Radio Frequency Identification Bedrohungslage einer aktuellen Technologie

Ordnungsmerkmale

erschienen in: <kes> 2005^#1, Seite 38

Zusammenfassung: Der RFID-Technologie wird eine zunehmende Verbreitung prognostiziert. Vermehrt werden Kunden mit ihr als Ersatz des Barcodes in Berührung kommen. Der vorliegende Artikel fasst die in der neuen BSI-Studie "Risiken und Chancen des Einsatzes von RFID-Systemen" beschriebene Bedrohungslage zusammen.

Autor: Von Harald Kelter, BSI

Die zunehmende Verbreitung der Radio-Frequency-Identification-Technologie (RFID) findet weitestgehend unsichtbar statt. Allenfalls in Warensicherungsettiketten werden die einfachsten Formen dieser leistungsfähigen Technik vom Verbraucher wahrgenommen. Hierbei kommen 1-Bit-Transponder zum Einsatz, die unter Ausnutzung physikalischer Effekte ausschließlich eine Ja/Nein-Information speichern und nicht explizit beschreibbar oder programmierbar sind.

Darüber hinaus existiert jedoch eine Vielzahl weiterer Produkte. Diese besitzen oft deutlich mehr Funktionalität als einfache Artikelsicherungssysteme. Es handelt sich um leistungsfähige Identifikations- und Datenerfassungssysteme mit kontaktloser Datenübermittlung auf Basis der Radiofrequenztechnologie. Anwendung findet diese Technik zurzeit hauptsächlich in den Bereichen

• Industrieautomation,
• Zutrittssysteme,
• Tieridentifikation,
• Warenmanagement und
• bei elektronischen Wegfahrsperren.

Für den praktischen Einsatz verwendet man so genannte RFID-Systeme. Ein RFID-System besteht dabei immer aus einem Transponder, der die zu speichernden und bei Bedarf zu übermittelnden Informationen enthält, einem Schreibgerät zur Programmierung und dem Schreiben von Identifikationsdaten auf den Transponder sowie einem Lesegerät, das die im Transponder enthaltenen Informationen ausliest. RFID-Systeme gibt es in den unterschiedlichsten Ausführungen. Im Folgenden werden die Begriffe RFID-Chip, RF-Chip, Chip, RFID-Tag, Tag, RFID-Label und Label synonym verwendet, da sich noch kein einheitlicher Sprachgebrauch durchgesetzt hat.

Funktionsweise

Lässt man so genannte aktive RFID-Tags, die über eine eigene Spannungsversorgung verfügen, außer Acht, funktionieren induktiv gekoppelte RF-Chips häufig nach dem folgenden Prinzip: Ein Lesegerät generiert ein magnetisches Wechselfeld, das über seine Induktionswirkung im Schwingkreis des Tags eine Spannung induziert. Diese elektrische Spannung dient der Versorgung der auf dem Tag vorhandenen Steuerlogik. Dabei kann es sich um eine einfache "verdrahtete" Logik (einen Zustandsautomaten) handeln oder eine leistungsfähige Prozessoreinheit inklusive verschiedener Co-Prozessoren für Spezialaufgaben wie das Berechnen elektronischer Signaturen.

Hat der RFID-Chip erkannt, dass er sich im Feld eines Lesegerätes befindet, sendet er seine Seriennummer durch die Modulation des angelegten magnetischen Wechselfeldes an das Lesegerät. Dieses kann nun den Chip selektieren (schließlich könnten sich mehrere RF-Tags im Lesefeld befinden) und mit der Kommunikation beginnen.

Leistungsfähigkeit

Welche Operationen ein RF-Chip ausführen kann hängt von vielen Faktoren ab. Einer dieser Faktoren wurde eben bereits eingeführt: die zur Verfügung stehende Rechenleistung. Moderne RF-Chips können in dieser Hinsicht heute durchaus mit kontaktbehafteten Smartcards konkurrieren und besitzen Prozessoreinheiten mit Taktfrequenzen zwischen 1 MHz und 15 MHz sowie leistungsstarke, meist für die Realisierung kryptographischer Funktionen vorgesehene Co-Prozessoren.

