Störsender

Ein Forschungsprojekt namens RFID-Guardian liefert einen viel versprechenden Ansatz zur Wahrung der informationellen Selbstbestimmung in einer Welt voller funkender Datenchips. Durch seinen Einsatz könnten RFID-Tag-Träger sowohl die Kontrolle über ihre Daten als auch die Bequemlichkeiten der Funketiketten behalten.

1

22.01.2007, 00:00 Uhr

Lesezeit: 5 Min.

c't Magazin

Von

Christiane Rütten

Die Vorteile der Funketikettierungstechnik RFID - kurz für Radiofrequenzidentifikation - liegen auf der Hand: kein Verschleiß durch elektrische Kontakte, berührungslose Abwicklung warenwirtschaftlicher Produkterfassung und Bezahlvorgänge sowie Legitimationsprüfung von Personen im Vorübergehen. Dafür wurde sie konzipiert.

Doch wer beispielsweise in Kleidung, Ausweisen, Kundenkarten und neuerdings auch Kreditkarten einen Haufen funkender Chips mit sich herumträgt, die sich derzeit aus einem Maximalabstand von etwa einem halben Meter auslesen lassen, gibt ohne es zu bemerken viele Informationen über sich preis [1]. Die RFID-Tags enthalten neben einer eindeutigen ID oft auch frei auslesbare Daten wie Produkt-Codes (EPC) oder Kundennummern. Allein an der Zusammenstellung der IDs mitgeführter RFID-Tags lassen sich Individuen unter Umständen wiedererkennen und beispielsweise Bewegungsprofile erstellen.

Halt die Klappe!

Die Forscher Melanie Rieback und Georgi Gaydadjiev von der Universität Amsterdam haben nun unter Betreuung durch Minix-Erfinder Andrew Tanenbaum eine Firewall für RFID-Tags entwickelt, die Abhilfe gegen unbefugtes Auslesen verspricht. Der sogenannte RFID-Guardian funktioniert ähnlich einer gewöhnlichen Netzwerk-Firewall. Er kontrolliert die Kommunikation zwischen Geräten in einem inneren Bereich - den Tags in seiner Nähe - und einem äußeren Bereich - den RFID-Lesern.

Aufgrund der räumlichen Nähe zu den zu schützenden Tags kann er sich in deren Funkverbindung zu den Lesern einschmuggeln. Ausgehende Signale der passiven Tags kann er durch seinen aktiven Sender mit viel stärkeren Störsignalen überdecken, damit diese nicht an ihm vorbei kommunizieren.

Bei der Unterdrückung der Tag-Kommunikation in Richtung Leser kann der Guardian aufgrund bekannter Standards sehr selektiv vorgehen. Die meisten RFID-Leser mit 13,56 MHz benutzen das sogenannte Aloha-Schema, um bei mehreren Tags in Reichweite eines gezielt auszuwählen (Singulation). Ein Leser weist dazu jedem RFID-Tag in Reichweite eines von 16 Zeitfenstern zu, in dem die anderen Tags Funkstille halten sollen. Kommt es dabei zu einer Kollision - mehrere Tags senden gleichzeitig -, wählt der Leser nach einem bekannten Algorithmus ein neues Zeitfenster.

Der Guardian überlagert die schwachen Seitenband-Signale der Tags (bei -90dB) einfach mit einem wesentlich stärkeren Signal.

Der Guardian stört gezielt die abzusehenden Antworten eines zu schützenden Tags und nach einer gewissen Zeit des Zeitfensterwechselns gibt der Leser seine Zugriffsversuche auf. Dadurch bleibt das Tag für den Leser unsichtbar, während die Kommunikation mit anderen Tags nicht beeinträchtigt wird. Mit einer Reichweite von derzeit rund einem halben Meter entsteht so ein Bereich von etwa einem Meter Durchmesser, in dem der Guardian Tags vor Lesezugriffen schützen kann.

Sprich zu mir!

Der aktuelle Guardian-Prototyp ist eine Kombination aus RFID-Leser und aktivem RFID-Tag, die von einem Kleinstcomputer gesteuert wird. Die Tag-Komponente besteht im Gegensatz zum Leser-Teil allerdings nicht aus Standard-RFID-Komponenten, sondern aus einer speziellen Sende- und Empfangseinheit im HF-Bereich mit 13,56 MHz, mit der der Guardian Tags nicht nur stören, sondern auch imitieren kann. Dann unterhält sich ein RFID-Leser mit dem aktiv sendenden Guardian und nicht mehr mit den viel schwächeren, passiven Tags, was eine Art Proxy-Betrieb ermöglicht. Kühne Pläne der Forscher sehen vor, dass sich Guardian-kompatible Lesegeräte gegenüber der RFID-Firewall authentifizieren, um sich beispielsweise den Zugriff auf bestimmte Tags freizuschalten.

Doch auch ohne angepasste Lesegeräte kann der Guardian seine Schutzfunktionen an die vorgefundene Umgebung anpassen. Der Wächter führt in regelmäßigen Abständen Protokoll über Leser-Zugriffe und Tags in seiner Reichweite und kann so beispielsweise erkennen, von wem er getragen wird oder ob er am RFID-Leser der Haustür vorbei das traute Heim verlässt.

Lesegeräte sprechen mit dem aktiv funkenden RFID-Guardian und nicht mit den passiven Tags, die in Zukunft fast jeder bei sich tragen wird.

Allerdings hat der RFID-Guardian in seiner derzeitigen Implementierung auch bekannte Schwächen. Einerseits arbeitet er nur auf 13,56 MHz und kann beispielsweise keine Schreibvorgänge blockieren, die keine vorausgehende Kommunikation mit dem Tag erfordern. Außerdem ist der selektive Störvorgang nur erfolgreich, wenn sich Leser und Tag strikt an Singulation-Protokolle und ISO-Normen halten. Über eine Praxistauglichkeit beispielsweise für den bei höheren Frequenzen eingesetzten Warenauszeichnungsstandard „EPC global“ mit seiner abweichenden Singulation ist noch nichts bekannt.

Möglicherweise wird auch der Gesetzgeber Störgeräten wie dem RFID-Guardian einen Riegel vorschieben, da sie sich prinzipiell auch missbrauchen lassen. Es wäre etwa vorstellbar, dass ein Kunde den Zugriff eines Supermarktlesers auf ausgewählte Tags in seinem Einkaufswagen blockiert. Ein Schritt in die richtige Richtung ist der RFID-Guardian aber auf jeden Fall, gibt er doch zumindest einen Teil der Kontrolle über die Funketiketten an deren Träger zurück.