RFID und die Sicherheit

18.05.2006
Von Axel Sikora
Die RFID-Technologie verrichtet bereits in Reisepässen, als Warenkontrolle in Kaufhäusern oder in Eintrittskarten unsichtbar ihre Arbeit. Für den Anwender ist die Datensicherheit oft unklar. Können Unberechtigte die teilweise vertraulichen Daten auslesen oder sogar manipulieren?

Von Axel Sikora, tecChannel.de

RFID (Radio Frequency Identification) bietet enorme Entwicklungsmöglichkeiten in vielen Anwendungsgebieten. Unter anderem kann RFID helfen, die Sicherheit von Bürgern und Geschäftsprozessen zu erhöhen. Bei manchen besteht allerdings durchaus Unbehagen gegenüber dieser unsichtbaren Technologie.

Mit RFID lassen sich entsprechende Anwendungen über die normalen, gebräuchlichen Mechanismen hinaus schützen. Diese erweiterte Sicherheit basiert im Wesentlichen darauf, dass mit Hilfe von RFID eine fehlertolerante Übertragung zur Verfügung steht, die auch mehr Informationen enthalten kann als einfachere, herkömmliche Auto-ID-Verfahren.

Die draht- und kontaktlosen automatischen Identifikationssysteme mit Hilfe von RFID bringen aus folgenden Gründen besondere Risiken für die Sicherheit mit sich:

3 RFID-Tags können potenziell unberechtigt und unbemerkt ausgelesen werden. Ein Auslesen der Transponder ist auch ohne mechanischen Zugang möglich. Je nach Technologie werden Reichweiten von einigen wenigen Metern erreicht.

3 Auf Grund der potenziell sehr großen Verbreitung von RFID-Tags haben die Angreifer künftig viele Möglichkeiten, mit geeigneten handelsüblichen Lesegeräten Tags auszulesen und gegebenenfalls die so gewonnenen Daten zu missbrauchen.

3 Mit Hilfe der RFID-Technologie lassen sich nicht nur Objekte, sondern auch Tiere und Menschen identifizieren. In diesem Zusammenhang könnte die Vision der automatischen Identifikation und Überwachung von Personen Wirklichkeit werden.

3 Je nach Anwendung müssen RFID-Transponder möglichst günstig sein, um in ausreichender Weise in die Anwendung zu gelangen. Damit limitieren sich die Chancen für aufwändige kryptografische Verfahren. Eine Entschlüsselung ist somit relativ einfach.

3 Einfache RFID-Tags können nur gelesen, aber nicht geschrieben werden. Selbst wenn kryptografisches Material hinterlegt ist, so kann es nicht aktualisiert werden.

3 RFID-Transponder verfügen in der Regel nur über geringe elektrische Energie zur Durchführung ihrer Kommunikation. Auch dies beschränkt die Möglichkeiten aufwändiger kryptografischer Verfahren.

Generelle Sicherheitsziele

Die Schutzmaßnahmen müssen Folgendes gewährleisten: Vertraulichkeit (Confidentiality, Privacy), Integrität, Authentifizierung (Authentication), Autorisierung, Verbindlichkeit oder Unabstreitbarkeit (Non-Repudiation) sowie Verfügbarkeit (Availability). Grundsätzlich sind bei der Verwendung von RFID-basierten Systemen zwei Bereiche zu unterscheiden:

3 Zum einen müssen die Sicherheitsparameter beim Betrieb der RFID-Anlage geschützt werden.

3 Zum anderen muss der Betreiber vermeiden, dass die im Rahmen der RFID-Anlagen gesammelten Daten missbräuchlich verwendet werden.

Die Technologien zum Schutz dieser Daten unterscheiden sich nicht vom Schutz anderer Verbraucher- oder Benutzerdaten. Das darf aber nicht darüber hinwegtäuschen, dass die Häufigkeit und Genauigkeit der Datenerfassung mit RFID-basierten Systemen um ein Vielfaches über den heute gebräuchlichen Systemen liegen können. Hierdurch ergibt sich natürlich ein besonders hohes Schutzbedürfnis.

