Aus Winfwiki

1 Titel

Name der Autoren:	Roxanna Rothweiler, Tim Hauptmeier
Titel der Arbeit:	Sicherheitsrisiken von RFID
Hochschule und Studienort:	Fochhochschule für Oekonomie und Management in Essen
Datum der Erstellung:	14.06.2009

2 Inhaltsverzeichnis

Inhaltsverzeichnis 1 Titel 2 Inhaltsverzeichnis 3 Abkürzungsverzeichnis 4 Abbildungsverzeichnis 5 Tabellenverzeichnis 6 Einleitung 7 Grundlagen zur RFID Technologie 7.1 Anwendungsfelder 7.2 Transponder 7.2.1 Speicher 7.2.2 Frequenzbereiche 7.2.3 Übertragungsarten und -techniken 7.2.4 Mehrfachzugriffsverfahren 7.3 Ausführungen 7.3.1 Transponder 7.3.2 Lesegeräte 7.4 Anwendungsbeispiele 8 RFID-Systeme, Sicherheitsrisiken und Gegenmaßnahmen 8.1 Mögliche Angriffsarten 8.1.1 Angriffe auf den Transponder 8.1.2 Angriffe auf die Luftschnittstelle 8.2 Sicherheitsmaßnahmen durch Kryptografie 8.2.1 Gegenseitige Authentifizierung 8.2.2 Authentifizierung mit abgeleiteten Schlüsseln 8.2.3 Verschlüsselte Datenübertragung 9 Fallbeispiel elektronischer Reisepass mit RF-Chip 9.1 Unberechtigte Benutzung 9.2 Fälschung von Daten 9.3 Abhören der Kommunikation 9.4 Erstellung von Bewegungsprofilen 10 Fazit 11 Fußnoten 12 Literatur- und Quellenverzeichnis 13 Rechtsquellenverzeichnis

3 Abkürzungsverzeichnis

Abkürzung	Bedeutung
Auto-ID	automatische Identifikationsverfahren
BAC	Basic Access Control
BDSG	Bundesdatenschutzgesetz
BSI	Bundesamt für Sicherheit in der Informationstechnik
DIN	Deutsches Institut für Normung e. V.
EEPROM	Electrically Erasable Programmable Read Only Memory
e.V.	eingetragener Verein
ePass	elektronischer Reisepass
FDX	Vollduplexverfahren
FDMA	Frequenzmultiplex
GHz	Gigahertz
HDX	Halbduplexverfahren
ICAO	International Civil Aviation Organization
ID	Identifikation
ISM	Industrial, Scientific, and Medical Band
ISO	International Organization for Standardization
kHz	Kilohertz
KW	Kurzwelle
LW	Langwelle
MHz	Megahertz
MRZ	Machine Readable Zone
RAM	Random Access Memory
RFID	Radio-Frequency-Identification
SAM	security authentificaton module
SDMA	Raummultiplex
SEQ	sequentielles System
TDMA	Zeitmultiplex
UHF	Ultra-High-Frequency

4 Abbildungsverzeichnis

Abb.-Nr.	Abbildung
1	Grundlegender Aufbau eines RFID-Systems
2	Anwendungsmöglichkeiten von RFID-Systemen
3	Aufbau eines RFID-Transponders
4	Frequenzbereiche und relevante Eigenschaften für RFID
5	Übertragungsverfahren
6	zeitlicher Ablauf Halb-/ Vollduplex und sequentieller Systeme
7	Bauformen von Transpondern
8	Grundlegende Angriffsmöglichkeiten auf RFID-Syteme
9	Ablauf einer gegenseitigen Authentifizierung
10	Authentifizierung mit abgeleiteten Schlüsseln
11	Angriffe auf eine Datenübertragungsstrecke
12	Daten(-gruppen) auf dem RF-Chip des ePass
13	Basic Access Control

5 Tabellenverzeichnis

Tabelle Nr.	Quelle
1	Anwendungsbereiche für RFID, Zweck und Einordnung

6 Einleitung

Mit den RFID-Systemen (radio frequency identification) hat sich in den vergangenen Jahren eine Technologie weltweit verbreitet, die in den unterschiedlichsten Bereichen eingesetzt wird. Am bekanntesten dürfte die Kennzeichnung von Waren und Gütern sein, also ein Anwendungsgebiet, in dem schon seit vielen Jahren die Barcode-Etiketten als Standard anzusehen sind. Aufgrund ihrer geringen Speicherfähigkeit sowie der Unmöglichkeit der Umprogrammierung werden die Barcode-Etiketten durch die RFID-Technologie zunehmend verdrängt.

Im Vergleich mit herkömmlichen Chipkarten, wie z.B. Bank- oder Telefonchipkarten, die zur Datenübertragung einer mechanischen Kontaktierung bedürfen, bieten die RFID-Systeme den Vorteil der kontaktlosen Übertragung von Daten. Der flexible Einsatz in vielen Anwendungsgebieten des täglichen Lebens drückt sich auch im weltweiten Umsatz der RFID-Systeme aus: Für das Jahr 2009 wird der erwartete Umsatz auf 4,4 Milliarden US$ geschätzt^[1].

Vor diesem Hintergrund beschäftigt sich diese Hausarbeit in einem ersten Teil mit den Grundlagen der Technologie von RFID-Systemen. Ausführungen zu den technischen Komponenten, deren Zusammenwirken sowie zu den Einsatzgebieten bilden die Grundlage für den zweiten Teil, der sich sodann mit Sicherheitsrisiken und bereits entwickelten Abwehrmechanismen beschäftigt. Mit Blick auf den elektronischen Reisepass, in dem u.a. ein RF-Chip zur Sicherheit und zum Schutz der personenbezogenen Daten Verwendung findet, werden die zuvor dargestellten Inhalte an einem praktischen Beispiel erörtert.

Zur Einführung werden im folgenden Kapitel die Komponenten eines RFID-Systems erläutert sowie deren technische Ausprägungen.

7 Grundlagen zur RFID Technologie

Die Radio-Frequency-Identification (RFID) Technologie ist mit der von herkömmlichen Chipkarten (z.B. ec-Karten) eng verwandt. Auch bei RFID werden maschinenlesbare Daten auf einem elektronischen Datenträger abgelegt. Im Gegensatz zur Chipkartentechnologie erfolgt die Stromversorgung des Datenträgers und der Datenaustausch jedoch nicht über direkten Kontakt, sondern mittels magnetischer, bzw. elektromagnetischer Felder^[2]. Die eingesetzte Technologie gleicht der Funk- und Radartechnik. "Die Bezeichnung RFID steht deshalb für […] Identifikation durch Radiowellen."^[3]

"Ein RFID-System besteht grundsätzlich aus zwei Teilen, dem Transponder und dem Lesegerät."^[4] Das Lesegerät hat dabei nicht nur die Aufgabe des Auslesens der Daten, sondern auch der Programmierung und der Steuerung der Kommunikation. Befindet sich der Transponder an beweglichen Objekten, ist das Lesegerät meist stationär dort installiert, wo ein Auslesen durchgeführt werden soll. Zur Kommunikation beider Geräte untereinander, besitzen diese sowohl eine Antenne zum Senden und Empfangen von Signalen, als auch einen Chip zur Interpretation der Radiosignale.

