Das Akronym RFID (Radio-Frequency Identification) bezeichnet ein Verfahren zur eindeutigen und automatischen Identifizierung, das auf der Speicherung und dem Abruf von Daten mithilfe von RFID-Tags basiert. Die RFID-Technologie, auch bekannt als DSRC (Dedicated Short Range Communication), nutzt elektromagnetische oder elektrostatische Kopplung im HF-Bereich (Radiofrequenz) des elektromagnetischen Spektrums (typische Frequenzen: 125 bis 135 kHz (passive LF-Tags), 13,56 MHz (HF-Tags), 869 bis 957 MHz und 2,45 GHz (UHF-Tags)), um Personen, Tiere oder Objekte eindeutig zu identifizieren. Sie stellt eine fortschrittlichere Alternative zu herkömmlichen Barcodes dar. Der Weltpostverein (UPU) gab kürzlich bekannt, RFID in Kürze zur Nachverfolgung internationaler Postlaufzeiten in über hundert seiner Mitgliedsländer einzuführen. Gartner prognostizierte für die RFID-Technologie bis 2010 ein Marktvolumen von drei Billionen US-Dollar.
Die Geschichte der RFID-Technologie lässt sich bis ins Jahr 1948 zurückverfolgen, als der Forscher Harry Stokman sie entwickelte. Eine ihrer ersten Anwendungen erfolgte im Zweiten Weltkrieg, als Großbritannien RFID-Geräte einsetzte, um zurückkehrende britische Flugzeuge von potenziell deutschen zu unterscheiden. Radar konnte damals zwar die Anwesenheit eines Flugzeugs, aber nicht dessen Typ (Freund oder Feind) erfassen. Die kommerzielle Nutzung von RFID begann in den 1990er-Jahren, und die Liste der heutigen Anwendungsgebiete ist schier endlos: Produktverfolgung im Einzelhandel, RFID-Etiketten für Patienten in Krankenhäusern, Gepäckverfolgung an Flughäfen, Passverfolgung, Bibliotheksbücher, RFID-Sensoren in Fahrzeugen zur Erfassung von Bewegung, Temperatur, Lebensmittelqualität, Strahlungswerten, Reifenzustand, GPS-Position und vielem mehr.
Zu den zahlreichen Vorteilen von RFID zählen unter anderem: (i) Für Hersteller und Einzelhändler: reduzierter manueller Lagerbestand und geringerer Bedarf an Sicherheitsbeständen, höhere Umsätze durch weniger Fehlbestände, verbesserte
Transparenz und Verfügbarkeit der Lagerbestände, geringere Transportkosten und -mengen, präzisere Bestandsprognosen und -auffüllung, weniger Bedrohungen und Störungen in der Lieferkette sowie eine höhere Produktintegrität. (ii) Für die Kunden: eine verbesserte Produktauswahl, eine bessere Frische der verderblichen Waren, eine einfachere Identifizierung bei Reklamationen und eine verbesserte Produktverfügbarkeit in den Regalen.
RFID-Komponenten
Die Hauptkomponenten eines RFID-Systems sind:
(1) RFID-Tag oder -Etikett Ein RFID-Tag ist ein Objekt, das an Personen, Produkten oder Tieren angebracht, in diese injiziert oder eingebettet werden kann, um diese mithilfe von Funkwellen aus der Ferne eindeutig zu identifizieren. Er besteht aus einem Basissubstrat (PVC, Papier usw.), auf dem eine Antenne (kontaktlose Schnittstelle und Kupferdraht, leitfähige Tinte usw.) und ein integrierter Schaltkreis oder Chip (mit vormaskiertem Speicher oder EEPROM und Prozessor) angebracht sind. Optional kann eine Stromversorgung integriert sein. Das gesamte Bauteil ist mit einer Schicht aus Epoxidharz, Klebstoff oder Papier beschichtet.
