RFID-Chips - ein Sicherheitsrisiko?
Nicht jeder kennt es, aber jeder kommt damit in Kontakt: RFID-Chips funken aus Ausweisen, Käsepackungen und Jeans. Aber ist das gefährlich?
- Anna Kalinowsky
Die RFID-Technologie kommt Ihnen im Alltag garantiert hier und da in die Quere. Vermutlich haben Sie die funkenden Chips sogar im Kleiderschrank. Wir zeigen Ihnen die möglichen Gefahren und mögliche Schutzmaßnahmen.
Was ist RFID?
RFID steht für Radio-frequenc Identification, also Identifikation per Radiowellen. Dabei handelt es sich im Grunde um ein ganz einfaches System aus zwei Bestandteilen: Einem Transponder und einem Lesegerät. Der Transponder wird meist RFID-Tag oder Funketikett genannt. "Etikett" deutet schon an, dass es sich um ziemlich kleine Geräte handelt und auch die mögliche Verwendung wird impliziert. RFID-Tags sind in der Praxis zum Beispiel oft kleine Aufkleber mit weniger als einem Zentimeter Kantenlänge, die auf Waren angebracht werden. Oder sie werden vom Hersteller fix in Kleidungsstücke eingenäht. Der wesentliche Grund ist ganz trivial: Man will zum Beispiel wissen, ob eine produzierte Hose das Werk verlassen hat oder nicht. Mit einem eingenähten RFID-Tag kann so eine Hose schlicht aus der Produktionshalle in die Versandabteilung gebracht werden und ein Lesegerät an der Tür erfasst diesen Vorgang. Und was mit einer Hose geht, geht freilich auch mit einem ganzen Container voller Hosen. Genau dort in der Logistikbranche gibt es auch das größte Interesse an der RFID-Technologie. Ein größeres Thema ist RFID seit vielleicht 10 bis 15 Jahren, erste Anwendungen gab es aber bereits in den 1940ern!
RFID-Tags können aber auch noch deutlich kleiner sein und bis auf Reiskorngröße und darunter schrumpfen. Ein ganz bekanntes Beispiel aus den Boulevard-Medien war vor einigen Jahren der Einsatz im Menschen selbst: In einigen Szene-Clubs konnten sich Stammkunden RFID-Chips unter die Haut einpflanzen lassen, um Eintritt und Getränkekäufe zu vereinfachen. Und spätestens an der Stelle wurde es vermutlich auch Otto Normalverbraucher mulmig. Der leicht paranoide Techie kann sich auf "RFID-Pulver" freuen: Die kleinsten RFID-Chips haben eine Größe von gerade mal 0,02286 Millimeter. Da machen sich natürlich Horrorszenarien breit. Vom Einpflanzen solcher Chips in menschliche Zellen bis hin zum "Bestäuben" von Menschenmengen mit einer Art RFID-Staub.
Ein erster Schritt gegen etwaige Sorgen ist wie immer das Verständnis der Technik. Die meisten RFID-Tags, insbesondere die kleinen, sind passive Geräte, die aus ein wenig Antenne und analogem Schaltkreis zum Reagieren und Senden sowie einem digitalen Schaltkreis zum Speichern von Informationen (zum Beispiel eine Artikelnummer) bestehen. Strom für den Betrieb bekommen sie von den Lesegeräten beziehungsweise dessen Funksignalen. Meist sind sie nur einmal beschreibbar und agieren dann im Grunde genau wie ein üblicher Barcode, nur dass sie eben über Funk, statt über eine Kamera erfasst werden. Die Reichweite liegt meist bei wenigen Zentimetern. Ein großer Vorteil solcher passiver Tags: Sie sind günstig genug, um selbst billige Produkte damit zu versehen.
RFID-Tags können aber auch Buchgröße erreichen, mehrmals beschreibbar sein, eine aktive Energieversorgung haben und eine Reichweite von Kilometern. Insofern ist RFID im Grunde ein Rahmenwerk für allgemeine Sender-Empfänger-Anwendungen. Bei großen Schiffscontainern kann RFID zum Beispiel dafür sorgen, dass Container nicht verloren gehen und überhaupt auffindbar sind. Zum einen könnten die Etiketten mit GPS-Daten angereichert werden, zum anderen sind natürlich die Standorte der Lesegeräte bekannt - und somit zu einem bestimmten Zeitpunkt auch der getaggten Container oder Produkte.
Relevant für den Alltag sind aber eher die kleinen, passiven Tags aus Ihrer Jeans oder der Wurstpackung im Supermarkt.