Um einen Überblick über die generellen technologischen Grundlagen von Transpondern und Lesegeräten, sowie die eingesetzten Datenübertragungstechniken zu gewinnen, werden diese Themen in den folgenden Absätzen behandelt. Da die RFID-Technik je nach Anwendungsfeld leicht in ihrem Aufbau und der Übertragungstechnik variieren kann, sollen zunächst die diversen Anwendungsgebiete aufgeführt werden.

7.1 Anwendungsfelder

Durch die kontaktlose Übertragung maschinenlesbarer Daten ergeben sich zahlreiche Anwendungsfelder für die RFID-Technologie. Grundsätzlich dient ein RFID-System der automatischen Identifikation (Auto-ID), dessen Aufgabe die Bereitstellung von Informationen von Menschen, Tieren, Gütern oder Waren ist^[5]. Die folgende Abbildung gibt einen Überblick über die unterschiedlichen Anwendungsfelder von RFID:

7.2 Transponder

"Grundsätzlich gibt es zwei unterschiedliche Transpondertypen sowie Mischtypen beider Typen: aktive und passive Transponder."^[6] Der Transponder ist der eigentliche Datenträger innerhalb eines RFID-Systems. Es handelt sich dabei um eine Baugruppe, die aus einer Antenne und einem Mikrochip besteht. Je nach Frequenzbereich des Transponders besteht dessen Antenne aus einer Spule (induktiv gekoppelter Transponder) oder aus einer Dipolantenne (Mikrowellen-Transponder).

Passive Transponder verfügen über keinerlei eigene Energiequelle. Die zum Betrieb erforderliche Energie wird über die Antenne dem elektrischen bzw. elektromagnetischen Feld entnommen, welches vom Lesegerät erzeugt wird. Außerhalb der Reichweite des Energiefeldes eines Lesegerätes ist ein passiver Transponder völlig energielos und inaktiv. Neben der Energiezufuhr erhält ein Transponder Takt und Daten über das Energiefeld des Lesegerätes^[7].

Aktive RFID-Transponder besitzen eine eigene Energieversorgung in Form einer Batterie oder Solarzelle. Durch die eigene Energiequelle ist es möglich den Chip zu versorgen ohne das Energiefeld eines Lesegerätes in Anspruch zu nehmen. Durch diesen Umstand kann dessen Energiefeld somit deutlich schwächer ausgelegt werden, als jenes, welches zur Kommunikation mit einem passiven Transponder benötigt wird. Trotz der eigenen Energieversorgung eines aktiven Transponders ist dieser nicht in der Lage von selber eine Kommunikation zum Lesegerät aufzubauen. Die eigene Spannung ist dafür nicht ausreichend stark genug und benötigt zur Datenübertragung weiterhin das Energiefeld eines Lesegerätes. Solange sich aktive Transponder außerhalb eines elektrischen oder elektromagnetischen Feldes befinden, sind sie im Ruhezustand^[8].

Üblicherweise verfügen passive RFID-Transponder über eine geringere Reichweite als aktive Typen^[9].

7.2.1 Speicher

Damit es zu einem Datenaustausch zwischen Lesegerät und Transponder kommen kann, benötigt ein RFID-System einen Speicher. Da die Speichergröße letztendlich den Preis eines RFID-Transponders ausmacht, kommt es zur Anwendung unterschiedlicher Speichersysteme im RFID-Kontext. Zu unterscheiden sind folgende Typen:

• Festcodierte Read-Only Datenträger oder
• mehrfach beschreibbare Speicher.

Beim Einsatz von Read-Only Speichern lässt sich lediglich die Identität des Objektes definieren. Weitere Objektdaten sind in diesem Falle in einer zentralen Datenbank gespeichert, mit der das RFID-System verbunden ist. Sollen Daten dezentral auf dem Transponder abgelegt werden, werden Transponder mit sog. "Electrically Erasable Programmable Read Only Memory" (EEPROM) oder "Random Access Memory" (RAM) Technologie benötigt^[10]. Je nach Technik ist die Anzahl der Schreibzugriffe beschränkt und die Lebensdauer variiert je nach Umweltbedingungen^[11].

7.2.2 Frequenzbereiche

Wie bereits erwähnt, nutzt die RFID-Technik Radiowellen für den kontaktlosen Informationsaustausch zwischen Lesegerät und Transponder. Damit beide Komponenten untereinander kommunizieren können, müssen deren Sende- bzw. Empfangseinrichtungen auf Funksignale bestimmter Wellenlängen (Frequenzen) ausgerichtet sein.

Die Auswahl der Betriebsfrequenzen für RFID-Systeme ist an unterschiedliche Faktoren gebunden. Zum einen konkurriert RFID durch die identische Übertragungstechnik mit Radiosendern und anderen Funkeinrichtungen. Um Überlappungen und Interferenzen zu vermeiden sind die Frequenzbereiche für RFID und Sendeleistungen staatlich reglementiert. Zum anderen sinkt bzw. steigt die Übertragungsqualität durch die unterschiedlichen Eigenschaften elektromagnetischer Wellen. Mit zunehmender Höhe der Frequenz steigt z.B. die Übertragungsqualität. Gleichzeitig nimmt die Dämpfung des Signals zunehmend ab, was eine kürzere Übertragungsdistanz zur Folge hat. Somit lässt sich keine "ideale" Frequenz für den Einsatz von RFID festlegen, die sämtliche Vorteile vereint. Vielmehr bedarf es unterschiedlicher Frequenzen, um die vielseitigen Anwendungsmöglichkeiten von RFID adäquat abdecken zu können^[12]. Abbildung 4 zeigt relevante Eigenschaften von Frequenzen, die für die Nutzung von RFID freigegeben sind:

Grundsätzlich ist die Wahl des Frequenzbereiches entscheidend für die Leistung der Transponder in Bezug auf Reichweite, Lese- / Programmiergeschwindigkeit und dessen Baugröße und somit einer der wichtigsten Faktoren bei der Auswahl des Systems^[13].

Die derzeit für RFID verfügbaren Frequenzen lauten:

• Langwelle (LW): 125 - 135 Kilohertz (kHz),
• Kurzwelle (KW): 13,56 Megahertz (MHz),
• Ultra-High-Frequency (UHF): 868 MHz & 915 MHz,
• Industrial, Scientific, and Medical Band (ISM): 2,4 Gigahertz (GHz) & 5,8 GHz.

7.2.3 Übertragungsarten und -techniken

"Für die Kopplung zwischen Transponder und Leser werden drei verschiedene Verfahren verwendet: die kapazitive Übertragung durch ein elektrisches Feld, die induktive über ein magnetisches Feld und das sog. "Backscatter-Verfahren", das aus der Radartechnik übernommen wurde und ein elektromagnetisches Feld nutzt".^[14] Je Verfahren lassen sich unterschiedliche Reichweiten für eine Signalübertragung zwischen Lesegerät und Transponder erreichen. Folgende Abbildung gibt einen Überblick über die möglichen Distanzen und die typischen Frequenzbereiche der drei Varianten.