Jeder RFID-Tag enthält einen eindeutigen 96-Bit-Code, den sogenannten Electronic Product Code (EPC), der die Identifizierung ermöglicht. Dieser Code besteht aus vier Feldern: (i) Header: Definiert die EPC-Version (8 Bit). (ii) EPC-Managernummer: Beschreibt den EPC-Aussteller, d. h. den Produkthersteller (28 Bit). (iii) Objektklassennummer: Beschreibt den Produkttyp (24 Bit). (iv) Seriennummer: Eine eindeutige Kennung für das jeweilige Produkt (36 Bit). RFID-Tags lassen sich in folgende Kategorien einteilen: aktiv (vollständig autonom), semi-passiv (mit einer Backup-Batterie zur Unterstützung der Stromversorgung durch das Lesegerät), passiv (Stromversorgung durch das Lesegerät erforderlich), Nur-Lese-Tags, Lese-/Schreib-Tags und Einmal-Schreib-Tags. Passive Tags werden vom Hersteller oder vor Ort programmiert. Sie beziehen ihre Energie aus der vom Lesegerät übertragenen HF-Energie; sie besitzen keine Batterie und werden nur in Reichweite eines Lesegeräts mit Strom versorgt. Sie speichern typischerweise wenige Bytes, beispielsweise 128 Bytes, und können Hunderte von Tags aus einer Entfernung von etwa 30 Zentimetern bis 5 Metern lesen. Aktive Tags verfügen über eine Batterie mit einer Laufzeit von 2 bis 6 Jahren, liefern kontinuierlich Strom und können Tausende von Tags aus Entfernungen von 100 Metern oder mehr und bei Geschwindigkeiten von bis zu 160 km/h lesen. Sie besitzen eine große Speicherkapazität von mehreren hundert Kilobyte und können Sensoren für Druck, Temperatur, Beschleunigung, Magnetfeld, GPS-Position, Strahlung, Alarmprotokolle, Vibrationspegel, Licht, Luftfeuchtigkeit usw. integrieren. Sie werden für höherwertige Güter wie Personen, elektronische Geräte, Schiffscontainer usw. eingesetzt.
(2) Lesegeräte. Sie dienen zum Lesen von RFID-Tags und in einigen Fällen auch zum Beschreiben dieser. Eine wachsende Gefahr stellt die Entwicklung von intelligenten Antennen mit hoher Verstärkung dar, die RFID-Tags aus vielen Kilometern Entfernung, sogar über Satellit, lesen können.
(3) Middleware. Dies ist die notwendige Schnittstelle zwischen den Datenbanken des Unternehmens und der Informationsmanagement-Software. Es bietet verschiedene Funktionen: Datenfilterung, Systemüberwachung und Koordination mehrerer Lesegeräte.
(4) Geschäftsanwendungssoftware. Diese dient der Verwaltung der erfassten Daten. Die beiden letztgenannten Punkte sind nicht vor jeglichen Informationssicherheitsbedrohungen gefeit.