Auch die Speicherkapazität von RFID-Chips steigt stetig, vor allem in ihrer Ausprägung als Dual-Interface-Smartcard. Während im Bereich der Logistik und der Zutrittskontrolle zurzeit noch Systeme eingesetzt werden, die nur wenige Kilobit durch den Nutzer beschreibbaren Speicher zur Verfügung stellen, sind 32 Kilobyte nichtflüchtiger Speicher für Dual-Interface-Karten keine Seltenheit mehr. Einige Kartenhersteller haben sich sogar die Realisierung von 1-Megabyte-Speichern zum Ziel gesetzt.

Oft diskutiert wird die Reichweite von RFID-Systemen; gemeint ist hiermit der Abstand zwischen Lesegerät und RFID-Tag. Dieser beträgt unabhängig von der sonstigen Leistungsfähigkeit des Chips zwischen wenigen Zentimetern (Proximity Coupling) und etwas mehr als einem Meter (Vicinity Coupling). Eine Steigerung dieser Reichweiten durch Erhöhung der Sendeleistung des Lesegerätes ist nur bedingt möglich, da das Transponder auch bei einer hohen Sendeleistung nicht unbedingt in die Lage versetzt wird, das Feld für den Leser verständlich zu modulieren.

Relevante Normen

Die International Organization for Standardization (ISO) hat mehrere Normen für den Bereich der RFID-Technik verabschiedet. Dies sind die unter anderem die Normen:

• ISO 10536 (Close Coupling),
• ISO 14443 (Proximity Coupling),
• ISO 15693 (Vicinity Coupling) und
• ISO 18092 (Near Field Communication).

Während die ISO 10536 wegen der mangelnden Verbreitung der Close-Coupling-Technologie (Reichweite von ca. 1 cm und deshalb meist nur als Einstecklösung realisiert) heute nahezu keine Bedeutung mehr besitzt, ist vor allem im Bereich der Zutrittskontrolle und so genannter Smart Labels die ISO 14443 häufig anzutreffen. Diese Norm spezifiziert neben der verwendeten Kopplungs- und Modulationsart für die Kommunikation zwischen Transponder und Lesegerät auch elementare Funktionen wie das zu verwendende Übertragungsprotokoll, die möglichen Übertragungsgeschwindigkeiten sowie Arbeitsreichweiten. Nahezu identisch zur ISO 14443 ist von der Struktur her die Norm ISO 15693. Auch hier werden neben den physikalischen Eigenschaften der Übertragungstechnik die logischen Abläufe für die Kommunikation spezifiziert.

Unterschiedlich sind jedoch die spezifizierten Werte: Während ISO-14443-konforme Systeme Arbeitsreichweiten bis zu 15 cm aufweisen und dabei Datenraten von 424 kbit/s realisieren, sind ISO-15693-konforme Systeme für Arbeitsabstände von bis zu 1,5 m bei einer Übertragungsrate von 26,48 kbit/s ausgelegt. Beiden Normen ist die Arbeitsfrequenz von 13,56 MHz gemein.

Ebenfalls innerhalb dieses Frequenzbands werden RFID-Systeme aktiv sein, die sich an der recht neuen Norm für "Near Field Communication" (NFC) orientieren. Der NFC-Standard, hauptsächlich durch die Firmen Sony und Philips vorangetrieben, sieht ebenfalls Übertragungsraten von 424 kbit/s im Bereich des Proximity Couplings vor und soll kompatibel zu ISO-14443-Systemen werden.

Bedrohungslage

Bei der Bedrohungslage für RFID-Systeme soll zur besseren Strukturierung der möglichen Angriffsarten zwischen einer Bedrohungslage für die aktive und die passive Partei unterschieden werden. Als aktive Partei wird hier diejenige Personengruppe bezeichnet, die das RFID-System betreibt. Als Angreifer kommt grundsätzlich die passive Partei in Frage (Angestellte oder Kunden) oder eine Drittpartei (Konkurrenten, Wirtschaftsspione, Cyber-Terroristen). Als passive Partei wird jene Personengruppe bezeichnet, die Tags oder mit Tags gekennzeichnete Objekte nutzt, aber keine Kontrolle über die Daten besitzt, die auf den Tags gespeichert sind. Dies kann zum Beispiel ein Kunde oder ein Arbeitnehmer des Betreibers sein [1].