Als "Close Coupling" werden Systeme mit sehr kleiner Reichweite bezeichnet. Typischerweise liegt die maximale Reichweite dieser RFID-Kategorie bei ca. 1 Zentimeter. Zur Kopplung muss der Transponder entweder in das Lesegerät eingesteckt oder an einen festdefinierten Platz positioniert werden. "Close-Coupling"-Systeme kommen bei hohen Sicherheitsanforderungen an die Infrastruktur und niedrigen Reichweiten zum Einsatz. RFID-Systeme mit Reichweiten von bis zu 1 Meter werden unter dem Begriff "Remote-Coupling-Systeme" zusammengefasst. "Long-Range-Systeme" werden RFID Systeme bezeichnet, deren Reichweite mehr als 1 Meter betragen. Bei passiven Transpondern können derzeit Reichweiten von bis zu 3 Metern erreicht werden. Kommt es zum Einsatz von aktiven Transpondern, kann die Reichweite auf bis zu 15 Meter ausgedehnt werden. "Long-Range-Systeme" arbeiten alle mit Frequenzen im UHF- bzw. Mikrowellenbereich^[15].

Neben der Übertragungsart eines RFID-Systems ist dessen Übertragungstechnik für eine Kommunikation von Bedeutung. Transponder lassen sich in drei unterschiedliche Verfahren einteilen: Halbduplexverfahren (HDX), Vollduplexverfahren (FDX) und sequentielle Systeme (SEQ). Beim HDX verläuft die Kommunikation vom Lesegerät zum Transponder (Downlink) zeitversetzt zu einer Kommunikation des Transponders zum Lesegerät (Uplink). Das bedeutet, dass eine Kommunikation innerhalb eines Zeitabschnittes immer nur in eine Richtung erfolgen kann. Die Energieversorgung des Transponders erfolgt dabei kontinuierlich. Bei FDX können der Up- und Downlink gleichzeitig innerhalb eines Zeitabschnittes erfolgen. Zur Trennung des zeitgleichen Up- und Downlink werden unterschiedliche Frequenzen eingesetzt. Beide Verfahren haben eine ununterbrochene Energieversorgung des Transponders gemeinsam. Bei SEQ erfolgt die Kommunikation auf gleiche Art und Weise wie bei HDX. Im Gegensatz zu HDX erfolgt die Energieversorgung des Transponders allerdings nur während der Downlinkphasen^[16]:

7.2.4 Mehrfachzugriffsverfahren

Innerhalb eines RFID-Systems kommt es häufig vor, daß sich mehrere Transponder gleichzeitig im Ansprechbereich des Lesegerätes befinden. "In einem solchen System - bestehend aus einer "Kontrollstation", dem Lesegerät und einer Vielzahl von "Teilnehmern", den Transpondern - können zwei grundsätzlich verschiedene Formen der Kommunikation unterschieden werden: [...]".^[17]

1. Der Rundfunk (Broadcast)
2. Der Vielfachzugriff (multi-access)

Für die Übertragung von Informationen der Kontrollstation an alle Teilnehmer wird der Broadcast eingesetzt. Der gleichzeitige Empfang der Information durch alle Teilnehmer im Einflussbereich der Kontrollstation ist die Folge. Das Verfahren ist vergleichbar mit der Rundfunktechnologie^[18].

Zum Vielfachzugriff kommt es, sofern Daten von mehreren Teilnehmern an die Kontrollstation übertragen werden sollen. Dafür ist es notwendig die Kommunikation zwischen Lesegerät und einem dedizierten Transponder zu kanalisieren und die insgesamt offenen Kanäle voneinander zu trennen. Zur Trennung der Signale unterschiedlicher Teilnehmer im Einflussbereich des Lesegerätes gibt es drei prinzipiell verschiedene Verfahren^[19]:

• Raummultiplex, engl. space division multiple access (SDMA)
• Frequenzmultiplex, engl. frequency domain multiple access (FDMA)
• Zeitmultiplex, engl. time domain multiple access (TDMA)

Bei SDMA wird der Ansprechbereich des Lesegerätes in mehrere Bereche aufgeteilt. Am Lesegerät muss eine elektronisch steuerbare Richtantenne angebracht werden, deren Richtkeule direkt auf einen Transponder ausgerichtet werden kann. Anhand der Winkelposition des Transponders zum Lesegerät können die einzelnen Teilnehmer unterschieden werden^[20].

Über FDMA hingegen werden mehrere gleichzeitige Übertragungskanäle über unterschiedliche Frequenzen realisiert. Die Energieversorgung der Transponder und die Übertragung von Steuersignalen via Broadcast erfolgt auf einer festgelegten Frequenz "fa" des Lesegerätes statt. Die Antwort eines Transponders kann dann über eine von mehreren verfügbaren Anwortfrequenzen "f1" ... "fN" erfolgen. Uplinks und Downlinks können daher in unterschiedlichen Frequenzbereichen übertragen werden^[21].

Wird die gesamte zur Verfügung stehende Kanalkapazität zwischen Kontrollstation und allen Teilnehmern im Ansprechbereich zeitlich aufgeteilt, so spricht man vom TDMA. Dabei steht den einzelnen Teilnehmern der Übertragungskanal immer nur für einen äußerst kurzen Zeitraum zur Verfügung. Nach diesem Zeitraum kann dann der nächste Teilnehmer übertragen. TDMA ist das mit Abstand am häufigsten eingesetzte Verfahren des Mehrfachzugriffs und der Antikollisionsverfahren in der RFID-Übertragung^[22].

7.3 Ausführungen

Die bisher aufgeführten und beschriebenen Techniken, Verfahren und Methoden zur Kommunikation, bzw. Datenübertragung zwischen Lesegeräten und Transpondern kommen in zahlreichen unterschiedlichen Anwendungsgebieten zum Einsatz. Aufgrund der jeweils speziellen Anforderungen eines Einsatzbereiches an die Bauweise und Technik eines Lesegerätes oder Transponders, kommen diese in diversen Formen zum Einsatz, die im folgenden aufgeführt werden.

7.3.1 Transponder

Die Bauform eines Transponders variiert bei der integrierten Schaltung (dem Chip), der Antenne und der sog. "Verkapselung"^[23]. Bei der Verkapselung handelt es sich hauptsächlich um einen Schutz des Transponders vor Umwelteinflüssen. Sie übernimmt zum Teil jedoch auch statische Funktionen, wie z.B. bei Kunststoffkarten. Dort sorgt die Schutzhülle auch dafür, dass der Transponder beim Auslesen durch ein Lesegerät immer korrekt positioniert ist. Bei den Transpondern "[..] können fünf Gruppen unterschieden werden [...], wobei heute Glaskapseln, Etiketten, Plastikkarten und Kunststoffkapseln die Mehrheit bilden. Unter den Sonderformen sind Uhren mit integrierten Transponder, sog. Tokens (Schlüsselanhänger) und "Coil on Chip" zu finden. Bei Letzteren befindet sich die Antenne gleich mit auf dem Chip."^[24]

Transponder in Form von Glaskapseln wurden vor allem zur Identifikation von Tieren entwickelt. Die Kapsel wird dem Tier über ein sog. Applikationsgerät unter die Haut injiziert. Das Glas bietet als Hülle des Transponders einen hervorragenden Schutz vor Feuchtigkeit. Eine mechanische Festigkeit wird zusätzlich dadurch geschaffen, daß die Freiräume zwischen Glasmantel und Transponder mit einem Weichkleber ausgefüllt werden^[25].

RFID-Etiketten sind heute die am weitesten verbreitete Variante von Transpondern. Diese werden auf den später zu identifizierenden Gegenstand geklebt (Aufklebeetikett) oder angehangen (Anhängeetikett). Beide Formen lassen sich bedrucken, was eine Vereinfachung der Einführung von RFID in ein bestehendes Identifikationssystem bedeutet, da z.B. eine Identifikation über das Auslesen gedruckter Informationen weiterhin möglich ist^[26].

