Sicherheitsbetrachtung zu RFID-Anwendungen

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1. Einleitung

2. Funktionsweise, Klassifikation und EPC 2
2.1 Grundlegende Funktionsweise
2.2 Klassifikation
2.3 Electronic Product Code
2.3.1 Aufbau der EPC Nummer
2.3.2 Object Name Service
2.3.3 Funktionsweise des EPC – Systems

3. Allgemeine Bedrohungsanalyse
3.1 Arten von Bedrohungen
3.2 Bedrohungen für die aktive Partei
3.2.1 Physikalische Denial of Service Angriffe
3.2.2 Sonstige Denial of Service Angriffe
3.2.3 Ausspähen von Daten
3.2.4 Einspeisen falscher Daten
3.3 Bedrohungen für die passive Partei
3.3.1 Bedrohung der Data Privacy
3.3.2 Bedrohung der Location Privacy

4. Schutzverfahren
4.1 Deaktivierung und Verhinderung des Auslesens
4.2 Verfahren zur Pseudonymisierung
4.3 Verfahren zur Authentifizierung und Verschlüsselung

5. Fazit

6. Anhang

7. Literatur

1. Einleitung

Folgt man der allgemeinen Diskussion um die Einführung der Radio Frequency Identification Technologie (RFID) bekommt man den Eindruck vermittelt, dass in naher Zukunft jeder Mensch der Konsumgüter kauft zum gläsernen Konsumenten wird, dessen Bewegungen sich lückenlos überwachen lassen. Es werden Szenarien entworfen bei denen das Individuum, wenn es in einen Laden geht „gescannt“ wird, und nur noch (ähnlich der beim E–Commerce verwendeten Coockie–Funktionalität von Web–Browsern) die zu seinem Konsumprofil passenden Produkte angeboten bekommt.

Alles in allem ist dieser Zustand eine von Datenschützern und Bürgerrechtlern bedrohlich gezeichnete Zukunftsperspektive, welche nur aus der Sicht des Endkonsumenten gesehen wird. Tatsächlich sind von der Sicherheit bei RFID–Anwendungen auch weite Kreise, vor allem in der Logistik und Produktion, betroffen.

RFID Systeme werden in zunehmend stärkerem Maße in allen Bereichen des Lebens eingesetzt in denen Objekte – das können normale Endprodukte, logistische Einheiten wie Container aber auch Arzneimittel oder Tiere sein – im Mittelpunkt stehen. Zieht man in Betracht, dass nicht nur der Endkonsument mit RFID konfrontiert wird sondern alle, die an der Wertschöpfung beteiligt sind, verlieren die o.g. Szenarien ihre Bedeutung, ja sie stellen nur noch einen Teil vieler möglicher Bedrohungen dar, da in diesem Kontext der Konsument selbst zu einer Bedrohung werden kann, indem er z.B. versucht das RFID–System beim Einkaufen zu manipulieren – ein Möglichkeit, die es schon lange in Form des Vertauschens von Preisschildern gibt.

Diese Arbeit setzt sich mit der gesamten Sicherheitsproblematik bei RFID–Systemen auseinander. Ausgehend von der allgemeinen Funktionsweise sowie den in enger Verbindung stehenden Electronic Product Code wird der Bogen über in Verbindung mit RFID stehenden Bedrohungen bis hin zu spezifischen Szenarien gespannt. Im letzten Kapitel soll auf mögliche Lösungen eingegangen werden, Aspekte des Datenschutzes werden in fast jedem Kapitel mit angesprochen.

2. Funktionsweise, Klassifikation und EPC

Da es für die verschiedenen Anwendungen der RFID Technologie eine große Vielzahl von Tags gibt, soll in diesem Kapitel kurz auf deren grundlegende Funktionsweise eingegangen, sowie eine Klassifikation vorgenommen werden. Auch die mit der Einführung von
RFID – Transpondern im Handel einhergehende Warenkennzeichnung, der so genannte Electronic Product Code (EPCTM), wird kurz beschrieben, da diese hinsichtlich des „gläsernen Konsumenten“ sicherheitsrelevant ist.

2.1 Grundlegende Funktionsweise

Ein RFID–System besteht grundsätzlich aus drei Komponenten: einem Chip (auch RFID–Chip, –Transponder oder –Tag genannt), einem Schreib- bzw. Lesegerät und einem Hintergrundsystem, welches die Verarbeitung der Daten übernimmt.

Der Transponder wird an die zu kennzeichnenden physischen Objekte angebracht und enthält die zu speichernden Informationen, welche im Bedarfsfall abgerufen werden können [vgl. Kelter (2005), S.38]. Man unterscheidet die Transponder in aktive und passive Systeme. Die aktiven verfügen über eine eigene Energiequelle, die passiven werden von den Lesegeräten über Funkwellen mit Energie versorgt, wobei es dafür kapazitive, induktive und das Backscatterverfahren gibt.