Um die RFID-Technologie sicher zu nutzen, sind für den Benutzer folgende Sicherheitsparameter von Relevanz:

Vertraulichkeit: Da auch bei RFID die Daten über die Luftschnittstelle übertragen werden, ist ein Abhören wie bei jedem drahtlosen System möglich. Da die Reichweiten aber sehr viel geringer sind, kann die Gefahr eines Parking-Lot-Attack als recht gering angesehen werden. Dennoch erscheinen Szenarien möglich, bei denen beim Betreten von Gebäuden oder beim Besuch von Veranstaltungen das Auslesen auch über eine Entfernung von zirka zehn Zentimetern möglich ist.

Um einen solchen "Missbrauch" auszuschließen, stehen zwei Möglichkeiten zur Verfügung: Der Anwender kann zum Beispiel beim Kauf eines "RFID-Kleidungsstücks" den RFID-Tag beim Verlassen des Kaufhauses entfernen oder elektrisch teilweise zerstören lassen (selbstzerstörende Tags). Auf diese Weise verliert man aber einen Großteil der möglichen Funktionalität. Der zerstörte Tag an der Kleidung kann dann nicht mehr der Waschmaschine die erforderliche Waschtemperatur übermitteln. Alternativ kann der Hersteller eine Verschlüsselung einsetzen, die die Daten vor unberechtigtem Ausspähen schützt.

Authentifizierung: Die große Problematik bei RFID-Systemen ist die Tatsache, dass Lesegeräte unbemerkt in die Nähe der Transponder gebracht werden können, um diese auszulesen. Um diese Problematik zu umgehen, wäre eine Authentifizierung des Lesegeräts in einem entsprechenden Netzwerk notwendig. Diese könnte beispielsweise über ein Zertifikat erfolgen. Ist die Überprüfung eines Zertifikats durch die fehlende Netzanbindung nicht möglich, muss der Vorgang auf eine normale wechselseitige Schlüsselüberprüfung reduziert werden.

Integrität und Autorisierung

Die Integrität von RFID-Systemen beruht entscheidend darauf, dass die zwei folgenden Beziehungen entsprechend gesichert sind.

3 Der Bezug zwischen der Information auf dem Tag und der darauf gespeicherten Information muss eindeutig sein. Wenn es zum Beispiel technisch möglich wäre, einen Transponder nachzubauen, könnten Daten an Lesegeräten eingespielt werden, ohne dass diese der Realität entsprächen. Dieser Aspekt ist sowohl eng mit dem Schutzparameter der Unabstreitbarkeit als auch mit der Authentifizierung verbunden. Da Lesegeräte auch über ein Netzwerk arbeiten können, wäre in diesem Fall auch eine Zertifikatsüberprüfung möglich.

3 Die Beziehung zwischen dem Tag und dem Trägerobjekt, zu dessen Identifikation er dient, muss eindeutig sein. Zusätzlich muss der Anwender vermeiden, dass der Tag während seiner Lebenszeit unterschiedlichen Objekten zugeordnet wird, ohne dass ein Abgleich dieser Daten mit dem darüber liegenden Auslesesystem stattfindet. Darüber hinaus muss der Nutzer die Zuordnung zwischen der Information auf dem Tag und dem Objekt zusätzlich schützen. Wenn die ausgelesene Information zum Beispiel nur unter Nutzung einer geschützter Datenbanken einem bestimmten Objekt zugeordnet werden kann, ist durchaus ein Teilziel der Datenintegrität erreicht.

Bei der Autorisierung muss sichergestellt sein, dass nur autorisierte Lesegeräte korrekt auf die Informationen auf dem Tag zugreifen können. Nicht autorisierte Lesegeräte müssen vom Zugriff explizit ausgeschlossen bleiben.

Fazit

Die Anwendungsmöglichkeiten bei RFID sind vielfältig und schier unüberschaubar. Wie so oft, scheint auch hier zu gelten: "Security follows Functionality". Erst wenn eine potenzielle Anwendung gefunden ist, denken die Entwickler über Sicherheitsrisiken nach.

Zur Startseite