Zerstörung der Privatsphäre, Sabotage, Industriespionage: Die Radio Frequency Identification (RFID) bietet neben den viel diskutierten Vorteilen auch zahlreiche Möglichkeiten des Missbrauchs. Dieses Thema schlägt mittlerweile nicht mehr nur den Verbraucherschützern auf den Magen, sondern auch den RFID-Anwendern selbst, die angesichts der Verwundbarkeit ihrer Systeme besorgt sind. Welche Gefahren bestehen und was Anwender dagegen tun können, hat nun das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammengetragen. Die Berliner Behörde hat die umfangreiche Studie "Risiken und Chancen des Einsatzes von Radio-Frequency-Identification-(RFID-)Systemen" in Zusammenarbeit mit dem Institut für Zukunftsstudien und Technologiebewertung (IZT) und der Eidgenössischen Materialprüfungs- und Forschungsanstalt (EMPA) erstellt.

Wachsendes Gefahrenpotenzial

In ihrer Gesamteinschätzung kommen die für die Studie befragten Experten zu dem Schluss, dass derzeit die Bedrohung im Vergleich zu den technischen Schwierigkeiten beim Betrieb von RFID-Systemen noch sehr gering ist. Sie gehen jedoch von einem wachsenden Gefahrenpotenzial aus, wenn RFID-Anwendungen flächendeckend zum Einsatz kommen. Das wirkt sich auch finanziell aus: Sicherheitsmaßnahmen verteuern nicht nur die fixen, sondern auch die variablen Kosten für RFID. Die können allerdings sinken, wenn sichere Transponder und Lesegeräte in hohen Stückzahlen produziert werden.

Grundsätzlich beruht die Integrität von RFID-Systemen auf der Stabilität von drei technischen beziehungsweise mechanischen Beziehungen:

- der Beziehung zwischen den auf einem Transponder (RFID-Tag) gespeicherten Daten und dem Transponder selbst - so muss beispielsweise ausgeschlossen sein, dass zwei Tags mit derselben Identifikationsnummer existieren;

- der Beziehung zwischen dem Transponder und dem Trägerobjekt - Palette, Verpackung, Textilien und so weiter - , zu dessen Identifizierung er dient (mechanische Verbindung);

- der Beziehung zwischen Transponder und Lesegerät - diese Luftschnittstelle muss so gestaltet sein, dass autorisierte Lesegeräte die Transpondern erkennen und auf die Daten korrekt zugreifen können. Nicht autorisierte Lesegeräte dürfen dagegen an die Daten nicht herankommen.

Daraus ergeben sich eine Reihe von Angriffsszenarien (siehe Kasten "Angriffe auf RFID-Systeme und Gegenmaßnahmen"). Industriespione könnten beispielsweise versuchen, Daten auszuspähen und sich so unberechtigten Zugang zu Informationen verschaffen. Darüber hinaus können Saboteure die Betreiber und Nutzer von RFID-Systemen täuschen, indem sie unzutreffende Informationen einspeisen. Die Funktionstüchtigkeit lässt sich ferner durch Denial-of-Service-(DoS-)Angriffe, also Überlastungsattacken, beeinträchtigen. Nicht immer muss dies aus kriminellen Absichten heraus erfolgen. Auch wer durch RFID seine Privatsphäre gefährdet sieht, kann zu einem Angriff motiviert sein.

Die befragten Experten wurden gebeten, sowohl die Bedrohungen als auch mögliche Gegenmaßnahmen einzuschätzen. Demnach ist das unbefugte Abhören der Luftschnittstelle prinzipiell möglich, wobei das Risiko mit der maximalen Lesedistanz des regulären Lesevorgangs wächst. Bei Transpondern mit sehr geringer Reichweite besteht diese Gefahr kaum. Die Kosten für einen Angreifer sind hoch, da in jedem Fall eine professionelle Ausrüstung und das Know-how zur Decodierung der Daten benötigt werden. Als Gegenmaßnahmen empfehlen die Autoren, die Daten in das Backend zu verlagern, die Lesezonen mit Metallfolie gegen elektromagnetische Strahlung abzuschirmen oder die Daten verschlüsselt zu übertragen.

