Keine Kryptographie in Funkchips
RFID Systeme noch unsicher
Fehlende Sicherheit kann die Produktion lahmlegen
Keine Kryptographie in Funkchips
Angreifbar sind besonders die RFID-Tags selbst und die Luftschnittstelle zum Lesegerät ? auch hier gilt Sniffing, Spoofing, Cloning und Tracking ? das volle Programm, heißt es in der “RFID-Studie 2007 – Technologieintegrierte Datensicherheit bei RFID-Systemen“, die das Fraunhofer-Institut für Sichere Informationstechnologie (SIT), die Technische Universität Darmstadt und das Technologie-Zentrum Informatik (TZI) der Universität Bremen entwickelt haben. Einige Herausforderungen sind bislang ungelöst, zum Beispiel das Thema Kryptographie.
(Bereiche, in denen RFID-Chips ausgespäht werden können. Bild: Fraunhofer SIT)
Ist es im Büro schon schlimm genug, wenn die Rechnerlandschaft aufgrund eines Sicherheitslecks ausfällt, stehen im Fabrik gleich die Fließbänder still. Sind die Chips nicht ausreichend gegen Manipulation geschützt, landen falsche Teile zur falschen Zeit am falschen Ort.
Notwendig sind kryptographische Verfahren zur Authentisierung und Verschlüsselung. Die lassen sich aber auf preisgünstigen “Low-Cost-Tags” kaum implementieren, da ihre Ressourcen schnell ausgeschöpft sind. So wird der erfolgreiche Einsatz von RFID-Systemen in der Automobilindustrie davon abhängen, inwieweit geeignete Verschlüsselungsverfahren entwickelt werden, so die Einschätzung der Studie. Gleichzeitig gelte es, die Sensorkosten zu senken.
Ähnliches gilt auch für die Pharmaindustrie. Hier will man Mediakamentenfälschungen verhindern, aber auch in dieser Branche fehlt es an geeigneten Authentisierungsverfahren für Low-Cost-Tags. Derzeit lehnen der deutsche Bundesverband des pharmazeutischen Großhandels (PHAGRO) und seine Mitgliedsunternehmen den Einsatz von RFID ab.
(RFID in der Medizin: Branchenverband lehnt die Technik aus Sicherheitsgründen ab. Bild: Fraunhofer SIT)
RFID: Deaktivierung und ID-Management mangelhaft
Keine Kryptographie in Funkchips
Auch der Handel, neben Automotive und Pharmaindustrie eine besonders populäre RFID-affine Branche – IT im Unternehmen berichtete – , benötigt hardwarebasierte Sicherungsverfahren für die Kommunikation zwischen RFID-Tag und Lesegerät sowie sichere Verfahren für die De- und Reaktivierung von Tags. Letzteres natürlich für Endconsumer, die in Zukunft die Chips auf ihren gekauften Waren deaktivieren wollen, aber auch für Unternehmen, die auf dem Funksensor eventuell gespeicherte vertrauliche Daten löschen wollen.
Hier besteht noch Forschungsbedarf, ebenso wie im Bereich Identitätsmanagement. Denn besonders im unternehmensübergreifenden Einsatz müssen auch Partner auf Daten auf dem Chip und im Backend zugreifen. Unternehmen müssen sich darauf verlassen können, dass ihre Daten vor unberechtigtem Zugriff sicher sind, dass ihre Konkurrenten nicht in ihren Datenbanken stöbern – hier ist ein lieferkettenübergreifendes Identitätsmanagement erforderlich.
(Ein wahres Sammelsurium von Normen für branchenspezifische RFID-Kennzeichnungen – aber noch nicht genug, um einen Austausch zu gewährleisten. Bild: Fraunhofer SIT)
Da technische Richtlinien und anwendungsspezifische Standardlösungen noch fehlen, sollten Unternehmen Sicherheitsaspekte bereits bei der Systemauswahl beachten, raten die Autoren der Studie, Pilotprojekte durchführen und vor einer kommerziellen Implementierung intensive Tests fahren. Wobei sich die Frage stellt, ob kleinere und mittlere Unternehmen dies leisten können.
EU-weite RFID-Konferenz bezieht die Kleinen ein
Keine Kryptographie in Funkchips
KMUs (kleine und mittlere Unternehmen) müssen “diskriminierungsfrei” auf diese Technologie zugreifen können, so die Forderung der internationalen Konferenz “Radio Frequency Identification (RFID) – auf dem Weg zum Internet der Dinge” am 25. und 26. Juni in Berlin, auf der über 400 internationale Teilnehmer Bedingungen für eine EU-weite Einführung der RFID-Technologie diskutierten. Veranstalter Konferenz war das Bundesministerium für Wirtschaft und Technologie BMWi.
Für KMUs gelte es, Innovationsbarrieren zu durchbrechen. Daher seien Benchmarking-Analysen und internationale Vergleiche notwendig, betonte Prof. Thomas Heimer, Dekan der Frankfurt School of Finance&Management. Oder: “Was wir brauchen, ist eine Googelarisierung von ausgezeichneten RFID-Projekten”, betonte Ministerialdirigent Dr. Wolf-Dieter Lukas vom BMBF. Hinweise für den Einsatz von RFID in kleineren und mittleren Unternehmen gibt IT im Unternehmen hier.
Eine neue gesellschaftspolitische Dimension bekommt das Thema Sicherheit, wenn jedes Produkt eine eindeutig identifizierbare Nummer erhält und Produktion und Logistik sich in einem Internet der Dinge selber steuern wird. Dann haben Datenmanipulationen und Angriffe eine riesige Dimension – ein Thema, das noch völlig offen ist. Oder wenn sich Autos in einem Sensornetz organisieren und die Geschwindigkeit automatisch an die Verkehrssituation anpassen. Dann führen Datenmanipulationen zu Unfällen. Auch in diesen hochkomplexen Anwendungen ist es wichtig, dass KMUs einbezogen werden und mitarbeiten,? so Professor Herbert Reichl vom Fraunhofer-Institut IZM.