Schnüffler enttarnen
RFID-Etiketten werden immer preiswerter, und die Verbraucher dürfen sich auf kreative Anwendungen freuen, mit denen Handelskonzerne ihr Konsumverhalten durchleuchten können. Ein wenig Elektronik enttarnt versteckte RFID-Chips.
- Dr. Ralf Schüler
- Tilman Kurz
Die Kundin betritt die Boutique. Die Verkäuferin schielt unauffällig auf den Monitor neben der Kasse. Ah, Frau Meier war schon lange nicht mehr bei uns. Beim Durchlaufen der Eingangstür gibt die Kundenkarte in der Handtasche bereitwillig die Identität an den RFID-Leser preis. Und bei ihren letzten Besuchen hat sie gar nichts gekauft. Die Datenbank erinnert sich an jedes Betreten des Ladens. Na so was, T-Shirt und Unterhemd kommen von der Konkurrenz! Da sollte ich wohl mal auf unser Angebot hinweisen. Auch in den Kleidungsstücken befinden sich RFID-Etiketten. Diese werden zwar eigentlich nach dem Verkauf nicht mehr benötigt, aber wenn sie schon mal da sind und ihre weltweit einmalige Nummer bereitwillig preisgeben ...
Dieses futuristisch anmutende Szenario liegt so fern nicht: Schon 2004 starteten auch hierzulande Testläufe mit RFID-Tags. Für Aufsehen sorgte im letzten Februar der Rheinberger Future Store des Metro-Konzerns, bei dem unter anderem Frischkäse oder Rasierklingen und nicht zuletzt die Kundenkarte drahtlos abgefragt werden [1]. Zwar bremst das Bundesdatenschutzgesetz allzu große Neugierde der Marktforscher, doch es wäre nicht die erste Regelung, die später durch Verordnungen oder Änderungen aufgeweicht wurde - oder schlicht ignoriert wird.
Die technischen Voraussetzungen zur automatischen Konsumentendurchleuchtung existieren längst und sind auch preislich erschwinglich. Bei den Vorteilen, die berührungslos lesbare Etiketten für die Logistik haben, ist eine breite Einführung nur eine Frage der Zeit. Der RFID-Chip selbst ist sehr klein und visuell kaum zu erkennen. Seine Energieversorgung und Kommunikation wickelt er über eine Antenne ab, die - derzeit noch - relativ leicht auffällt. Da sie sehr dünn sein und auch auf flexiblen Trägermaterialien aufgebracht werden kann, dürften die Etiketten nach und nach jedoch immer unauffälliger werden. In der Innenlage einer Kundenkarte ist das Tag sowieso unsichtbar. Wenn man gut versteckte RFIDs nicht mehr zerstörungsfrei finden kann, muss ein elektronischer Helfer her.
Angefunkt
Grundlagen zu den gängigen RFID-Verfahren standen vor knapp einem Jahr in c't [2], weitergehende Details vermittelt [3]. Deshalb beschränken wir uns hier auf die für unser Projekt wichtigen Merkmale. Die interessierenden passiven RFID-Etiketten, die im Handel und der Warenmarkierung Verwendung finden, arbeiten im Kurzwellenbereich bei einer Frequenz von 13,56 MHz. Ein passendes Lesegerät sendet ständig ein Trägersignal aus. Auf dieses Hochfrequenzfeld reagiert nicht nur der RFID-Finder [4], sondern auch ein Etikett. Kommt es nahe genug an das Lesegerät heran, nimmt das Tag über seine Antenne Leistung auf, um seinen Chip zu versorgen.
Da der Chip selbst nicht aktiv sendet, weil er damit deutlich teurer würde und obendrein eine eigene Batterie bräuchte, erfolgt die Informationsübertragung indirekt: Der Chip steuert, wieviel Energie er dem Feld des Lesegeräts entzieht. Da dieser Effekt aus Sicht des Lesegerätes sehr klein ist, erzeugt das Etikett eine hochfrequent pulsierende Laständerung, die das Lesegerät besser herausfiltern kann. Für optimale Energieübertragung ist folglich essenziell, dass die Antenne auf die Arbeitsfrequenz des Lesegerätes abgestimmt ist. Außerdem muss sie genug Fläche haben, dass die aus dem HF-Feld aufgefangene Leistung für den Chip reicht.
