RFID: Hochkontrollierte Welten?

26. November 2004 Jörg Auf dem Hövel

Neue staatliche Studie zu den Risiken und Chancen von "Radio Frequency Identification"

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Die Diskussion um RFID-Systeme ist hitzig, nun legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Studie über "Risiken und Chancen des Einsatzes von RFID-Systemen" vor.

Der Hintergrund: Statt Warenmerkmale über einen Scanner einzulesen, sollen zukünftig die Informationen kontaktlos übertragen werden. Dazu werden an Gebinden oder einzelnen Gütern RFID-Chips (Radio Frequency Identification) angebracht, deren Daten von Antennen ausgelesen werden. Spätestens wenn die RFID-Etiketten vom Lager in den Verkaufsraum gelangen, stellt sich für Hersteller und Händler die Frage, ob und wie der Endverbraucher an die elektronische Warenkette mit angeschlossen werden soll. Datenschützer sehen - ähnlich wie vor 20 Jahren bei der Einführung des Barcode - hochkontrollierte Welten auf die Gesellschaft zukommen.

Abhörbare Funkschnittstelle

Nun also schaltet sich der Staat in die Diskussion ein, die bisher zwischen Industrie, Datenschützern und Bürgern geführt wurde. Schwerpunkt der Untersuchung des BSI ist die Analyse möglicher Bedrohungslagen. Ein Problem von RFID: Die Funkschnittstelle zwischen Antenne und RFID-Chip (Tag) ist abhörbar, dem unberechtigten und dabei auch noch unbemerkten Auslesen des RFID-Chips stehen lösbare technische Hürden im Weg.

Über die Lesereichweite von RFID-Antennen wird zwar viel spekuliert, je nach Frequenz und Antennengröße, passiven oder aktiven Transponder und Umweltvariablen schwirren Zahlen zwischen einem Zentimetern und 50 Metern umher. Wie nah das Lesegerät dem Tag aber auch immer stehen muss: handliche, erste mobile Lesegeräte sind auf dem Markt; Intel hat angekündigt, in den nächsten Monaten eine mobile Readercard einzuführen, die über den PCMCIA-Slot an jedes handelsübliche Notebook oder einen PDA angeschlossen werden kann.

Es kann also realistisch darüber diskutiert werden, wie sehr einen das folgende Szenario erschrickt: Bleibt ein RFID-Tag nach dem Einkauf aktiv, kann die gekaufte Ware außerhalb des Ladens und im nächsten Geschäft noch einmal gescannt werden. Das BSI stellt fest, dass auch das unautorisierte Verändern der Tag-Daten eine Bedrohung darstellt. Bei Read-only-Tags ist eine Modifikation instrinsisch ausgeschlossen. Bei wieder beschreibbaren Tags seien die Möglichkeiten zum Verändern der Daten die gleichen wie im Fall des Auslesens.

Diesem Vorteil der Read-only-Tags steht der Nachteil gegenüber, dass Verschlüsselung und sichere Authentifizierung mit ihnen nicht realisierbar ist.
Bundesamt für Sicherheit in der Informationstechnik

Relevantes Bedrohungspotential?

RFID-Tags seien weiteren Risiken ausgesetzt: Sie könnten geklont und emuliert werden, das von Preisschildern bekannte Umkleben sei ebenso möglich wie die mechanische, chemische Zerstörung oder die Irritation durch Einwirken hoher Feldstärken. Auch von dem Missbrauch des Kill-Kommandos, Störsender, Abschirmung und dem Blocken der Signale berichtet das BSI.

Das alles ist Fachkreisen und dem interessierten Laien bekannt. Eine der spannenden Fragen ist, ob RFID-Systeme überhaupt über die schon bekannten und oft angemahnten Datensammlung-Bestrebungen hinausgehen, wie sie von Kundenkarten und Kreditkarten bekannt sind. Nach einer Emnid-Studie hatten bereits im März 2002 mehr als die Hälfte aller Deutschen mindestens eine Kundenkarte. Durch diese erhalten Handelskonzerne einen noch nie da gewesenen Einblick in das individuelle Kaufverhalten ihrer Kunden. Anders ausgedrückt: Wie groß ist die datenschutzrechtliche Gefahr durch den bloßen Datentransfer von Tags? Kommt es nicht erst bei der Zusammenführung der Tagsignale mit personenbezogenen Daten zu Problemlagen?