Bedrohungslage für die aktive Partei

Ein Angreifer kann auf folgende Weise Daten ausspähen:

• Er kann mit einem eigenen Empfänger die Kommunikation zwischen Tags und Lesegeräten abhören. Die Entfernung kann dabei größer sein als die standardmäßig vorgesehene Lesedistanz.
• Er kann mit einem eigenen Lesegerät Daten aus den Tags auslesen. Dieses kann er versteckt installieren oder auch mobil zum Einsatz bringen. Soweit eine Authentifizierung des Lesegeräts vorgesehen ist, muss der Angreifer in der Lage sein, die Identität des Lesegeräts zu fälschen.

Ein Angreifer kann in Täuschungsabsicht falsche Daten einspeisen:

• Er kann den Inhalt, nicht aber die Seriennummer (ID) eines vorhandenen Tags verändern. Dies ist nur möglich, wenn mit der ID assoziierte Daten auf den Tags selbst (und nicht im Backend) gespeichert werden, was in den meisten Anwendungen nicht notwendig ist.
• Der Angreifer kann Tags emulieren oder duplizieren (Cloning), um gegenüber dem Leser deren Identität vorzutäuschen. Hierzu muss er zuvor mindestens die Seriennummern (IDs), je nach Sicherheitsverfahren auch Passwörter oder Schlüssel in Erfahrung gebracht haben.
• Er kann das Tag vom Trägerobjekt ablösen, um dessen Bewegungen vor dem Lesegerät zu verbergen oder ein anderes Objekt als das ursprüngliche Trägerobjekt auszugeben.

Ein Angreifer hat vielfältige Möglichkeiten, das korrekte Funktionieren eines RFID-Systems zu beeinträchtigen und so die mit diesen Systemen angestrebte Kongruenz zwischen realer und virtueller Welt zu unterminieren (Denial of Service):

• Tags werden mechanisch oder chemisch zerstört (durch Knicken, Druck- oder Zugbelastung, Säureeinwirkung etc.).
• Tags werden durch elektromagnetische Feldeinwirkung zerstört.
• Tags werden durch Missbrauch von Lösch- oder Kill-Befehlen außer Betrieb gesetzt. Dies setzt voraus, dass der Angreifer die Identität eines autorisierten Lese- beziehungsweise Schreibgerätes vortäuschen kann.
• Ein Blocker-Tag simuliert die Anwesenheit beliebig vieler Tags gegenüber dem Lesegerät, um die Erfassung der vorgesehenen Tags zu verhindern.
• Störsender verhindern die Kommunikation zwischen Erfassungsgerät und Tag. Um Wirkung auf größere Distanz zu erzielen, wären sehr starke Sender erforderlich. Dieser Angriff wäre leicht zu entdecken.
• Durch die Nähe von beispielsweise Wasser, Metall oder Ferrit wird eine Verstimmung der Feldfrequenz bewirkt.
• Die Tags werden durch metallische Folien oder mit Metallstreifen versehenen Taschen gegen elektromagnetische Felder abgeschirmt.

Bezüglich der praktischen Durchführbarkeit dieser Angriffe und der Wirksamkeit von Gegenmaßnahmen sind noch wenig Erfahrungen vorhanden.

Bedrohungslage für die passive Partei

Die Diskussion über RFID-bedingte Risiken für die passive Partei ist bisher stark vom Thema Datenschutz beziehungsweise Bedrohung der Privatsphäre geprägt. Bedrohungen der Privatheit können von der aktiven Partei oder von Drittparteien ausgehen. Im ersten Fall ist offensichtlich kein Angriff auf das RFID-System erforderlich, denn die aktive Partei hat die volle Kontrolle über das System. Sie könnte beispielsweise gegen geltendes Datenschutzrecht verstoßen, indem sie sensitive Daten ohne Wissen der betroffenen Personen weitergibt. Im zweiten Fall führt eine Drittpartei einen Angriff auf das RFID-System aus, um sich unautorisierten Zugang zu Daten zu beschaffen. Die Konsequenzen für die passive Partei sind sehr ähnlich, da sensitive Daten ohne Wissen und Zustimmung des Betroffenen in fremde Hände gelangen.