Angekoppelt
Zweckmäßigerweise verwendet man als Wellenfänger eine möglichst großflächige Luftspule. Ein zusätzlicher Kondensator direkt auf dem RFID-Chip komplettiert den auf die Betriebsfrequenz abgestimmten Schwingkreis. Da der Chip als Last direkt daran hängt, ist die Schwingkreisgüte recht klein und deshalb seine Bandbreite entsprechend groß. Das erweist sich als Vorteil sowohl für die Massenfertigung der Etiketten (kein teurer Abgleich) als auch für unseren Detektor (keine hohe Frequenzgenauigkeit, leichter Abgleich).
Der Tag-Finder simuliert ein Lesegerät, indem er ein schwaches Feld aussendet. Kommt ein Etikett in Reichweite, dämpft es dieses, was der Detektor feststellt. Seine Schaltung besteht im Wesentlichen aus einem Transistor und einem Komparator (IC1). Der Transistor T1 arbeitet als Oszillator. L1 und C7 bilden einen Parallelschwingkreis und bestimmen die Betriebsfrequenz des Oszillators.
Die Spannung an R4 ist proportional zur Stromaufnahme des Oszillators. IC1 vergleicht die Spannung an R4 mit dem an R6 einstellbaren Referenzwert. Bei Unterschreiten der Referenzspannung leuchtet D1 auf. Das passiert, sobald ein bei 13,56 MHz arbeitendes RFID-Etikett nahe an die auf die Platine gedruckte Spule L1 kommt.
Funkamateure werden das Messprinzip wiedererkennen: Sie benutzen Dipmeter, um die Resonanzfrequenz von Filtern oder Antennen grob auszumessen. Der Name kommt vom Absacken (Dip) eines Zeigers, wenn die Spulenkopplung bei Resonanz Energie aus einem frequenzvariablen Schwingkreis im Dipmeter abzapft.
Unser RFID-„Dipmeter“ ist in der Frequenz indes nur wenig veränderlich und funktioniert folglich nur bei den für Warenkennzeichnung im Handel vorgesehenen 13,56-MHz-Etiketten. Tags nach anderen Standards arbeiten beispielsweise bei 125 kHz, 134 kHz, 9,2 MHz, 869 MHz, 915 MHz und 2,45 GHz (aktive RFID, etwa bei Toll Collect). Zum Aufspüren solcher Etiketten muss man ein eigenes Detektorgerät bauen, das auf die jeweilige Arbeitsfrequenz zugeschnitten ist.
Aufgebaut
Die Materialkosten halten sich in Grenzen, mit etwa zehn Euro ist man dabei. Dank der direkt auf die Leiterplatte gedruckten Spule entfällt fehlerträchtiges Wickeln. Das Bestücken beginnt man mit den SMD-Bauelementen auf der Lötseite der Platine. Sie sind für SMD-Verhältnisse noch handlich und lassen sich auch mit einem herkömmlichen Feinlötkolben gut verarbeiten. Bei den Kondensatoren muss man aufpassen: Da diese nicht beschriftet sind, besteht Verwechslungsgefahr. Am besten nimmt man jeweils nur den einen, gerade zu bestückenden Kondensator aus der Verpackung. Zum Schluss folgen die bedrahteten Bauteile auf der Oberseite.
Zur Inbetriebnahme dreht man zunächst den Einsteller R6 auf Rechtsanschlag (maximal empfindlich). Bei einem Druck auf den Taster muss D1 aufleuchten. Nun verstellt man R6 so weit, dass die Leuchtdiode gerade erlischt. Leuchtet D1 gar nicht auf, ist eine sorgfältige Bestückungs- und Lötstellenkontrolle fällig.
