Sie sind auf Seite 1von 3

Praxisprojekt Datenschutz

RFID und Datensicherheit

1. Sicherheit von RFID-Systemen


2. Gefahren für die Datensicherheit
3. Sicherheitsmaßnahmen

„Die Datenschutz- und Datensicherheitsproblematik nimmt in der Erforschung von RFID eine zentrale Rolle ein,
wobei die Literatur vorwiegend auf den Datenschutz des Verbrauchers fokussiert und die Datensicherheit für
Unternehmen eher vernachlässigt.“ (http://www.rfid-handbook.de/german/index.html)
So bangen die Unternehmen wegen der Gefahr durch Manipulation und Ausspähung firmeninterner Daten. Aber auch die
Verbraucher sind um ihre Privatsphäre beängstigt und fühlen sich überwacht. Man kann die Themen Datenschutz und
Datensicherheit nicht gänzlich voneinander trennen. Datenschutz kann nicht ohne Datensicherheit gewährleistet werden.
Denn wenn Unternehmen z. B. einen bestimmten Zweck für die Erhebung personenbezogener Daten angeben und der
Verbraucher unter diesen Umständen der Datenerhebung zustimmt, müssen die Daten auch unverfälscht und nur für das
festgelegte Ziel verwendet werden. Ansonsten würden die Gesetze des BDSG verletzt. Deswegen sind Unternehmen
verpflichtet eine entsprechende Datensicherheit für ihre Systeme zu gewährleisten. 1. Sicherheit von RFID-Systemen

Die Sicherheit von RFID-Systemen ist, wie bei anderen Informations- und Nachrichtentechniken auch, durch potenzielle
Angreifer gefährdet. Sie können dabei diverse Absichten, wie z. B. Vandalismus oder Industriespionage verfolgen, wenn
sie ein RFID-System stören, missbrauchen oder seine Sicherheitsmechanismen überwinden. So verbergen sich hinter
RFID-Systemen eine Reihe Gefahren, die durch adäquate Sicherheitsmaßnahmen jedoch weitestgehend minimiert werden
können.

Abb. 5: Die Bedrohungslage von RFID-Systemen - Mögliche Absichten des Angreifers 2. Gefahren für die Datensicherheit

Die RFID-Technologie ist einigen technischen Sicherheitsrisiken ausgesetzt. Bei der Speicherung von Daten auf einem
Transponder kann sich eine spezifische Bedrohungslage ergeben (s. Abb.5). Diese Bedrohungen können sich bei der
Verfügbarkeit von Daten, deren Vertraulichkeit und Authentizität sowie bei der Integrität ergeben.

a.) Störung des Datenaustauschs


Die Störung des Datenaustauschs durch sog. Denial-of-Service-Angriffe (DoS-Angriffe) kann die Sicherheit und die
reibungslose Funktion von RFID-Systemen beeinträchtigen. Zum einen kann der Datenaustausch aktiv, mit Hilfe eines
Störsenders, behindert werden. Dieser erzeugt ein künstliches Umgebungsrauschen und Tag und sind somit nicht mehr in
der Lage, dieses Störsignal durch ihr eigenes Nutzsignal zu überlagern. Außerdem kann der Datentransfer durch den
unautorisierten Gebrauch von Deaktivierungsbefehlen unterbrochen werden. Zum anderen kann die Störung auch passiv,
durch Abschirmung, erfolgen. Dem Radio-Frequency-Feld ist es durch die schirmende Hülle, die einem Tag versehen
wird, nicht mehr möglich, diese Schirmung zu durchdringen. Dazu muss der Besitzer des Transponders seinen Tag aber
bewusst abschirmen. Die Gefahr ist hier daher eher gering, zumal nur ein einzelnes Tag betroffen wäre und alle anderen
im Ansprechbereich befindlichen RFID-Transponder nicht beeinflusst würden.

RFID-Chips können auch ungewollt zerstört werden. Mikrowellenstrahlungen oder physische Gewalteinwirkungen können
Transponder beschädigen und zerstören. Auch die Verwendung zu starker elektromagnetischer Feldern kann einem
Transponder schaden. Seine Energie bezieht das passive Tag aus dem elektromagnetischen Feld des Lesegeräts. Das
magnetische Feld eines Lesegeräts ist auf die maximal vertragbare Stärke des Tags abgestimmt.

b.) Abhören der Kommunikation


Das Abhören der Kommunikation zwischen einem Transponder und einem Lesegerät ist eine der wesentlichsten
Bedrohungen für RFID-Systeme. Da RFID-Systeme mittels elektromagnetischer Wellen miteinander kommunizieren, ist
das Abhören durch Dritte grundsätzlich mit einfachen Mitteln, wie gewöhnlichen Weltempfängern möglich. Das Abhören der
Kommunikation kann für den Verbraucher und den Verwender von RFID zur Bedrohung werden. Durch das Mitführen von
Produkten, die durch RFID-Chips gekennzeichnet sind, kann es zur Industriespionage kommen. Die auf den Tags
gespeicherten Daten können durch Unbefugte ausgelesen werden, die sich so einen Vorteil im Wettbewerb verschaffen
wollen. Nicht nur Unternehmen sind somit einem großen Risiko ausgesetzt, sondern ebenfalls die Verbraucher. Sie haben
einerseits keine Kontrolle über die auf dem RFID-Chip gespeicherten Daten und ihre Verwendung. Außerdem kann, sofern
die jeweilige Person bestimmbar ist, ihr Konsumverhalten beobachtet und analysiert werden. RFID-Chips, die von
Arbeitnehmern für den Zugang zu einem Unternehmen oder bestimmten Bereichen genutzt werden müssen, können auch
dazu verwendet werden Anwesenheits- oder Leistungskontrollen durchzuführen.