Karten unterscheiden sich zu anderen Bauformen darin, dass der Transponder beidseitig von einer flexiblen Plastik- oder Papierschicht umschlossen wird. Die häufigste Form ist die sog. ISO-Karte, welche nach der Internationalen Organisation für Normung, engl. International Organization for Standardization (ISO) Abmessungen von 86 x 52 mm aufweist. Zahlreiche Variationen in Abmessung und Form sind bei Papierkarten zu beobachten, die z.B. als Eintrittskarten eingesetzt werden^[27].

Plastikgehäuse kommen bei hohen mechanischen Anforderungen zum Einsatz. Vorteilhaft wirkt sich der Umstand aus, dass das Gehäuse problemlos in andere Bauformen integriert werden kann. Die Autoindustrie bedient sich dieses Vorteils bspw. bei der elektronischen Wegfahrsperre, in dem ein Transponder in den Autoschlüssel eingebaut wird^[28].

Für die unüberschaubare Anzahl an Sonderformen von RFID-Transpondern sollen an dieser Stelle nur einige wenige Beispiele zur Veranschaulichung gegeben werden. Alle Sonderformen ähneln den bereits genannten Transpondervarianten. Der Unterschied liegt in einzelnen Zusatzfunktionen, die diese Transponder bieten. So wurden für den Transport von verderblichen Gütern Transponder in Etikettenform entwickelt, die sowohl einen Temperatursensor, als auch eine Batterie enthalten und permanent die Temperatur aufzeichnen. Ein Unterschreiten eines Schwellwertes, was eine Unterbrechung der Kühlkette bedeuten würde, kann durch den Einsatz solcher Transponder vermieden werden. Eine andere Sonderform bilden die Textiletiketten, die wasch-, knick- und temperaturbeständig sind. Diese werden beim Umgang mit Textilien eingesetzt, um z.B. Lieferungen zu überwachen oder Reinigungen zu organisieren. Als letzte hier aufgeführte Sonderform soll RFID-Uhren genannt werden. Diese dienen der komfortablem Personenidentifikation, da der Transponder direkt in die Uhr, bzw. das Armband integriert wird und somit kein zusätzlicher Chip in Form einer Karte o.ä. mitgenommen werden muss^[29].

7.3.2 Lesegeräte

RFID-Lesegeräte lassen sich grundsätzlich in zwei Kategorien aufteilen:

• Stationäre Lesegeräte und
• Mobile Leser.

Bei beiden Bauformen sind in den unterschiedlichen Frequenzbereichen vertreten. Lediglich Unterschiede bei der Lesedistanz, der Erkennungssicherheit, sowie der Unterstützung mehrerer Transponder im Ansprechbereich des Lesegerätes sind zu beachten. Handlesegeräte müssen zur Gewährleistung der Mobilität zusätzlich eine eigene Energieversorgung in Form einer Batterie oder Akkus besitzen. Um die vom Chip ausgelesenen Daten bspw. mit einer nachgeschalteten Datenbank abzugleichen, muss das mobile Lesegerät auch über Möglichkeit zur Kommunikation mit dieser sog. Middleware besitzen. Dies kann entweder drahtgebunden per Kabel oder drahtlos z.B. per WLAN erfolgen^[30].

Stationäre Lesegeräte unterscheiden sich in ihrer Bauform, sowie der eingesetzten Antenne. "Einzelantennen sind für die meisten Anwendungen ausreichend. Tendenziell nimmt die Lesereichweite mit der Größe der Antennenfläche zu (sowohl beim Lesegerät, als auch beim Transponder). Allerdings wird die Sendeleistung beschränkt und der Transponder wird zum limitierenden Faktor, weil er nicht mehr Energie aufnehmen und ein stärkeres Rücksignal senden kann".^[31] Zusätzlich nimmt die Empfindlichkeit der Leseantennen mit zunehmender Größe zu, so dass eine einfache Vergrößerung der Antennen keinen Sinn^[32]. Der Tunnel-Leser ist eine weitere Bauform stationärer Leser. Sie kommen i.d.R. zusammen mit einem Förderband zum Einsatz, auf welchem die zu identifizierenden Gegenstände transportiert werden und welches durch den Tunnel-Leser führt. Der Ansprechbereich des Lesers ist speziell auf die Laufrichtung des Bandes ausgerichtet und die Sendeleistung kann im Inneren des Lesers verstärkt werden ohne die die gesetzlichen Normen außerhalb zu verletzen. Diese Bauform wird bspw. an Flughäfen zur Identifikation von Gepäckstücken genutzt^[33]. Die am weitesten Verbreitete Art von Lesern ist der Durchgangsleser für Personen. Diese RFID-Gates können eine Lesereichweite von 90 cm bis 1m aufweisen. Um größere Durchgangsbereiche abdecken zu können, ist eine Reihenschaltung von bis zu drei Antennen möglich. Ist dieser Bereich weiterhin unzureichend für eine komplette Abdeckung eines Durchgangsbereiches, kommt es zum Einsatz einer zweiten Reihenschaltung. Zwischen beiden Reihen muss dabei ein größerer Abstand gewahrt bleiben, damit es nicht zur Kopplung beider Felder kommt. Dieser größere Bereich muss für den Durchgang gesperrt sein^[34].

7.4 Anwendungsbeispiele

Wie bereits beschrieben bietet die RFID-Technologie durch die Möglichkeit der kontaktlosen Identifikation zahlreiche Vorteile, die bereits in den unterschiedlichsten Anwendungsfeldern (vgl. Kapitel 7.1: Anwendungsfelder) genutzt werden. Um die Vielfältigkeit und Potentiale der RFID-Technologie in den unterschiedlichsten Lebens- und Wirtschaftsbereichen aufzeigen zu können, werden in der folgenden Tabelle einige ausgewählte Anwendungsbeispiele hinsichtlich des Einsatzes und der Wirkung von RFID beschrieben:

8 RFID-Systeme, Sicherheitsrisiken und Gegenmaßnahmen

Wie aus den in Tabelle 1 aufgelisteten Anwendungsmöglichkeiten von RFID-Systemen ersichtlich haben sich die sog. Funketiketten mittlerweile nicht nur gegen den Barcode oder andere Methoden durchgesetzt, sondern auch in vielen sicherheitsrelevanten Bereichen Einzug gehalten: Zugangskontrollen zu Gebäuden, Identifikation per Autoschlüssel, Erkennung von Nutztieren oder die Containerverfolgung sind nur einige Beispiele hierfür^[36]. Solche Anwendungen bedingen Sicherheitsfragen, die in zwei Kategorien unterteilt werden können: Informationssicherheit und Datenschutz.

Während sich die Informationssicherheit mit dem weitreichenden Schutz gegen Manipulation oder unberechtigte Einsicht in gespeicherte oder übertragene Daten beschäftigt, stehen beim Datenschutz die personenbezogenen Daten und die Frage der Nachverfolgung und Profilbildung durch unbemerktes Auslesen von RFID-Chips mit Bezug zu dieser Hausarbeit im Vordergrund.

Zu den Gefahren, denen auch alle anderen Systeme der Informationstechnik ausgesetzt sind, zählen u.a. das Fälschen der gespeicherten Daten, das Klonen von Daten sowie das Abhören, Blocken oder Stören der Funkübertragung^[37], wie aus den nachfolgenden Ausführungen ersichtlich wird.

