Der „Schnüffel-Chip“: Chancen und Risiken von RFID
„Der gläserne Mensch“ – mit RFID (Radio Frequency Identification) ist dies keine Zukunftsmusik. So revolutionär und nützlich die Radiofrequenztechnologie für Identifikationszwecke ist, so mächtig und unsichtbar ist gleichzeitig die Gefahr, die für den einzelnen Bürger von ihr ausgeht. Die totale Kontrolle ist nicht mehr weit: Ob bei Fahr- und Eintrittskarten, Ausweispapieren, Banknoten oder Kreditkarten, nahezu täglich kommen wir mit dem Identifikationsmechanismus in Berührung – häufig, ohne es zu wissen. Experten prognostizieren 3 Milliarden Dollar Umsatz durch RFID-Chips bis 2010.
Durch das Verfahren RFID wird eine automatische Identifizierung von Gegenständen aber auch Lebewesen realisiert. Neben der berührungslosen Identifikation und der Lokalisierung von Objekten ist durch RFID auch die automatische Erfassung und Speicherung von Daten möglich. Dies birgt neben Chancen auch eine starke Bedrohung für den einzelnen Bürger – von der Verletzung der Privatsphäre bis hin zum Verlust der informationellen Selbstbestimmung. Dies bedeutet, der Einzelne hat durch Einsatz der unsichtbaren bzw. versteckten Sender keinen Einfluss mehr darauf, welche Informationen über ihn preisgegeben werden.
Ernsthafte Bedrohung für die Privatsphäre
Der Bürger kann sich nicht entziehen, denn er wird im Alltag immer wieder mit RFID konfrontiert. Täglich entstehen neue Anwendungsbereiche: ob bei der Personenidentifikation durch Reisepässe, zur Zutrittskontrolle durch Einbau der Technologie an oder in Schlüsseln oder in der Bekleidungsindustrie durch Ausstattung von Jeans mit RFID-Etiketten – die Einsatzszenarien sind vielfältig.
Ein RFID-Chip (bzw. Tag oder Transponder) besteht aus einem klitzekleinen Chip – der derzeitige Rekord liegt bei 0,0225 Quadratmillimetern – mit Drähten, die eine Antenne bilden. Diese sind in Gegenständen, Etiketten oder Verpackungen eingebaut und benötigen zum Teil keine eigene Batterie (passive RFID-Tags). Sie funktionieren per Funk: Ein Lesegerät sendet Daten an den Tag, indem es sein elektromagnetisches Feld moduliert. Diese werden vom RFID-Chip empfangen und – wenn es sich um verständliche Befehle handelt – vom Prozessor umgesetzt. Die Antwort des „Schnüffelchips“ wird daraufhin ebenfalls durch Modulation an den Leser zurückgesendet. Im Gegensatz zu Barcodes, die nur die jeweilige Produktkategorie kennzeichnen, Sichtkontakt benötigen und bei denen der Kunde erkennt, wann der Barcode ausgelesen wird, sind RFID-Tags intelligenter. Sie enthalten eine einzigartige Identifikations-Nummer, sind ohne Sichtkontakt auslesbar, können Daten speichern, sind komfortabel für den Kunden und bergen gleichzeitig Kontrollverlust für denselben. Solange Scanner in der Nähe sind, kann der Weg, den ein RFID-Tag mit seiner eindeutigen Identifikationsnummer geht, registriert werden. Die gängigen Tags oder Transponder können über eine kurze Distanz (> 10m) sicher erfasst werden. Soll diese Distanz erweitert werden, wird die Erfassung entweder unsicher oder sie erfordert eine höhere Energie zur Übertragung des Abfragetelegramms. Durch diese Technologie lässt sich z.B. das Einkaufsverhalten registrieren, wie lange jemand vor einem Regal steht, welche Bereiche der Käufer meidet etc. Hierdurch kann nahezu jeder zum Opfer von Tracking-Maßnahmen und so überall identifiziert und unbemerkt verfolgt werden. Durch den zunehmenden Einsatz entsteht eine mächtige Infrastruktur, die totale Überwachung zur Folge hat.
RFID: Plattform für unerlaubten Zugriff und Datenmissbrauch
Während die Technologie stetig weiter entwickelt wird, stecken die Sicherungsmechanismen gegen unerlaubten Zugriff jedoch noch in den Anfängen. Primär wird bei der Einführung von RFID-Anwendungen in die Funktionalität, anstatt in die Sicherheit investiert. Bereits jetzt stehen im Internet Tools zur Verfügung, die von Script-Kiddies auf einfache Weise zu bedienen sind. Außer bei einigen Menschen- und Bürgerrechts-Organisationen (wie FoeBuD e.V.) sind die Auswirkungen bzw. Gefahren, welche die RFID-Technologie mit sich bringt, noch nicht ausreichend ins Bewusstsein gerückt.
Spezialisten wie die VisuKom Deutschland GmbH sind in der Lage, die Schwachstellen und Gefahren von RFID aufzuzeigen, um für die „unsichtbare Bedrohung“ zu sensibilisieren. Als Experte für ICT-Sicherheit weist das Unternehmen auf die Auswirkungen und Gefahren hin, die diese Technologie birgt. Anhand von Methoden wie dem Auslesen von Daten auf deutschen und internationalen Reisepässen sowie Brute-Force-Attacken auf die RFID-Tags beweist VisuKom, dass die Sicherheitsmechanismen gegen unerlaubten Zugriff noch in den Kinderschuhen stecken. Dabei sind die Spezialisten in der Lage, die Tags auszulesen, zu deaktivieren und spurenfrei zu zerstören sowie zwischen Tag und Lesegerät zu sniffen.
Gegenmaßnahmen
Passive Gegenmaßnahmen sind beispielsweise eine RFID-Pass-Schutzhülle, eine RFID-Kartenschutzhülle oder ein RFID-Scanner-Detektor-Armreif. Diese können über das Internet unter https://shop.foebud.org bestellt werden. Eine aktive Gegenmaßnahme ist z.B. ein Störsender und der RFID-Zapper. Letzteres zerstört dauerhaft passive RFID-Tags durch Erzeugung eines kurzzeitig starken elektromagnetischen Felds. Hierbei entsteht durch Induktion eine Überspannung in der Spule des RFID-Tags, die die Zerstörung dessen zur Folge hat.
© 2012 FEiG & PARTNER