Gefahren
Der Nutzen für einen Supermarkt oder die Logistik allgemein dürfte klar sein: Mit RFID-Tags versehene Waren können getrackt werden. Auch Diebstahlschutz ist damit möglich: Mehrfachbeschreibbare Etiketten könnten an der Kasse entsprechend umgeschrieben, einfach beschreibbare physisch zerstört werden. Und ganz grundsätzlich könnte für uns als Kunden im Supermarkt auch irgendwann mal der Stand erreicht werden, dass man Produkte einpackt, den Laden verlässt und die Produkte automatisch durch Scanner erfasst und bargeldlos abgerechnet werden. Das aber dürfte noch dauern. Oder wie wäre es mit getaggten Schrauben? Ihr Auto verliert eine Schraube und der Bordcomputer weiß sofort, welche Schraube wo ersetzt werden muss - auch nicht übel. Es gibt noch Dutzende nützliche Einsatzszenarien, etwa Zugangskontrollen oder Schlüsselfinder.
Die Gefahr für jeden Einzelnen ist aber auch offensichtlich: Auch Sie können getrackt werden! Mit RFID-Tags in KFZ-Kennzeichen und einer entsprechenden Landschaft von Lesegeräten ließen sich extrem präzise Bewegungsprofile erstellen. Funketiketten in Hosen könnten - theoretisch - auch nach dem Kauf noch getrackt werden. Stellen Sie sich vor, Sie kaufen in einem großen Kaufhaus eine Jeans mit RFID-Tag, das eigentlich/offiziell nur für die Logistik des Herstellers gedacht ist. Aber wer sagt Ihnen, dass nicht das ganze Kaufhaus mit Lesegeräten bestückt ist und Sie beim nächsten Besuch auf den Zentimeter genau verfolgt werden? Welche Wege Sie im Verkaufsbereich zurücklegen ist für Händler eine enorm interessante Information.
Man kann die Gefahr aber auch viel allgemeiner fassen: Mit RFID lässt sich nahezu alles tracken - mit geringen Kosten, winzigen Bauteilen, minimaler Sendeleistung und vor allem völlig unauffällig. Zudem wissen Sie schlicht nie genau, wo Ihnen nun ein solches Etikett untergejubelt wird, geschweige denn was es im Detail macht. So gibt es zum Beispiel auch Tags, die Informationen nicht verschlüsselt, sondern einfach so preisgeben - das ist sogar der Grundgedanke!
Das prominenteste Beispiel für eine RFID-Gefahr ist wohl der neue Personalausweis: Der darauf enthaltene Chip soll auf rund zwei Meter Abstand auslesbar sein. Die Informationen sind natürlich verschlüsselt. Dennoch: Auslesen kann die Informationen erstmal jeder - wird die Verschlüsselung irgendwann mal geknackt, sieht es düster aus. Übrigens: Das kontaktlose Bezahlen mit EC- oder Kreditkarten funktioniert mit der NFC-Technologie, die zumindest auf RFID aufbaut. Und wenn hier Kleinstbeträge ohne PIN-Eingabe oder Ähnliches gezahlt werden können, kann Ihnen ein Dieb natürlich auch solche Beträge wortwörtlich im Vorbeigehen klauen. Er muss nur das Gegenstück in die Nähe Ihrer Karte halten.
Schutzmaßnahmen
In Panik verfallen müssen Sie derzeit sicherlich nicht, schon aus technischen Gründen ist es beispielsweise nicht möglich, Menschenmassen mit RFID-Staub zu überschütten und dann einzeln zu tracken. Und auch die Infrastruktur an Lesegeräten müsste zunächst existieren. Generell sind Tracking-Szenarien mit erheblichem Aufwand verbunden und noch speichert vermutlich kaum jemand brisante Informationen unverschlüsselt auf RFID-Tags ab. Aber wer weiß, was die Zukunft noch bringt. Drei Dinge können Sie zum Schutz tun:
Erstens können Sie sich für Ausweis- und sonstige RFID-Karten Brieftaschen mit entsprechendem Schutz kaufen: Die schwachen, passiven Sender lassen sich mit ein wenig Metall schnell entschärfen. Für ein paar Euro bekommt man auch Störsender im Kartenformat, die gleich ein ganzes Portemonnaie schützen
Zweitens können Sie schlicht und ergreifend aufmerksam sein: Wenn Sie Tags auf Waren bemerken, entfernen oder zerstören Sie sie. Meist erkennen Sie irgendwo die schneckenförmige Antenne und da genügt es, diese an einer Stelle zu durchtrennen.
Drittens können Sie - das sei nun aber wirklich nur als Hobby oder bei leichter Paranoia empfohlen - eigene Störgeräte basteln oder bestehende Chips zerstören. RFID-Lesegeräte haben ein Problem damit, sehr viele Tags gleichzeitig zu verarbeiten. Wenn Sie also ein paar Hundert Tags beispielsweise in einem MP3-Player-Gehäuse unterbringen, wird es Lesegeräte bis zur Unbrauchbarkeit verwirren. Oder eine kurze Kur in der Mikrowelle: Diese hat das Potenzial, die Tags selbst zu zerstören. Bei einer Socke mag es den Versuch wert sein, bei einer Kundenkarte mit RFID könnten Sie hingegen gleich die ganze Karte verlieren...
(anka)