c.) Relay-Attacken
http://ppdatenschutz.pp.funpic.de/joomla_test Powered by Joomla! Generiert: 21 February, 2008, 10:15
Praxisprojekt Datenschutz

Die Relay-Angriffe gehören zu den RFID-spezifischen Attacken, die auch als „Mafia Fraud Attacks“ bekannt
sind. Es handelt sich hierbei um eine besondere Art des Angriffs, da sie zunächst unbemerkt bleiben. Der Angreifer
erweitert unbemerkt durch eine zwischengeschaltete Übertragungseinrichtigung, auch Relais genannt, die Reichweite
zwischen dem Lesegerät und dem Transponder. Der Angreifer benötigt hierfür einen so gennanten „Leech“
zur Kommunikation mit dem Lesegerät und einen so genannten „Ghost“ zur Kommunikation mit dem RFID-
Chip. Mit Hilfe dieser Geräte, wird dem Lesegerät vorgetäuscht, dass es sich mit dem Transponder im Ansprechbereich
befände. In der Regel bemerkt der Inhaber des Transponders den Angriff erst zu einem späteren Zeitpunkt, wenn der
ungewollte Zugriff schon längst beendet ist. So können bspw. Einkäufe von Bahntickets auf Kosten des
Transponderbesitzers gemacht werden, ohne dass er dies bemerkt.

d.) Fälschung des Inhalts oder der Identität


Die Fälschung des Inhalts oder der Identität eines Transponders ist eine weitere Angriffsart, die auf verschiedene Weise
erfolgen kann: So können die gespeicherten Daten durch einen unautorisierten Schreibzugriff verändert werden. Das
Lesegerät erkennt weiterhin die Identität des Transponders, da die Seriennummer dabei unverändert bleibt. Weiterhin
erbeutet der Eindringling die Seriennummer oder auch die Sicherheitsinformationen des Tags und kann diese zur
Vortäuschung der entsprechenden Identität ausnutzen. Diese RFID-Chips können geklont und mehrfach in Umlauf gebracht
werden.

Eine weitere Möglichkeit besteht darin, den Tag physisch vom Trägerobjekt zu trennen und ihn mit einem anderen Objekt
zu verbinden. Vom strafrechtlichen Maß her, gleicht dies dem „Umkleben“ von Preisschildern auf Waren.
Beim Ablösen des Tags vom Trägerobjekt können ferner dessen Bewegungen vor dem Lesegerät verborgen werden. Um die
Informationen eines Tags mit seinem eigenen Lesegerät auslesen zu können, ist es dem Angreifer möglich, die Identität eines
autorisierten Lesegeräts vorzutäuschen. 3. Sicherheitsmaßnahmen

Da viele Möglichkeiten bestehen ein System zu missbrauchen oder zu beschädigen, müssen verschiedene Schwerpunkte in
Sachen Sicherheit gesetzt und in Form von Vorkehrungen umgesetzt werden. Im Nachfolgenden finden sich die
wichtigsten Sicherheitsvorkehrungen wieder und werden auf ihre Funktionsweisen hin erläutert.

a.) Authentifizierung
Wenn durch geeignete Kontrollmaßnahmen sichergestellt ist, dass die Identität der verbundenen Systeme richtig ist bzw.
dass die Informationen und Daten wirklich aus der angegebenen Quelle stammen, kann Authentizität gewährleistet werden.
Es besteht die Möglichkeit Authentifizierungsmechanismen in RFID-Systeme zu implementieren, und so die Fälschung von
Transpondern und das Abhören der Kommunikation zu verhindern. Zur Überprüfung der Identität eines Lesegeräts kann z. B.
ein Passwortschutz eingerichtet werden. Der Transponder vergleicht das Passwort, welches das Lesegerät zur
Identifizierung gegenüber dem Tag übertragen hat, mit dem gespeicherten Passwort. Nur wenn beide übereinstimmen, wird
der Zugriff auf die gespeicherten Daten gewährt.

Verbraucher- und Datenschutzorganisationen warnen häufig vor der Gefahr der Identitätsfälschung. Doch die Identität eines
Tags lässt sich ebenfalls überprüfen und ihre Sicherheit durch eine weltweite Vergabe von Seriennummern von Tags weiter
erhöhen, wie es z. B. bei der Nutzung von elektronischen Produktcodes schon der Fall ist. Dazu ist eine weltweite
Standardisierung erforderlich, wie sie durch die Non-Profit-Organisation EPCglobal für den Bereich Handel und
Konsumgüterindustrie zurzeit entwickelt wird.