Leseumfeld kontrollieren

Daten lassen sich aber auch über ein unbemerkt eingesetztes Erfassungsgerät unautorisiert auslesen. Wegen der kurzen Reichweite fallen solche Angriffe aber auf und sollten sich in einem kontrollierten Umfeld unterbinden lassen. Gleiches gilt für die Manipulation von wiederbeschreibbaren Tags.

Beim "Cloning" wird der Dateninhalt eines Tags ausgelesen oder auf anderen Wegen in Erfahrung gebracht, um damit einen neuen Transponder zu beschreiben. Der kann dann genutzt werden, um die Identität des Orginal-Tags vorzutäuschen. Statt eines neuen Tags könnte auch ein Emulator eingesetzt werden. Weil sowohl für das Cloning als auch für das Emulieren die Daten zuvor ausgelesen oder abgehört werden müssen, greifen auch hier die genannten Sicherheitsmaßnahmen. Zusätzliche Abhilfe schaffen Plausibilitätsprüfungen der im Backend-System gespeicherten Daten.

Tags sicher anbringen

Die wohl einfachste Art der Manipulation ist die Ablösung des Tags vom Trägerobjekt, egal ob in Betrugsabsicht oder nur, um Verwirrung zu stiften. Dies lässt sich am einfachsten über eine enge mechanische Verbindung vermeiden. So können die Transponder beispielsweise in Textilien eingewoben oder in Kunststoffteile eingegossen werden.

Daneben gibt es eine Reihe von Möglichkeiten, den Tag funktionsuntüchtig zumachen. Neben der mechanischen oder chemischen Zerstörung lassen sich Transponder beispielsweise durch elektromagnetische Felder deaktivieren.

Die Frage, welche Angriffsszenarien in der Praxis am gefährlichsten sind, lässt sich nicht pauschal beantworten. "Welche Bedrohung da zum Tragen kommen kann, hängt von der jeweiligen Anwendung ab", erklärt Markus Ullmann, Mitautor der Studie und beim BSI Referatsleiter für Technologietrends und wissenschaftliche Grundlagen. Darum gelte es zu prüfen, welche Bedrohungsfaktoren im Einzelfall relevant sein könnten.

Interne Angreifer

Bei der Gefahreneinschätzung sollte außerdem bedacht werden, dass Angreifer nicht immer außerhalb des Unternehmens lauern. Wie generell beim Thema IT-Sicherheit geht ein Großteil der Bedrohung von den eigenen Mitarbeitern aus. Dies gilt für RFID-Anwendungen umso mehr, da beispielsweise das Abhören der Luftschnitttstelle aus großer Entfernung kaum möglich ist. Auch das unautorisierte Auslesen von Daten mittels verdeckt angebrachter Lesegeräte erfordert einen Zugang, den in der Regel nur interne Kräfte haben. "Innentäter haben hier am ehesten die Möglichkeit zur Manipulation", bestätigt Ullmann.

Während sich die befragten Experten bei der Einschätzung der Gefahren für Anwender weitgehend einig waren, kamen sie zu unterschiedlichen Einschätzungen, welche Bedrohungen von der RFID-Technik für die Verbraucher ausgehen. Manche argumentieren, dass sensible Verbraucherdaten bereits heute in großer Menge auf Kunden- oder Bankkarten gespeichert sind, ohne dass sie missbräuchlich ausgewertet würden. RFID-Anwendungen würden hier wenig hinzufügen, systematische Zugriffe seien weder geplant noch praktikabel.

Die Gegenseite verweist darauf, dass bei einem flächendeckenden RFID-Einsatz die Zahl der Datenspuren für jeden Verbraucher stark zunimmt. Dies könne unter anderem bei staatlichen Stellen neue Begehrlichkeiten für die Auswertung wecken. Auch wenn die Studie hierzu keine eindeutige Position bezieht, kann sie Gegnern und Befürworten der Technik helfen, die Diskussion zu versachlichen.

"Uns ging es gerade nicht darum, Panik zu schüren", stellt BSI Referatsleiter Ullmann klar. "Wir wollten den Anwendern von RFID-Systemen nur vermitteln, dass es ein gewisses Missbrauchspotenzial gibt." Ziel der Studie sei es, hinsichtlich der Bedrohungslagen Transparenz und Objektivität zu schaffen. Wenn Anwender frühzeitig darüber nachdächten, welche Aspekte für sie eine Rolle spielten, könnten sie einen wesentlichen Teil der Gefahren schon bei der Konstruktion ihrer RFID-Systeme ausschalten.