8.1 Mögliche Angriffsarten

Ein Angriff auf ein RFID-System kann grundsätzlich auf den Transponder, das Lesegerät oder die Luftschnittstelle erfolgen^[38]. Die Hintergrundsysteme, an die Lesegeräte angeschlossen sind und auf denen eine mögliche Datenspeicherung zur Identifikation der eingelesenen Chip-Informationen stattfindet, werden in dieser Hausarbeit nicht berücksichtigt. Die Abb. 8 gibt eine Übersicht über die grundlegenden Angriffsarten, die aus differenten Motivationen heraus begründet werden.

Werden solche Angriffsarten nach dem Zweck klassifiziert, ergeben sich die nachstehenden vier Kategorien:

Ausspähen: Hierbei will der Angreifer sich unberechtigten Zugang zu Informationen verschaffen.

Täuschen: Der Angreifer versucht unzutreffende Informationen in das System einzuspeisen. Dabei hat er die Absicht, die aktive Partei (den Betreiber) oder die passive Datei (den Benutzer) zu täuschen.

Denial of Service: Es wird Einfluss auf die Verfügbarkeit des Systems genommen.

Schutz der Privatsphäre: In diesem Fall handelt der Angreifer zum Schutz seiner eigenen Privatsphäre, da er sich durch das RFID-System bedroht fühlt^[39].

Zwischen den einzelnen Bestandteilen eines RFID-Systems gibt es drei Beziehungen, deren Sicherheit die Voraussetzung für die Integrität des Gesamtsystems ist. Erstens die Beziehung zwischen dem Transponder und den darauf gespeicherten Daten; zweitens die Beziehung zwischen dem Transponder und dem Trägerobjekt; drittens die Beziehung zwischen dem Transponder und dem Lesegerät, auch als Luftschnittstelle bezeichnet^[40].

Zunächst werden die verschiedenen Angriffsarten auf dem Transponder erläutert, bevor entsprechende Ausführungen zur Sicherheit der Luftschnittstelle dargelegt werden.

8.1.1 Angriffe auf den Transponder

Auf den Transponder können unterschiedlich wirksame Angriffe ausgeübt werden.

Zerstören: Die einfachste Form des Angriffs ist das Zerstörn des RFID-Chips. Dies kann mit chemischen Mitteln oder mechanisch wie z.B. durch einen Hammerschlag geschehen^[41].

Verstimmen oder Abschirmen: Frequenzverstimmungen können durch Metall, Wasser oder Ferrit in der Nähe der Tag-Antenne verursacht werden. In der Wirkung sind Abschirmungen jedoch effektiver. Hierbei werden die Tags elektromagnetisch abgeschirmt, so z.B. durch Einwickeln in metallische Folie. Bei induktiv gekoppelten Transpondern wird dadurch der Antennenschwingkreis stark verstimmt. Dazu wird das magnetische Feld des Lesegerätes gedämpft. Ein passiver Transponder wird durch Abschirmung ggf. erst gar nicht mit Energie versorgt^[42].

Emulieren und Klonen: Bei dieser Methode werden mit den auf einem Transponder gespeicherten Daten eigene Duplikate nachgebaut. Damit wird die Identität des Original-Tags vorgetäuscht. Zudem ist der Einsatz von Geräten vorstellbar, die in der Lage sind beliebige Tags zu emulieren, wenn der Dateninhalt des Transponders erfolgreich ausgelesen worden ist.

8.1.2 Angriffe auf die Luftschnittstelle

Da es sich bei den RFID-Systemen um Funksysteme handelt, die über elektromagnetische Wellen kommunizieren, scheint es für einen Angreifer am einfachsten über die Luftschnittstelle anzugreifen. Hierfür benötigt er keinen direkten Kontakt mit dem Lesegerät oder dem Transponder und kann aus einer gewissen Entfernung agieren. Die bekannten Angriffe in diesem Bereich sind die folgenden:

Abhören der Kommunikation: Hierbei wird die Kommunikation durch Auffangen und Dekodieren der Funksignale abgehört. Dieser Angriff ist mit einfachen Mitteln möglich und stellt daher eine der spezifischen Bedrohungen der RFID-Technologie dar. Das Abhören der Luftschnittstelle wird mit zunehmender Reichweite des Transponders einfacher^[43].

Störsender: In diesem Fall wird die Kommunikation zwischen Transponder und Lesegerät mittels Aussenden eines Störsignals unterbrochen. Beim Störsender handelt es sich um eine Funkanlage. Der Betrieb einer solchen Anlage ist illegal^[44].

Lesen mit vergrößerter Lesereichweite: Diese Methode ist für einen Angreifer reizvoll, da dieser aus sicherer Entfernung einen Transponder auslesen kann. Allerdings ist das hierfür erforderliche technische Equipement teuer und es bedarf eines speziellen Expertenwissens. Des Weiteren stellt die räumliche Zuordnung der Signale ein Problem dar, da sich Signale aus unterschiedlichen Quellen überlagern können^[45].

Denial of Service (DoS): Hiermit ist gemeint, etwas unzugänglich zu machen oder außer Betrieb zu setzen. Mittels Antikollisionsalgorithmen sind die modernen Lesegeräte in der Lage mit mehreren Transpondern im Ansprechfeld zu kommunizieren^[46]. Bei DoS-Attacken wird für ein Lesegerät die Anwesenheit einer beliebigen Anzahl von Transpondern simuliert - von sog. Blocker-Tags -, so dass das Lesegerät seine Aufgaben nicht mehr bewältigen kann und im Extremfall zusammenbricht. Dabei muss ein Blocker-Tag für das jeweils verwendete Antikollisionsprotokoll ausgelegt sein.

Relay-Attack: Bei dieser Angriffsart versucht der Angreifer die Reichweite zwischen Lesegerät und Transponder zu erhöhen. Das geschieht mit Hilfe von sog. Relais, einer zwischengelagerten Übertragungseinrichtung, die dem Lesegerät die Anwesenheit eines Transponders im Ansprechbereich vortäuscht. Damit können Aktionen ausgelöst werden, die sonst die physikalische Anwesenheit des Transponders am Lesegerät voraussetzen^[47].

Nachdem die variierenden Angriffsmethoden vorgestellt wurden, sollen die folgenden Ausführungen einen Einblick in mögliche Gegenmaßnahmen geben.

8.2 Sicherheitsmaßnahmen durch Kryptografie

Gegen die genannten Angriffe auf ein RFID-System gibt es bereits viele wirkungsvolle Abwehrmechanismen. Diese werden jedoch häufig aus Kostengründen nicht eingesetzt^[48]. In Bereichen wie der Industrieautomation oder Werkzeugerkennung ist das Vernachlässigen der Sicherheitsfunktionen eher unkritisch. In anderen Bereich wie dem Ticketing oder dem elektonischen Reisepass handelt es sich jedoch um sicherheitsrelevante Anwendungen, bei denen ein Verzicht auf Sicherheitsmaßnahmen verheerende Folgen haben kann^[49]. Nachfolgend werden einige kryptologische Verfahren erläutert, die als Abwehrmechanismen dienen können, wobei unter Kryptografie die Wissenschaft der Verschlüsselung von Informationen zu verstehen ist.