Die 2003 gegründete Organisation entwickelt Standards für die einheitliche Nutzung der Radiofrequenztechnologie für
Identifikationszwecke (RFID) entlang der gesamten Versorgungskette über Länder- und Branchengrenzen hinweg. Das Ziel
von EPCglobal ist es ein Netzwerk aufzubauen, um die Verbreitung standardisierter Prozesse voranzutreiben. Durch
diese Vorgehensweise soll es möglich sein das Auftreten von nicht vergebenen Nummern oder gefälschten Tags zu
erkennen und somit zumindest einen besseren Schutz zu bieten.

Eine andere Möglichkeit, die Authentifizierung des Tags sicherzustellen, besteht in einem ein Challenge-Response-
Verfahren. „Dabei sendet das Lesegerät an das Tag eine Zufallszahl oder einen Zeitstempel (Challenge), das
dieses dann verschlüsselt an das Lesegerät zurücksendet (Response). Der Schlüssel beweist dem Lesegerät die Identität des
Tags und wird nie mitübertragen“ (http://www.info-rfid.de/downloads/rfid_rechtsgutachten.pdf). Da es Zufallszahlen
generieren können muss, setzt das Challenge-Response-Verfahren eine gewisse Speicherkapazität des verwendeten Tags
voraus.

b.) Die Verschlüsselung


Durch die Verschlüsselung von Daten durch das Hash-Lock-Verfahren kann eine noch höhere Sicherheit gegen das
Auslesen von Daten erreicht werden. Vor dem erstmaligen Beschreiben eines Tags wird mithilfe einer Hash-Funktion
aus einem Schlüssel eine sog. Meta-ID als Pseudonym für das Tag erzeugt und im Tag gespeichert, wodurch das Tag
gesperrt wird („locked“). Das Tag reagiert anschließend nur noch auf das Senden der Meta-ID. So muss
das Lesegerät den zur Meta-ID gehörenden Schlüssel in einer Backend-Datenbank abrufen und an das Tag übertragen um
es zu entsperren.

c.) Blocker Tags


http://ppdatenschutz.pp.funpic.de/joomla_test Powered by Joomla! Generiert: 21 February, 2008, 10:15
Praxisprojekt Datenschutz

Der Einsatz von sog. Blocker-Tags , verhindert das unerlaubte Auslesen von auf Transpondern gespeicherten Daten.
„Ein Blocker-Tag ist ein Transponder, der sämtliche Anfragen eines Lesegerätes positiv beantwortet und dieses
dadurch derart verwirrt, dass das eindeutige Identifizieren eines bestimmten Tags unmöglich gemacht wird.“
(http://www.info-rfid.de/downloads/rfid_rechtsgutachten.pdf)

Blocker-Tags verhindern, dass von einem Kunden gekaufte Produkte von anderen erkannt werden. Umliegende RFID-
Anwendungen können durch diese Technik ungewollt ausgesetzt werden, was ein negativer Nebeneffekt der Blocker-
Tags ist. Aus diesem Grund sollen die Blocker-Tags zukünftig auf bestimmte Seriennummernbereiche begrenzt werden,
um nur die Labels aus diesen Nummernbereichen auszuschalten. So wird erreicht, dass die RFID-Warenwirtschaft
innerhalb eines Einkaufsgeschäfts nicht gestört wird. An der Kasse könnten die Labels umkodierten werden und somit
danach in den Blockadenbereich der Störsender fallen. Der Verbraucher hätte dann die Möglichkeit zu entscheiden, ob
seine mitgeführten Tags durch einen Blocker-Tag maskiert werden sollen.

d.) Deaktivierung durch Kill-Befehl


Durch den sog. Kill-Befehl kann die Seriennummer der auf Konsumgütern angebrachten Tags so anonymisiert werden,
dass sie nicht mehr ausgelesen werden kann. Diese Maßnahme ist mit Nachteilen behaftet. Da es derzeit nur möglich ist,
lediglich einen einzigen Transponder in einem Arbeitsschritt zu behandeln, würde dies bei einem Einkauf mehrerer
Produkte enorm viel Zeit in Anspruch nehmen. In der Technologie arbeitet man jedoch daran, diesen Vorgang zu
optimieren. Zum anderen kann der Kunde die Deaktivierung, also den Einsatz des Kill-Befehls nicht kontrollieren. Die
positiven Nutzungsmöglichkeiten, wie die Verwendung von Daten bei Reparatur, Umtausch, Weiterverkauf oder Recycling
gehen durch die dauerhafte Deaktivierung verloren. Die Lösung hierfür könnte die Einführung von Tags sein, bei denen der
Kunde bei Bedarf die Verbindung zwischen Chip und Antenne durch einfaches Abreißen trennen und so die Aussendung
von Funksignalen verhindern kann. Sofern die gespeicherten Daten noch einmal verwendet werden sollen, können diese
nur in geringer Entfernung wieder gelesen werden.

http://ppdatenschutz.pp.funpic.de/joomla_test Powered by Joomla! Generiert: 21 February, 2008, 10:15