RFID (Radio Frequency Identification) bietet enorme Entwicklungsmöglichkeiten in vielen Anwendungsgebieten. Unter anderem kann RFID helfen, die Sicherheit von Bürgern und Geschäftsprozessen zu erhöhen. Auch wenn Branchenverbände dies gern anders darstellen, besteht allerdings durchaus Unbehagen gegenüber dieser unsichtbaren Technologie.
Mit RFID lassen sich entsprechende Anwendungen über die normalen, gebräuchlichen Mechanismen hinaus schützen. Diese erweiterte Sicherheit basiert im Wesentlichen darauf, dass mit Hilfe von RFID eine fehlertolerante Übertragung zur Verfügung steht, die auch mehr Informationen enthalten kann, als einfachere, herkömmliche Auto-ID-Verfahren.
Auf diese Weise lässt sich die Wahrscheinlichkeit von fehlerhaften Auslesevorgängen verhindern. Als Beispiel seien der elektronische Reisepass oder auch RFID-geschütztes Geld genannt.
Anforderungen und Risiken
Die draht- und kontaktlosen automatischen Identifikationssysteme mit Hilfe von RFID bringen aus folgenden Gründen besondere Risiken für die Sicherheit mit sich:
-
RFID-Tags können potenziell unberechtigt und unbemerkt ausgelesen werden. Ein Auslesen der Transponder ist auch ohne mechanischen Zugang möglich. Je nach Technologie werden Reichweiten von einigen wenigen Metern erreicht. Es ist die Aufgabe einer entsprechenden Sicherheitsarchitektur, dieses unberechtigte Auslesen zu verhindern.
-
Auf Grund der potenziell sehr großen Verbreitung von RFID-Tags haben die Angreifer zukünftig viele Möglichkeiten, mit geeigneten handelsüblichen Lesegeräten Tags auszulesen und gegebenenfalls die so gewonnenen Daten zu missbrauchen.
-
Mit Hilfe der RFID-Technologie lassen sich nicht nur Objekte, sondern auch Tiere und Menschen identifizieren. In diesem Zusammenhang könnte die Vision der automatischen Identifikation und Überwachung von Personen Wirklichkeit werden. Eine solche Überwachung kann sowohl die Aufzeichnung von Bewerbungsprofilen (Location) als auch die Informationssammlung von Konsumverhalten beinhalten.
-
Je nach Anwendung müssen RFID-Transponder möglichst günstig sein, um in ausreichender Weise in die Anwendung zu gelangen. Damit limitieren sich die Möglichkeiten für aufwendige kryptografische Verfahren. Eine Entschlüsselung ist somit relativ einfach.
-
Einfache RFID-Tags können nur gelesen, aber nicht geschrieben werden. Selbst wenn kryptografisches Material hinterlegt ist, so kann es nicht aktualisiert werden.
-
RFID-Transponder verfügen in der Regel nur über recht geringe elektrische Energie zur Durchführung ihrer Kommunikation. Auch dies beschränkt die Möglichkeiten aufwendiger kryptografischer Verfahren
Generelle Sicherheitsziele
Die Schutzmaßnahmen müssen Folgendes gewährleisten: Vertraulichkeit (Confidentiality, Privacy), Integrität, Authentifizierung (Authentication), Autorisierung, Verbindlichkeit oder Unabstreitbarkeit (Non-Repudiation) sowieVerfügbarkeit (Availability). Grundsätzlich sind bei der Verwendung von RFID-basierten Systemen zwei wesentliche Bereiche zu unterscheiden:
-
Zum einen müssen die Sicherheitsparameter beim Betrieb der RFID-Anlage geschützt werden.
-
Zum anderen muss der Betreiber vermeiden, dass die im Rahmen der RFID-Anlagen gesammelten Daten missbräuchlich verwendet werden.
Die Technologien zum Schutz dieser Daten unterscheiden sich nicht vom Schutz anderer Verbraucher- oder Benutzerdaten. Diese Aussage darf aber nicht darüber hinwegsehen lassen, dass die Häufigkeit und Genauigkeit der Datenerfassung mit RFID-basierten Systemen um Größenordnungen über den heute gebräuchlichen Systemen liegen kann. Hierdurch ergibt sich natürlich ein besonders hohes Schutzbedürfnis.
Vertraulichkeit und Authentifizierung
Um die RFID-Technologie sicher zu nutzen, sind für den Benutzer folgende Sicherheitsparameter von Relevanz:
Vertraulichkeit: Da auch bei RFID die Daten über die Luftschnittstelle übertragen werden, ist ein Abhören wie bei jedem drahtlosen System grundsätzlich möglich. Da die Reichweiten aber sehr viel geringer sind als bei anderen drahtlosen Systemen, wie zum Beispiel von Bluetooth oder WLAN, kann die Gefahr eines Parking-Lot-Attack als recht gering angesehen werden. Dennoch erscheinen Szenarien möglich, bei denen beim Betreten von Gebäuden oder beim Besuch von Veranstaltungen das Auslesen auch über eine Entfernung von zirka 10 Zentimeter möglich ist.