8.2.1 Gegenseitige Authentifizierung

Bei einer gegenseitigen Authentifizierung zwischen Transponder und Lesegerät wird die Identität des Transponders bzw. des Lesegeräts überprüft. Dieses Verfahren ist nach dem "Three Pass Mutual Authentication" nach ISO Norm 9798 definiert. Demnach besitzen alle Transponder und Lesegeräte, die zu einer Anwendung gehören, den selben geheimen Schlüssel "S". Sobald sich ein Transponder im Lesebereich eines Lesegerätes befindet, sendet das Lesegerät ein "GET_CHALLENGE"-Kommando an das TAG. Als Antwort erhält das Lesegerät eine vom Transponder generierte Zufallszahl "Z1". Das Lesegerät erzeugt seinerseits auch eine Zufallzahl "Z2" und generiert aus "Z1" und "Z2" mit Hilfe eines Verschlüsselungsalgorithmus und dem geheimen Schlüssel "S" einen Datenblock "Token 1" und sendet diesen an den Transponder. Letzterer entschlüsselt den Token und vergleicht seine Zufallzahl "Z1" mit der Zufallzahl aus den entschlüsselten Daten. Im Falle eines positiven Vergleichs werden die Daten vom Transponder freigegeben. Die Authentifizierung des Transponders erfolgt analog zum Lesegerät. Die Abb. 9 gibt eine Übersicht über den Ablauf einer gegenseitigen symmetrischen Authentifizierung.

Nachteil dieses Verfahrens ist, dass alle Tansponder, die zu einer Anwendung gehören, den selben geheimen Schlüssel "S" besitzen und dadurch bei Anwendungen mit vielen beteiligten Transpondern die Gefahr der Manipulation besteht. Denn je mehr Transponder den selben Schlüssel verwenden, desto größer ist die Gefahr, dass dieser extrahiert werden kann. Eine deutliche Verbesserung bietet die Authentifizierung mit abgeleiteten Schlüsseln.

8.2.2 Authentifizierung mit abgeleiteten Schlüsseln

Bei diesem Verfahren erhält jeder Transponder seinem eigenen geheimen Schlüssel. Der Schlüssel wird mit Hilfe eines kryptologischen Algorithmus und einem sog. Masterschlüssel aus der Seriennummer (ID-Nummer) des Transponders abgeleitet. Das Lesegerät berechnet seinerseits den Schlüssel des betroffenen Transponders, indem es die ID-Nummer des Transponders und den intern vorhandenen Masterschlüssel verwendet. Dabei ist der Masterschlüssel im Lesegerät in einem Sicherheitsmodul namens SAM (security authentification module) besonders geschützt abgelegt und kann somit niemals ausgelesen werden. Als SAM kommen in der Regel kontaktbehaftete Chipkarten mit einem Kryptoprozessor zum Einsatz. Der Schlüssel ist nun sowohl dem Lesegerät als auch dem Transponder bekannt. Damit wird nun das Challenge-and-Response-Verfahren abgewickelt. Die Abb. 10 zeigt den Ablauf einer Authentifizierung mit abgeleiteten Schlüsseln, bei dem zunächst aus der Seriennummer (ID-Number) des Transponders ein transpondereigener Schlüssel im Lesegerät berechnet wird. Dieser Schlüssel muss dann zu Authentifizierung eingesetzt werden^[50].

8.2.3 Verschlüsselte Datenübertragung

Bei der Datenübertragung müssen sowohl passive als auch aktive Angreifer abgewehrt werden. Der passive Angreifer will die Daten ausspähen. Der aktive Angreifer versucht zusätzlich die Daten auch zu manipulieren. Diese beiden Angriffsvarianten sind in Abb. 11 dargestellt.

Um Angriffe auf die Übertragung von Daten abzuwehren, werden diese verschlüsselt. Dazu werden die Sendedaten (Klartext) unter Verwendung eines geheimen Schlüssels sowie eines geheimen Algorithmus in Chiffredaten (Chiffretext) umgewandelt. Für den Angreifer sind somit die abgehörten Daten ohne den geheimen Schlüssel und den dazugehörigen Algorithmus nutzlos. Der Empfänger dagegen ist im Besitz des geheimen Schlüssels sowie des entsprechenden Algorithmus und kann die Daten wieder entschlüsseln.

Alle vorgenannten Sicherheitsmaßnahmen finden in dem anschließend dargestellten Fallbeispiel des elektronischen Reisepasses Anwendung, wenn auch in unterschiedlichen Ausprägungen.

9 Fallbeispiel elektronischer Reisepass mit RF-Chip

Auch der neue elektronische Reisepass (ePass) wird mit einem kontaktlosen RF-Chip ausgestattet, wobei es sich dabei um einen zertifizierten Sicherheitschip mit kryptografischem Koprozessor handelt. Auf diesem werden neben den bisher üblichen Passdaten auch biometrische Merkmale wie das Gesichtsbild und seit November 2007 zusätzlich Fingerabdrücke gespeichert. Durch diese Maßnahmen soll einerseits die Fälschungssicherheit erhöht und anderseits der Missbrauch des Passes durch ähnliche Personen verhindert werden. Die Standardisierung der grundlegenden technischen Spezifikationen für elektronische Reisedokumente wird von der International Civil Aviation Organization (ICAO) der Vereinten Nationen übernommen.

Einen Überblick über die auf einem derartigen RF-Chip vorgehaltenen Daten(-gruppen) gibt die Abb. 12. Auf dem deutschen Reisepass werden die Datengruppen 1 = Personendaten, 2 = Gesichtsbild, 3 = Fingerabdrücke und 14 = Chip Authentication Public Key gespeichert, die übrigen Datengruppen sind optional. Nachdem die personenbezogenen Daten während der Produktion auf dem Chip aufgebracht wurden, sind diese nicht mehr veränderbar.

In den folgenden Kapiteln werden einige wichtige Sicherheitsrisiken der RF-Chips sowie die entsprechenden Vorkehrungen bzw. Gegenmaßnahmen am Fallbeispiel des elektronischen Reisepasses dargestellt.

9.1 Unberechtigte Benutzung

Der unberechtigten Nutzung von elektronischen Reisepässen durch andere, ähnlich aussehende Personen wird durch die Speicherung von biometrischen Merkmalen auf dem Chip entgegengewirkt und somit die Bindung des Passes an den legitimen Inhaber gestärkt. Es besteht nunmehr die Möglichkeit, Gesichtsbild und Fingerabdrücke durch entsprechende Systeme zu verifizieren. Zusätzlich dienen kryptografische Mechanismen dazu, die Authentizität der Daten zu gewährleisten und unerlaubte Zugriffe auf sie zu verhindern.

9.2 Fälschung von Daten

Mit den biometrischen Erkennungssystemen ist die eindeutige Identifizierung und Authentifizierung von Personen verbunden. Für Unbefugte sollen keine Möglichkeiten bestehen, als Berechtigte akzeptiert zu werden. Da beim elektronischen Reisepass die biometrischen Daten wie z.B. das Gesichtsfeld unverschlüsselt auf dem RF-Chip abgelegt werden und stattdessen nur die Kommunikation mit dem Lesegerät verschlüsselt erfolgt, liegt die Überlegung nahe, mit einem anderen Namen, einem neuen Lichtbild oder gefälschten Fingerabdrücke eine Fälschung von Daten nach Entschlüsselung des Kommunikationsweges herbeiführen zu können^[51].

