowohl das Gesichtsbild als auch Fingerabdrücke in digitaler Form enthält. Auf diese Weise sollen Identitätskontrollen verbessert und beschleunigt werden. Es bleibt festzustellen, dass eine verbesserte Identitätskontrolle mit dem ePass nicht zu erreichen ist. Es ist erwiesen, dass auf Oberflächen befindliche Fingerabdrücke beispielsweise durch die Bedampfung mit Cyanacrylat abgenommen und mit Hausmitteln wie Gelatine, Silikon oder sogar Holzleim leicht zu reproduzieren sind. Bei Kontrollen werden sich die Beamtinnen und Beamten zunehmend auf Technik verlassen - eine Technik die umgehbar ist.
Die im elektronischen Reisepass befindlichen Informationen sind höchstpersönliche Daten, die nicht für jedermann bestimmt sind und somit vor Unbefugten geschützt werden müssen. Zentrale Schwachstelle des ePasses ist das Ausleseverfahren. Die Daten werden kontaktlos per Radio Frequency Identification (RFID) übertragen. Dieser Datenverkehr über die Luftschnittstelle führt systeminhärent zu Sicherheitsproblemen. Auch wenn die Daten über einen 2048 Bit langen RSA-Schlüssel gesichert sind, ist ein verdecktes Auslesen ohne willentliche Handlung der Bürgerin / des Bürgers wahlweise durch berechtigte Stellen oder unbefugte Personen nicht auszuschließen. Hierbei ist auf das bereits erfolgreiche Klonen von Passdaten und das aufgrund seiner Schlüssellänge und Schlüsselzusammensetzung tendenziell unsichere Lesezugriffsschutzverfahren ("Basic Access Control", BAC) zu verweisen.
Ein Schutz vor unberechtigtem Auslesen ist jedoch leicht zu erreichen. Das RFID-Verfahren basiert darauf, dass der im Reisepass enthaltene Tag seine Energie per Induktion aus einem, von einem Lesegerät erzeugten, elektromagnetischen Feld bezieht. Verhindert man den Kontakt des Reisepasses mit elektromagnetischen Feldern, so ist ein Auslesen nicht möglich. Dazu kann ein so genannter Faradayscher Käfig um den Reisepass erzeugt werden.
Hierfür bieten mittlerweile Hersteller Schutzhüllen an, die je nach Abnahmemenge drei bis fünf Euro kosten.