Hierzu äußert sich das BSI ausweichend:

Spezifisch für RFID-Systeme ist die hohe räumliche und zeitliche Dichte der Datenspuren, die häufig die nachträgliche Erstellung von personalisierten Bewegungs- und Kontaktprofilen erlaubt, selbst wenn die Daten ursprünglich in einer pseudo-anonymisierten und anonymisierten Form vorliegen. Die entsprechenden Verletzungen der Data Privacy oder Location Privacy können insbesondere dann eintreten, wenn die aktive Partei selbst gegen das Datenschutzrecht oder faire Informationspraktiken verstößt. Inwieweit RFID-Anwendungen hier den bereits durch andere Systeme erzeugten Datenspuren ein relevantes Bedrohungspotential hinzufügen, ist unter Fachleuten umstritten.
Aus der BSI-Studie: Risiken und Chancen des Einsatzes von RFID-Systemen, Bonn 2004

Inzwischen mehren sich die Zweifel, ob RFID nicht eben doch über das Potential von Barcode und Kundenkarte hinausgeht. Denn selbst wenn RFID-Tags lediglich genauso viel Informationen bereitstellen würden wie heutige Barcodes, nämlich nur eine Serien- und keine für jedes Produkt individuelle Nummer, so wären dennoch durch die Kombination der Tags, so genannten "Constellations", Personen zum Teil eindeutig identifizierbar. Datenschützer wie das "Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein" fordern deshalb ganz allgemein Mechanismen, "die sicherstellen, dass kein Mensch unbemerkt oder gegen seinen Willen elektronisch gescannt und überwacht wird".

Der Datenschutz könnte ins Leere laufen

Wer aber soll dafür Sorge tragen, Hersteller oder Kunde? Mittlerweile existieren eine Reihe von Vorschlägen, wie das Auslesen der Tags und das Tracking der Personen vermieden werden könnten. Aber ob Blocker-Tag, Kill-Befehl, Verschlüsselung oder variable MetaIDs - "bei allen technischen Verfahren ist es der Kunde, der sich vor unerlaubten Leseversuchen und Personenverfolgungen zu schützen versucht", wie Marc Langheinrich von der Technischen Hochschule in Zürich bemerkt.

Kundenfreundlicher wären juristische Regelungen, die bereits im Voraus die Sammlung solcher Daten verbieten würden, so dass es gar nicht erst zu einer unautorisierten Nutzung kommt. Und tatsächlich verbieten die Datenschutzgesetze in der EU schon heute viele der möglichen Szenarien, vor denen Konsumentengruppen beim Einsatz von RFID warnen. Ein heimliches Überwachen zu Marketingzwecken wäre darüber hinaus schwerlich zu verheimlichen. Ohnehin steht zu vermuten, dass sich die Händler - wie heute schon bei der Kundenkarte - eine explizite Einverständniserklärung vom Kunden einholen und dann munter Informationen mit Hilfe von RFID-Tags sammeln.

Nicht nur der Gruppe der Technik-Freaks, die die Größe ihres Datenschattens gerne selbst bestimmen, reicht der bestehende rechtliche Schutz nicht aus. An dieser Stelle treffen sich ihre und die Befürchtungen der Datenschützer mit der Analyse des BSI:

Gerade wegen der zunehmenden Allgegenwart und Unauffälligkeit informationstechnischer Systeme ist zu befürchten, dass bestehende rechtliche Regelungen immer weniger durchsetzbar sind.

Anders ausgedrückt: Der Datenschutz könnte ins Leere laufen. Lorenz Hilty von der Schweizer EMPA, einer der Mitverfasser der Studie, schreibt an anderer Stelle:

Die Undurchschaubarkeit des Datenflusses in vernetzten System ist ein Problem mit vielfältigen negativen Auswirkungen; die Begrenzung der Komplexität und eine transparente Kommunikation über die Verwendung erhobener Daten können Vertrauen schaffen.

Gezieltes Ausspionieren die Ausnahme

Aber hier gilt wie anderswo: "Vertrauen ist gut, Kontrolle ist besser." In Deutschland gründete sich jüngst die RFID-Taskforce der EICAR, der schon Firmen wie Sun, Airbus, IBM und Texas Instruments, aber auch die Future Store Initiative der Metro und der Bundesdatenschutzbeauftragte angehören. Sie möchte Vorurteile gegen RFID durch "harte Fakten" ersetzen, wie Robert Niedermeier, Vorsitzender der Organisation, auf dem Münchener IT-Rechtsforum sagte. Sein Wunsch: Einen Weg zwischen STOP-RFID und der Berücksichtigung datenschutzrechtlicher Belange finden.

Der Gralshüter der globalen Infrastruktur hinter RFID, EPCglobal, unternahm nun seinerseits zwei Schritte, um die gewünschte RFID-Revolution dem Konsumenten näher zu bringen. In den Privacy-Richtlinien garantiert EPCglobal, das die Kundschaft im Geschäft Informationen darüber erhält, "wie der EPC-Tag auf den erworbenen Produkten entfernt, ausgeschaltet oder unbrauchbar gemacht werden kann". Auf der anderen Seite favorisiert EPCglobal zur Zeit die Implementation eines abhörsicheren Antikollisionsprotokolls in die bestehende RFID-Protokolle. Statt totaler Sicherheit durch eine komplexe und teure Verschlüsselung der funkenden Chips also eine Begrenzung der Sendereichweite von Tag-IDs. Marc Langheinrich vermutet:

Ein gezieltes Ausspionieren einzelner Personen wird danach immer noch möglich bleiben, in Anbetracht des erheblichen Aufwandes allerdings analog zur heutigen individuellen Beschattung eher die Ausnahme sein als die Regel."