Zum Einstellen der Arbeitsfrequenz greifen Elektroniker mit Hobby-Labor auf einen Frequenzzähler zurück, den sie mit einer Luftspule lose ankoppeln. Alternativ kann der in c't 9/04 vorgestellte RFID-Finder als binärer Frequenzzähler fungieren. Wenn seine Anzeige aufleuchtet, stimmt die Frequenz.
Wer beides nicht besitzt, bedient sich des der Platine beiliegenden RFID-Etiketts: Dieses bringt man auf etwa vier Zentimeter an die Platine heran. Nun verstellt man C7 langsam, bis die LED aufleuchtet. Durch wechselweises vorsichtiges Variieren von R6 und C7 kann man den Punkt der höchsten Empfindlichkeit ansteuern. Falls der Einstellbereich nicht genügt, um den Schwingkreis auf die RFID-Frequenz von 13,56 MHz herunterzuziehen, bestückt man den optionalen Kondensator C1. Die nötige Kapazität - etwa im Bereich von 1 bis 10 pF - muss man dann experimentell ermitteln.
Zum Einstellen ist ein metallischer Schraubendreher ein schlecht geeignetes Werkzeug, weil er beim Berühren des Trimmerkondensators die Frequenz verstimmt. Ideal wäre ein spezielles Abgleichbesteck (Plastikschraubendreher), aber man kann sich auch mit einem Stück eines harten Joghurtbechers behelfen. Kommt man ums Metall nicht herum, muss man den Schraubendreher zwischendurch immer wieder zum Testen vom Trimmerkondensator abziehen.
Angewendet
Nach dem Abgleich ist der Tag-Finder zum Einsatz bereit. Man fährt mit dem Detektor bei gedrücktem Taster die verdächtigen Stellen ab. Gerät er dabei über ein 13,56-MHz-Etikett, leuchtet die LED auf. Der Tag-Finder hat eine Reichweite von ungefähr vier bis fünf Zentimeter. Normales Metall beeindruckt den Sensor nur in unmittelbarer Nähe (unter einem Zentimeter). Das Gleiche gilt für direktes Berühren der Spule. Auch hier würde die LED leuchten. Der Einbau in ein kleines Kunststoffgehäuse verhindert solche Fehldetektionen weitgehend, man kann sie aber als simple Batteriekontrolle nutzen.
Der Detektor funktioniert gut, ist aber mit Seifendosenformat noch etwas klobig, was an den großen Brocken der Schaltung liegt: Batterie und Spule. Letztere kann man nicht beliebig verkleinern, da sie das Koppelelement nach außen ist. Geschickte Entwickler können das Gerät wahrscheinlich - mit Knopfzellen und Step-up-Wandler - noch auf Feuerzeuggröße schrumpfen.
Literatur
[1] RFID beim Einkaufen: Danke, Katherine
[4] Ernst Ahlers, Oliver Bartels, Gegenspionage, RFID-Detektor im Taschenformat
| Stückliste | |
| Widerstände | |
| R1, R2 | 10k |
| R3 | 470 |
| R4 | 47 |
| R5 | 100k |
| R6 | 10k, Trimmer liegend, RM 5 x 10 |
| R7 | 1k |
| alle Widerstände außer R6 SMD-Bauform 1206 | |
| Kondensatoren | |
| C1 | optional, s. Text |
| C2 | 15p |
| C3, C4 | 220p |
| C5, C6 | 100n |
| C7 | Trimmer 3,5...22p, RM5 |
| alle Kondensatoren außer C7 SMD-Bauform 0805 | |
| Halbleiter | |
| D1 | LED 5 mm, rot, Low current |
| T1 | BC817-25, SMD |
| IC1 | LM393, SOT8 |
| Sonstiges | |
| SW1 | Print-Taster mit 10-mm-Betätigungs-stift, z. B. Reichelt „Taster 3301D“ |
| Gehäuse | ca. 125 mm x 70 mm x 30 mm Außenmaß, z. B. Reichelt „SD10sw/gr“ |
| 9-Volt-Blockbatterie, Batterieclip dazu, Platine 0502202B (eMedia) | |
(ea)