Wenn in einem RFID-System personenbezogene Daten gespeichert werden, kann dadurch die Privatsphäre der passiven Partei bedroht sein. Für die hier angestellte Betrachtung seien nur die RFID-spezifischen Aspekte der Bedrohungslage erwähnt:

• Durch Abhören der Luftschnittstelle oder unautorisiertes Auslesen von Tags stehen einem potenziellen Angreifer neue Wege zur Verfügung, sich unberechtigt Zugang zu Daten zu verschaffen.
• Neben personenbezogenen Daten könnten zunehmend auch potenziell personenbezogene Daten zu einem Angriffsziel werden. Dies sind Daten, die zwar anonymisiert oder pseudonymisiert sind, aber mit hoher Wahrscheinlichkeit de-anonymisiert werden können, also rückwirkend plausible Rückschlüsse auf Einzelpersonen ermöglichen. Mit RFID nimmt die zeitliche und räumliche Dichte der von Personen hinterlassenen Datenspuren zu, was die Möglichkeiten zur De-Anonymisierung aus rein statistischen Gründen verbessert.
• Die entstehende hohe Kongruenz zwischen virtueller und realer Welt – ein erklärtes Ziel des RFID-Einsatzes – kann bei der aktiven Partei oder bei einer Drittpartei (z. B. auch bei staatlichen Kontrollinstanzen) neue Bedürfnisse nach Auswertungen wecken, die möglicherweise nicht im Interesse der passiven Partei liegen. Mit der Verfügbarkeit der Daten erhöht sich das Risiko, dass die Datenbestände früher oder später ohne Wissen der Betroffenen zu nicht bestimmungsgemäßen Zwecken ausgewertet werden.

Unter der Annahme, dass Tags sich über längere Zeiträume im Besitz der gleichen Person befinden, ergibt sich eine spezielle Form der Bedrohung der Privatheit: Durch wiederholtes Auslesen der Seriennummern (IDs) können Bewegungsprofile erstellt werden (Tracking).

Diese Möglichkeit wird dann zu einer Bedrohung der Privatsphäre, wenn RFID-Systeme zu einem ubiquitären Bestandteil des Alltagslebens werden. Auch wenn beim Auslesen von RFID-Tags also ausschließlich IDs übertragen werden und alle anderen Daten ins Back-end verlagert sind, kann davon eine Bedrohung der Privatsphäre ausgehen. Je mehr Tags im Verkehr sind, desto besser sind die Möglichkeiten des Trackings. Bei Verfolgung mehrerer Personen lassen sich auch Kontaktprofile erstellen.

Besonders spezifisch für RFID ist hier wiederum die Möglichkeit, die Luftschnittstelle abzuhören. Es ist jedoch nicht auszuschließen, dass von Angriffen im Back-end-Bereich größere Bedrohungen für die Privatsphäre ausgehen als von der Luftschnittstelle. Im Vergleich zur Benutzung von Mobiltelefonen erzeugt die Benutzung von RFID-Tags wesentlich präzisere Datenspuren, da nicht nur der geographische Aufenthaltsort, sondern die konkrete Interaktion mit vorhandenen Betrieben und Infrastrukturen festgestellt werden kann.

Fazit

Bei der vorausgegangenen Betrachtung der technischen Möglichkeiten moderner RFID-Technologie sowie der damit einhergehenden Bedrohungslage wird klar, dass Auswirkungen des Einsatzes dieser Technologie auf den verschiedensten Ebenen der IT-Sicherheit nicht ausbleiben können. Gegen die meisten der aufgeführten Bedrohungen gibt es Gegenmaßnahmen, die zum Teil mit höherem, zum Teil mit niedrigerem Aufwand verbunden sind als der jeweilige Angriff.

Das Bundesamt für Sicherheit in der Informationstechnik beschäftigt sich bereits seit einiger Zeit mit dieser Problematik und hat im November 2004 eine Studie mit dem Titel "Risiken und Chancen des Einsatzes von RFID-Systemen" [1] veröffentlicht. Die dort dokumentierten Arbeitsergebnisse sind geeignet, sowohl den Betreiber als auch den Nutzer von RFID-Systemen in die Lage zu versetzen, die Bedrohungslage richtig einzuschätzen und zu bewerten und die Wirksamkeit von Bedrohungen entgegenwirkenden Maßnahmen zu beurteilen.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005^#1, Seite 38