Um einen solchen "Missbrauch" auszuschließen, stehen zwei Möglichkeiten zur Verfügung: Der Anwender kann zum Beispiel beim Kauf eines "RFID-Kleidungsstücks" den RFID-Tag beim Verlassen des Kaufhauses entfernen oder elektrisch teilweise zerstören lassen (selbstzerstörende Tags). Auf diese Weise verliert man aber einen Großteil der möglichen Funktionalität. Der zerstörte Tag an der Kleidung kann dann nicht mehr der Waschmaschine die erforderliche Waschtemperatur übermitteln. Alternativ kann der Hersteller eine Verschlüsselung einsetzen, die die Daten vor unberechtigtem Ausspähen schützt. Die hierzu erforderlichen Verfahren setzen allerdings eine komplette Sicherheitsarchitektur voraus.
Authentifizierung: Die große Problematik bei RFID-Systemen ist die Tatsache, dass Lesegeräte unbemerkt in die Nähe der Transponder gebracht werden können, um diese auszulesen.
Um diese Problematik zu umgehen, wäre eine Authentifizierung des Lesegeräts in einem entsprechenden Netzwerk notwendig. Diese könnte beispielsweise über ein Zertifikat erfolgen. Ist die Überprüfung eines Zertifikats durch die fehlende Netzanbindung nicht möglich, muss der Vorgang auf eine normale wechselseitige Schlüsselüberprüfung reduziert werden - vorausgesetzt der Tag ist mit diesen Sicherheitsmechanismen ausgestattet.
Integrität und Autorisierung
Die Integrität von RFID-Systemen beruht entscheidend darauf, dass die zwei folgenden Beziehungen entsprechend gesichert sind.
-
Der Bezug zwischen der Information auf dem Tag und der darauf gespeicherten Information muss eindeutig sein. Wenn es zum Beispiel technisch möglich wäre, einen Transponder nachzubauen, könnten Daten an Lesegeräten eingespielt werden, ohne dass diese der Realität entsprächen. Dieser Aspekt ist sowohl eng mit dem Schutzparameter der Unabstreitbarkeit als auch mit der Authentifizierung verbunden. Da Lesegeräte auch über ein Netzwerk arbeiten können, wäre in diesem Fall auch eine Zertifikatsüberprüfung möglich.
-
Die Beziehung zwischen dem Tag und dem Trägerobjekt, zu dessen Identifikation er dient, muss eindeutig sein. Zusätzlich muss der Anwender vermeiden, dass der Tag während seiner Lebenszeit unterschiedlichen Objekten zugeordnet wird, ohne dass ein Abgleich dieser Daten mit dem darüber liegenden Auslesesystem stattfindet. Darüber hinaus muss der Nutzer die Zuordnung zwischen der Information auf dem Tag und dem Objekt zusätzlich schützen. Wenn die ausgelesene Information zum Beispiel nur unter Nutzung einer geschützter Datenbanken einem bestimmten Objekt zugeordnet werden kann, ist durchaus ein Teilziel der Datenintegrität erreicht
Bei der Autorisierung muss sichergestellt sein, dass nur autorisierte Lesegeräte korrekt auf die Informationen auf dem Tag zugreifen können. Nicht autorisierte Lesegeräte müssen vom Zugriff explizit ausgeschlossen bleiben.
Fazit
Die Anwendungsmöglichkeiten bei RFID sind vielfältig und schier unüberschaubar. Wie so oft, scheint auch hier zu gelten: "Security follows Functionality". Erst wenn eine potenzielle Anwendung gefunden ist, denken die Entwickler über mögliche Sicherheitsrisiken nach.
Diese Risiken beschränken sich nicht nur auf die Manipulation von RFID-Tags selbst, sondern auch auf den "Missbrauch" der gesammelten RFID-Daten. Damit lassen sich mit der entsprechenden Technik zum Beispiel Personen unbemerkt in der Öffentlichkeit überwachen. Auch Kaufhäuser können mit Hilfe der RFID-Technologie das Kaufverhalten von Kunden "ausspähen" und die so gewonnen Informationen für etwa das Plazieren von bestimmten Produkten an einem entsprechenden Ort verwenden.
Mit Maßnahmen wie Datenintegrität, Authentifizierung oder Autorisierung können die Hersteller die Sicherheit von RFID erhöhen - falls entsprechende Infrastruktur vorhanden ist. Zusätzlich können die Sicherheitsbedenken der Anwender das Bewusstsein bei Herstellern hin zur höheren Absicherung der RFID-Technologie ändern, da eine fehlende Akzeptanz die Marktverbreitung deutlich behindern kann. (Axel Sikora, tecChannel.de/tö)