Bedrohungen durch RFID:
Die RFID-Technologie bietet beispiellose Möglichkeiten für Diebstahl, verdeckte Überwachung und Verhaltensprofilierung. Ohne geeignete Kontrollmechanismen können Angreifer RFID-Tags unbefugt auslesen und den Standort von Personen, Tieren oder Objekten heimlich verfolgen (durch Korrelation der Tag-Daten). Das Abhören der Kommunikation zwischen Tag und Lesegerät ist möglich. Angreifer können RFID-basierte Systeme (z. B. Kassensysteme im Einzelhandel) manipulieren, indem sie RFID-Tags klonen, vorhandene Tag-Daten verändern oder das Auslesen von RFID-Tags verhindern. Im Laufe der Zeit wurden verschiedene Gegenmaßnahmen gegen diese Bedrohungen vorgeschlagen. Die einfachste Lösung ist die Deaktivierung von RFID-Tags, entweder dauerhaft (z. B. durch Zerstörung des Tags mit dem Hill-EPCglobal-Befehl, durch mechanisches Abbrechen der Antenne, durch RFID-Zapper zur dauerhaften Deaktivierung/Zerstörung passiver Tags oder durch „Frying“) oder vorübergehend mithilfe von Faraday-Käfigen, Schlaf-/Wachmodi oder Störsendern. In der Kryptographie wurden neue Algorithmen für RFID-Tags entwickelt, darunter Public-Key-Verfahren, Blockchiffren, Stromchiffren und recheneffiziente Authentifizierungsprotokolle. Auch Zugriffskontrollmechanismen wurden entwickelt, sowohl direkt auf dem Tag (hash- und pseudonymbasierte Sperren) als auch extern, beispielsweise Tag-Blocker oder RFID-Erweiterungsproxys. Zu den datenschutzrelevanten Aspekten gehören: (i) Erkennung der Anwesenheit eines RFID-Tags. Dies deutet in der Regel auf die Anwesenheit einer Person hin. (ii) Bestimmung der Herkunft der Person, die die Tags trägt. (iii) Tracking. Korrelation mehrerer Beobachtungen des RFID-Tags bzw. der Entitätskennung. (iv) Hotlisting. Angreifer verfügen über eine Liste von Tags/Entitäten, die sie identifizieren möchten. (v) Überschreiben von Tags. Zum Beispiel mithilfe von Cookies oder Malware. Die wichtigsten datenschutzrelevanten Bedenken im Zusammenhang mit RFID sind: Die Kennungen sind weltweit für alle Objekte einzigartig; massive Datenkorrelationen sind möglich; Personen können verfolgt und ihre Verhaltensprofile erstellt werden; die auf einem Tag gespeicherten Daten können verändert werden. RFID-Tags können aus der Ferne (sogar per Satellit) ausgelesen werden. Lesegeräte und die Platzierung von RFID-Tags lassen sich durch Attrappen, die der Kunde vernichten kann, verschleiern. RFtracker.com ermöglicht die Suche nach RFID-Tag-Nummern; die zugehörigen Personennamen sind in einer Datenbank gespeichert. RFtracker.com verwaltet zwei Datenbanken: eine, die Tag-Nummern den Besitzern von Artikeln mit diesen Nummern zuordnet, und eine weitere, die Aufzeichnungen der RFID-Tag-Auslesungen durch weltweit verteilte Lesegeräte speichert, inklusive Datum, Uhrzeit, Ort und RFID-Tag-Nummer.
Abschließende Betrachtungen:
Unsere Forschungsgruppe arbeitet seit über fünfzehn Jahren an der RFID-Technologie. Ubiquitous Computing bietet hier aus verschiedenen Perspektiven – wie offensiver und defensiver Technologie, Tag-Design, Entwicklung unkonventioneller Lesegeräte, Antennen, Risikomanagement, Angriffstests und Gegenmaßnahmen – unbegrenzte Möglichkeiten für Gegenwart und Zukunft.
Dieser Artikel ist Teil der Aktivitäten im Rahmen des LEFIS-APTICE .
Bibliographie
– Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2009.
– Areitio, J. „Security Considerations Regarding RFID Technology“. Conectrónica Magazine. Nr. 105. März 2007.
– Areitio, J. „Analysis Regarding Technologies for Information Concealment“. Conectrónica Magazine. Nr. 109. Juli-August 2007.
– Areitio, J. „Analysis Regarding Forensic Security, Anti-Forensic Techniques, Incident Response and Digital Evidence Management“. Conectrónica Magazine. Nr. 125. März 2009.
– Lee, W., Wang, C. und Dagon, D. „Botnet Detection: Countering the Largest Security Threat“. Springer. 2007.
– Howard, R. „Cyber Fraud“. Auerbach Publishers, Inc. 2009.
- Flegel, U. „Privacy Respecting Intrusion Detection.“ Springer. 2007.
Autor:
Prof. Dr. Javier Areitio Bertolín – E-Mail:
Professor an der Fakultät für Ingenieurwissenschaften. ESIDE.
Leiter der Forschungsgruppe Netzwerke und Systeme.
Universität Deusto.