Mit Blick auf ein solches Fälschungsvorgehen ist anzuführen, dass die Authentizität der im RF-Chip gespeicherten Informationen über eine elektronische Signatur gesichert ist, die von einem Lesegerät während des Kontrollvorgangs verifiziert wird. Eine solche Signatur wird ausschließlich mit dem privaten Schlüssel des Passproduzenten generiert, sodass eine Manipulation der Daten als auch eine unechte Signatur während der Überprüfung ad hoc auffallen würde.

Neben der zuvor beschriebenen passiven Authentisierung, die die Echtheit der gespeicherten Daten garantiert, kann durch einen zusätzlichen Mechanismus auch die Authentizität des RF-Chips selbst sichergestellt werden. Hierzu muss der Chip dem Lesegerät gegenüber seine Echtheit nachweisen. Dazu wird in einem sicheren, nicht auslesbaren Bereich des RF-Chips ein individueller privater Schlüssel gespeichert. Der passende öffentliche Schlüssel wird hingegen in einer durch passive Authentisierung geschützten Datengruppe verfügbar gemacht. Durch diese Vorgehensweise kann der private Schlüssel vom RF-Chip für die Authentisierung verwendet, aber im Gegensatz zu den restlichen Daten nicht kopiert werden.

Darüber hinaus sind die wichtigsten personenbezogenen Daten sowohl auf dem RF-Chip (in der Datengruppe 1) als auch auf der maschinenlesbaren Datenseite (MRZ) des Reisepasses abgedruckt. Ohne Kenntnis der MRZ ist ein Zugriff auf die Chip-Daten gemäß Basic Access Control (BAC)^[52] nicht möglich, die damit selbst als Zugriffsschlüssel dient. Die folgende Abb. 13 gibt einen Überblick über die Realisierung von Basic Access Control.

Insofern bedürfte es nicht nur der Fälschung der Chip-Daten sondern auch gleichzeitig der passenden Datenseite im Reisepass.

9.3 Abhören der Kommunikation

Hierunter wird das "passive Mitlesen" der Kommunikation zwischen Lesegerät und Transponder verstanden (siehe Kapitel 8.1.2), wodurch die Vertraulichkeit der Passdaten gefährdet werden kann. Generell bestimmen zwei Faktoren maßgeblich die Sicherheit gegen passives Mitlesen: Einerseits die Entfernung zu den RFID-Komponenten, andererseits die Stärke der Verschlüsselung der Kommunikation.

In einer vom BSI durchgeführten Studie wurden mittels aufwändiger Messungen belastbare Ergebnisse zum Faktor Entfernung erzielt^[53]. Demnach ist ein Abhören der Kommunikation bis zu einer Entfernung von 2 Metern möglich, ab 3 Metern jedoch nicht mehr.

Bzgl. der Stärke der Kommunikationsverschlüsselung wird zwar ein 112 Bit starke symmetrischer Sitzungsschlüssel verwendet, dieser wird jedoch im Rahmen des BAC-Protokolls mit einem nur 56 Bit starken Zugriffsschlüssel zu Beginn des Dialoges zwischen Lesegerät und RF-Chip ausgetauscht.

Mit speziellen Abhöreinrichtungen in der Nähe von Lesegeräten ist es gelungen, den Dialog mit dem Transponder aufzuzeichnen und aus den Niederlanden wird berichtet, dass der 56-Bit-Schlüssel beim Kommunikationsaufbau nach 2 Stunden geknackt wurde^[54]. Am 03.08.2006 veröffentlichte heise.de eine Meldung, nach der es Lukas Grunwald gelungen sei, einen deutschen biometrischen Pass auszulesen und diesen zu kopieren^[55]. Elektronische Pass-Lesegeräte könnten ein solches Dokument nicht von einem Original unterscheiden. Allerdings wird eingeräumt, dass eine Änderung von Daten wie z.B. Name und Geburtsdatum nicht möglich seien, da hierfür zusätzliche Kryptoschlüssel zu entschlüsseln wären. Auch die Vergleiche des Lichtbildes und der aufgedruckten Daten im Reisepass mit den gespeicherten Chip-Daten z.B. durch einen Grenzbeamten würden die Manipulationen offen legen.

9.4 Erstellung von Bewegungsprofilen

In einigen Bereichen ist die Aufzeichnung von Ortskoordinaten eines RFID-Chips die gewünschte Anwendung schlechthin. Hierdurch können z.B. Waren von der Produktion bis zum Kunden praktisch verfolgt werden. Ein Umstand, der im Zusammenhang mit dem elektronischen Reisepass aus Datenschutzgründen zu verhindern ist.

Mittels der Spezifikationen für kontaktlose Chipkarten nach ISO 14443 wird eine Erstellung von Bewegungsprofilen ausgeschlossen. Durch die Verwendung von zufälligen Chip-Unique-IDs, die beim deutschen Reisepass maßgeblich sind, ist eine Erstellung von Bewegungsprofilen nicht möglich. Immer dann, wenn der Chip in das Feld eines Lesegerätes eingeführt und mit Spannung versorg wird, wird die Chip-UID nach dem Zufallsprinzip neu generiert.

10 Fazit

Speziell die Ausführungen im ersten Teil dieser Hausarbeit haben einen Überblick über die RFID-Technologie vermittelt. Diese Form der Speicherung maschinenlesbarer Daten auf elektronischen Datenträgern verbunden mit dem Vorteil der kontaktlosen Anwendung hat sich in den letzten Jahren zu einer ausgereiften Technik entwickelt. Ein Beleg hierfür sind die mannigfaltiten Anwendungsfelder von RFID-Systemen: Sei es die einfache Kennzeichnung von Tieren oder Gegenständen bis hin zu schutzbedürftigen Anwendungsgebieten wie dem elektronischen Reisepass.

Die Varianz der eingesetzten Technik - z.B. aktive oder passive Transponder mit EEPROM oder RAM, die unterschiedlichen Übertragungsarten / -techniken sowie die je nach Einsatzzweck optimierten Bauformen - findet ihr Spiegelbild in den vielfältigen Anwendungsgebieten, wie sie in Kapitel 7.4 tabellenförmig zusammengefasst wurden.

Das derartige technische Systeme besonders in Einsatzgebieten mit interessanten wie personenbezogenen Daten vor Missbrauch geschützt werden müssen, wird anhand der Angriffsmöglichkeiten auf die unterschiedlichen Komponenten eines RFID-Systems deutlich. Insbesondere die Transponder und die Luftschnittstelle sind Risiken wie einerseits dem Zerstören, Verstimmen, etc. und andererseits bspw. dem Abhören oder der Störung der Kommunikation ausgesetzt. Vor allem die Verfahren der Authentifizierung der Komponenten als auch die verschlüsselte Datenübertragung bieten einen weitreichenden Schutz gegen solche Angriffe.

Anhand des Fallbeispiels ePass, bei dem der Schutzbedarf von personenbezogenen Daten in Verbindung mit biometrischen Merkmalen von Menschen (Gesichtsbild, Fingerabdrücke) als äußerst hoch einzustufen ist, wird deutlich, welche Chancen aber auch Risiken die RFID-Technologie mit sich bringt. Den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik wurden die RFID-Systeme in diesem Fall gerecht, anderenfalls hätte diese Technik nicht Einzug in das hochsensible Anwendungsfeld des elektronischen Reisepasses Einzug gehalten. Abzuwarten bleibt, ob die eingesetzte Technik auch zukünftig der steigender Qualität von Angriffen gewachsen bleibt bzw. welche technischen Weiterentwicklungen dem sich verändernden Schutzbedarf gerecht werden.