Für die Speicherung der Daten auf dem Transponder stehen verschiedene RAM– bzw. ROM–Lösungen zur Verfügung, von denen auch abhängt, ob die Daten fest gespeichert und unveränderbar sind oder neben der Möglichkeit des Auslesens, die des Neu- oder Wiederbeschreibens gegeben ist. [vgl. BSI (2004), S.30 ff]

Das Schreib- bzw. Lesegerät generiert ein magnetisches Wechselfeld, welches im Transponder eine Spannung induziert. Der passive Transponder benötigt die Spannung, um aktiviert zu werden und die gespeicherten Daten an das Lesegerät zu senden. Für den aktiven Transponder stellt die Spannung auch ein Aktivierungssignal dar, welches ihn aus dem Ruhezustand in die Betriebsbereitschaft überführt und nun das Auslesen oder Überschreiben der Daten ermöglicht.

Beim Hintergrundsystem handelt es sich im einfachsten Fall um einen Computer, in großen Systemen um eine komplexe Netzwerkinfrastruktur. In allen Fällen sind im Hintergrundsystem Datenbanken angelegt, in denen die gewünschten Informationen zum markierten physischen Objekt enthalten sind oder in denen Daten, die mit dem Objekt in Verbindung stehen (wie z.B. verkaufte Menge etc.), gespeichert werden.

2.2 Klassifikation

Klassifizierungen von RFID–Systemen lassen sich hinsichtlich verschiedenster Parameter vornehmen, die aber in vielen Fällen nicht losgelöst voneinander betrachtet werden können. So ließe sich beispielsweise eine Einteilung nach Art der Frequenzbereiche, des verwendeten Speichers, der Energieversorgung der Transponder oder der Leistungsfähigkeit selbiger vornehmen [vgl Finkenzeller (2002), S.11 ff].

Hier soll nur eine Klassifikation nach der Reichweite vorgenommen werden, da diese den Abstand zwischen Transponder und Lesegerät kennzeichnet und somit auch für die Bewertung verschiedener Angriffsszenarien relevant ist.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Klassifikation von RFID–Systemen nach Reichweite [in Anlehnung an BSI (2004), S.29]

Aus Tabelle 1 ist ersichtlich, dass die realisierten Abstände stark mit den verwendeten Frequenzen korrespondieren und ob der Transponder auf das Lesegerät ausgerichtet werden muss oder nicht.

Bei Close Coupling Systemen muss der Transponder sehr nahe ans Lesegerät herangeführt werden braucht dieses aber, und das ist der Vorteil gegenüber Magnetstreifenkarten, nicht zu berühren. Dadurch reduzieren sich Verschleißerscheinungen, welche bei Magnetstreifen-karten die Funktionalität beeinträchtigen können. Durch die geringe Reichweite lässt sich auch sicherstellen, dass z.B. Schließsysteme nicht aus der Ferne manipuliert werden können.

Mid Range Systeme kommen schon heute vor allem in Warenhäusern als Diebstahlschutz zur Anwendung. Zukünftig wird in diesem Bereich die Warenmarkierung eine große Rolle spielen und damit auch das von Datenschützern befürchtet Szenario des „gläsernen Konsumenten“. Verwendet werden meist passive Transponder, die durch induktive Kopplung mit Strom versorgt und aktiviert werden (vgl. Kapitel 1).

Long Range Systeme verwendet man vor allem bei Logistikanwendungen, da hier z.B. zum Erfassen von Containern in Häfen die Reichweite der Mid Range Systeme nicht ausreicht. Zumeist kommen aktive Transponder zum Einsatz (vgl. Kapitel 1), die sich von den kleinen unauffälligen der beiden anderen Systeme allein durch ihre Dimension erheblich unterscheiden. [vgl. Schoblick (2005), S.123 ff]

2.3 Electronic Product Code

Weltweit gibt es heute zur Produktmarkierung eine Reihe von so genannten optischen Barcode–Systemen. Dabei handelt es sich um ein Strichmuster, welches im jeweiligen System eine eindeutige und maschinenlesbare Kennzeichnung der Produkte ermöglicht. Es wurde bereits 1949 erstmalig patentiert und setzte sich ab den 1970iger Jahren zunehmend durch.

Mit Blick auf die immer weiter voranschreitende Globalisierung der Märkte und den internationalen Handel, strebt man derzeit danach, ein weltweit einheitliches System einzuführen, dessen höchste Motivation es ist, jeden in der Wertschöpfung verwendeten Gegenstand bis hin zum Endprodukt eineindeutig zu verifizieren – den Electronic Product Code kurz EPCTM genannt.

Wie der Name bereits ausdrückt, setzt man ganz auf „electronic“, d.h. in diesem Kontext auf RFID–Technologie und verzichtet auf die optische Codierung.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Barcode (links) und RFID–Transponder (rechts) [Eigene Darstellung]

Der EPC ist eine auf dem RFID Transponder gespeicherte Folge von Ziffern mit einer Länge von mindestens 64, 96 oder bis zu 204 Bit. Die verschiedenen Nummerntypen sollen dabei aufwärtskompatibel sein.

2.3.1 Aufbau der EPC Nummer

Die Ziffernfolge des Electronic Product Code besteht aus mehreren Komponenten (hier am Beispiel des EPC mit 96 Bit):

- Der Header definiert die Version des verwendeten EPC–Codes und verfügt über eine Länge von 8 Bit
- Im EPC–Manager Feld wird die zentral vergebene Kennzeichnungsnummer des Produktherstellers dargestellt (28 Bit lang, ca. 268 Millionen Hersteller lassen sich so eindeutig identifizieren)
- In der Object Class sind die Produktnummern der einzelnen Hersteller gespeichert (24 Bit, über 16 Millionen Produkte pro Hersteller)
- Die Seriennummer ist eine fortlaufende Artikelnummer (36 Bit, damit lassen sich 68 Milliarden Einheiten eines Produkts weltweit eindeutig kennzeichnen)

Mit diesem System ist es nicht nur möglich, Produkte wie z.B. rote von grünen T-Shirts abzugrenzen, sondern jedes einzelne rote T-Shirt eindeutig vom anderen zu unterschieden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Aufbau der EPC–Nummer [Eigene Darstellung]

In der EPC Nummer sind bis auf die oben genannten Informationen keine weiteren gespeichert. Weitere Produktattribute (z.B. wo das rote T-Shirt hergestellt wurde, wie lange es im Regal gelegen hat) können erst von Datenbankanwendungen erzeugt und abgerufen werden. [vgl. CCGmbH (2004), S.2]

2.3.2 Object Name Service

Der Object Name Service (ONS) erfüllt in der Welt der RFID genau die gleiche Funktion wie der Domain Name Service (DNS) im Internet. Da sich Menschen Namen besser merken können als Zahlenkolonnen, wird für gewöhnlich bei der Nutzung des Internets eine URL in den Browser eingegeben, um zu einer bestimmten Webseite zu gelangen. Auf einem
DNS-Server ist die der URL zugehörige IP-Adresse gespeichert, mit deren Hilfe der Computer nun auf die vom Nutzer angeforderte Webseite zugreifen kann.

Ähnlich ist die Funktionsweise des ONS. Wie unter 2.3.1 beschrieben sind in der EPC – Nummer noch keinerlei Informationen, wie Preise etc., zum gekennzeichneten Produkt gespeichert. Werden diese Informationen nun beim Verkauf eines Produkts benötigt, sendet das RFID–System eine Anfrage zur EPC Nummer an den ONS, dieser sendet eine URL oder IP zurück, unter der die benötigten Informationen verfügbar sind.

Genau wie beim DNS ist der ONS darauf ausgelegt, die Adressinformation in einem Serververbund zu speichern. Lokal besteht die Möglichkeit, bereits abgerufene EPC–IP–Paare zu speichern, um die Zahl der Anfragen an den Server zu verringern.

2.3.3 Funktionsweise des EPC–Systems

Die auf dem Transponder gespeicherte EPC Nummer wird vom Lesegerät des RFID–Systems, z.B. stationär an der Kasse oder im Lagereingang bzw. mobil mit einem Handscanner, ausgelesen. Sind Informationen zur Nummer nicht im lokalen Hintergrundsystem gespeichert, stellt dieses eine Verbindung zum Object Name Service her und erhält hier den Verweis auf eine IP – Adresse, hinter der sich entweder ein zentrales Datenbanksystem (z.B. beim Großhandel, Materiallager) oder der Produktserver des Herstellers verbirgt. Von hier werden die benötigten Informationen an die anfragende Stelle

gesendet und z.B. als Bildschirmausgabe im Kassensystem zur Verfügung gestellt (vgl. Popova (2005), S.8). Denkbar wäre auch, dass im Falle einer Anfrage an das Datenbanksystem dieses nicht ausschließlich Informationen zum Objekt liefert, sondern auch solche die z.B. die Anfragezeit oder den Ort, von welchem aus die Anfrage erfolgte, speichert. Da ein Objekt der EPC Nummer eineindeutig zugeordnet ist, könnte hier der Hersteller, Großhändler oder das Logistikunternehmen die so gewonnenen „Kundendaten“ missbräuchlich verwenden. Bei anderen Anwendungen, wie dem Containerverkehr in einem Hafen, wird dieser Effekt dazu genutzt, Ort und Menge der gelagerten Ware zu bestimmen.

[...]