11 Fußnoten

1. ↑ vgl. VDC Research Group (2008)
2. ↑ vgl. Finkenzeller (2006), S. 6
3. ↑ Finkenzeller (2006), S. 7
4. ↑ Kern (2006), S. 33
5. ↑ vgl. Finkenzeller (2006),S. 1
6. ↑ BSI (2004), S. 23
7. ↑ vgl. Finkenzeller (2006), S. 23
8. ↑ vgl. Finkenzeller (2006), S. 23f.
9. ↑ vgl. Finkenzeller (2006), S. 8f.
10. ↑ vgl. Finkenzeller (2006), S. 30
11. ↑ vgl. Kern (2006), S. 61
12. ↑ vgl. Kern (2006), S. 41
13. ↑ vgl. Kern (2006), S. 46
14. ↑ Finkenzeller (2006), S. 47
15. ↑ vgl. Finkenzeller (2006), S. 22f
16. ↑ vgl. Finkenzeller (2006), S. 43
17. ↑ Finkenzeller (2006), S. 213
18. ↑ vgl. Finkenzeller (2006), S. 213
19. ↑ vgl. Finkenzeller, S. 213ff.
20. ↑ vgl. Finkenzeller, S. 216
21. ↑ vgl. Finkenzeller (2006), S. 217
22. ↑ vgl. Finkenzeller (2006), S. 218
23. ↑ vgl. Kern (2006), S. 68f.
24. ↑ Kern (2006), S. 68
25. ↑ vgl. Finkenzeller (2006), S. 14
26. ↑ vgl. Kern (2006), S. 71
27. ↑ vgl. Kern (2006), S. 77f.
28. ↑ vgl. Finkenzeller (2006), S. 15f.
29. ↑ vgl. Kern (2006), S. 81
30. ↑ vgl. Kern (2006), S. 86
31. ↑ Kern (2006), S.82
32. ↑ vgl. Kern (2006), S. 83
33. ↑ vgl. Kern (2006), S. 87f.
34. ↑ vgl. Kern (2006), S. 90
35. ↑ In Anlehnung an Kern (2006), S.100ff
36. ↑ vgl. Bartneck (2008), S. 247
37. ↑ vgl. BSI (2004), S. 41
38. ↑ vgl. Witt (2006), S. 175
39. ↑ vgl. BSI (2004), S. 43
40. ↑ vgl. BSI (2004), S. 16
41. ↑ vgl. Finkenzeller (2008), S. 241 f.
42. ↑ vgl. Fleisch et al. (2005) S. 80 f.
43. ↑ vgl. Finkenzeller (2008), S. 244
44. ↑ vgl. Finkenzeller (2008), S. 245
45. ↑ vgl. BSI (2004), S. 55 f.
46. ↑ vgl. Finkenzeller (2008), S. 252
47. ↑ vgl. Finkenzeller (2008), S. 253 f.
48. ↑ vgl. Fraunhofer SIT (2009)
49. ↑ vgl. Finkenzeller (2008), S. 256
50. ↑ vgl. Finkenzeller (2008), S. 258 f.
51. ↑ vgl. Bogan (2008)
52. ↑ vgl. BSI (2005), S. 3
53. ↑ vgl. Finke et al. (2004) S. 9
54. ↑ vgl. Roth (2006)
55. ↑ vgl. Heise (2006)

12 Literatur- und Quellenverzeichnis

[01] Bartneck, Norbert; Klaas, Volker; Schönherr, Holger; Prozesse optimieren mit RFID und Auto-ID: Grundlagen, Problemlösungen und Anwendungsbeispiele, veröffentlicht von Wiley-VCH 2008

[02] Boggan, Steve; Cracked it!: The Guardian, Friday 17 November 2006 http://www.guardian.co.uk/technology/2006/nov/17/news.homeaffairs

[03] BSI - Bundesamt für Sicherheit in der Informationstechnik; Risiken und Chancen des Einsatzes von RFID-Systemen, 1. Auflage, SecuMedia Verlags-GmbH, Bonn 2004

[04] BSI - Bundesamt für Sicherheit in der Informationstechnik; Digitale Sicherheitsmerkmale im elektronischen Reisepass, BSI 01.06.2005

[05] Finke, Thomas; Kelter, Harald; Radio Frequency Identification: Abhörmöglichkeiten der Kommunikation zwischen Lesegerät und Transponder am Beispiel eines ISO14443-Systems, http://www.bsi.de/fachthem/rfid/Abh_RFID.pdf (in German), 2004, abgerufen am 09.06.2009, 20:42h

[06] Finkenzeller, Klaus; RFID Handbuch: Grundlagen und praktische Anwendungen induktiver Funkanlagen, Transponder und kontaktloser Chipkarten, 4. Auflage, Carl Hanser Verlag, München / Wien 2006

[07] Finkenzeller, Klaus; RFID Handbuch: Grundlagen und praktische Anwendungen von Transpondern,kontaktlosen Chipkarten und NFC, 5. Auflage, Carl Hanser Verlag, München 2008

[08] Fleisch, Elgar; Mattern, Friedemann; Das Internet der Dinge: Ubiquitous Computing und RFID in der Praxis, Springer Verlag 2005

[09] Fraunhofer SIT; RFID-Sicherheit und Angriffsmethoden. URL:http://www.rfid-basis.de/rfid-sicherheit.html, Abruf: 09.06.2009, 20:23h

[10] Heise; Sicherheitsexperte führt Klonen von RFID Reisepässen vor. URL:http://www.heise.de/security/Sicherheitsexperte-fuehrt-Klonen-von-RFID-Reisepaessen-vor--/news/meldung/76379, Abruf: 09.06.2009, 20:26h

[11] Kern, Christian; Anwendung von RFID-Systemen, 2. Auflage, Springer Verlag Berlin Heidelberg 2006, 2007

[12] Kügler, Dennis; Naumann, Ingo; Sicherheitsmechanismen für kontaktlose Chips im deutschen Reisepass, DuD - Datenschutz und Datensicherheit 31, 2007

[13] Lampe, Matthias; Flörkemeier, Christian; Haller, Stephan; Einführung in die RFID-Technologie, Institut für Pervasive Computing, ETH Zürich 2005

[14] Melski, Adam; Grundlagen und betriebswirtschaftliche Anwendung von RFID, Arbeitsbericht 11/2006 Georg-August-Universität Göttingen 2006

[15] Roth, Wolf-Dieter; Niederlande: Biometrie-Pass erfolgreich gehackt. 01.02.2006 URL:http://http://www.heise.de/tp/r4/artikel/21/21907/1.html, Abruf: 09.06.2009, 20:54h

[16] Schoblick, Robert; RFID Radio Frequency Identification: Grundlagen, eingeführte Systeme, Einsatzbereiche, Datenschutz, praktische Anwendungsbeispiele, Franzis Verlag 2005

[17] VDC Research Group; URL:http://www.vdcresearch.com/Default_temp.asp, Abruf: 11.06.2009, 16:40h

[18] Witt, Bernhard C.; IT-Sicherheit kompakt und verständlich: Eine praxisorientierte Einführung, Vieweg+Teubner Verlag, 2006

13 Rechtsquellenverzeichnis

[01] Bundesdatenschutzgesetz (BDSG), aktualisierte nicht amtliche Fassung, Stand: 26.08.2006