RFID ist überall: In der U-Bahn, in der Mensa, im Skiurlaub.Doch auch in den neuen US-Passport Cards. Nun hat der amerikanische Sicherheitsexperte Chris Paget zum ersten mal in einem Praxistest gezeigt, wie leicht sich diese Technologie ausnutzen lässt um zum Beispiel Bewegungsprofile von Bürgern zu erstellen oder, wenn man ein paar Schritte weitergeht, ihre Identität zu übernehmen (jedenfalls dem Ausweis nach).

Zunächst einmal: RFID ist bequem. Verdammt bequem. Zum ersten Mal mit dieser Technik in Kontakt gekommen bin ich in der Londoner U-Bahn. Dort kann man einen bestimmten Geldbetrag auf die Tickets mit RFID-Chip laden, ihn ins Portmonaie stecken und ihn quasi nie wieder rausholen, da man nur das Portmonaie über den Sensor ziehen muss, um zu bezahlen. Schnell. Billig. Sicher?

Um die Problematik zu verstehen muss man sich zuerst etwas mit der Technik auseinandersetzen:

Wie funktioniert RFID?

RFID steht für Radio Frequency Identification. Um aber etwas zu funken, braucht der Sender allerdings eine Antenne. Diese ist der größte Teil des RFID-Chips und auch das beste Erkennungsmerkmal. Der eigentliche Chip ist meistens sehr klein (die kleinsten bisher bekannten ca. 0,05 mm × 0,05 mm). Doch wie sieht es bei diesen kleinen Chips mit der Energieversorgung aus? Hier kommt die Antenne ins Spiel, die als Induktionsspule fungiert. Sie liefert also einerseits die Energie aus der Induktionsspannung, die entsteht, wenn das Auslesegerät über die Karte fährt, und ist gleichzeitig der Sender der Daten, die an das Lesegerät gesendet werden. Es gibt jedoch auch sogennante “aktive Transponder”, die eine größere Reichweite haben, aber auch größer sind.

Wenn nun das Lesegerät in die Nähe des RFID-Chips kommt, dann wird die Induktionsspannung in den Chip gegeben, der also für einen kurzen Moment Strom hat und Daten senden kann. Zu diesem Thema kann ich die Folge 98 des Chaosradio Express empfehlen, in der Henryk Plötz vom CCC Berlin 2 Stunden lang vom “Mifare-Hack” (Mifare ist ein weit verbreiteter RFID-Chip von Philips) erzählt. Alternativ natürlich RFID auf Wikipedia.

Wo ist RFID?

RFID findet immer größere Verbreitung, weil es einerseits bequem und andererseits billig ist. Doch die Sicherheit wird oft vernachlässigt. Es gibt natürlich relativ unproblematische Beriche, in denen RFID eingesetzt wird. Ein gutes Beispiel sind viele Skigebiete, in denen die Besucher per RFID zu den Gondeln gelangen. Hier sehe ich keine Probleme, da die Tickets nach dem Besuch wieder abgegeben werden, und es außerdem sehr viel bequemer ist, den Ausweis einfach in der Skijacke zu lassen, als in mit Handschuhen irgendwo rauszukramen.

Und seien wir mal ehrlich: Auch die bisherigen Identifikationstechniken sind meistens leicht zu umgehen. Nachdem ich beispielsweise meinen Schülerausweis mit Strichcode für die Mensa verloren hatte, druckte ich mit den Strichcode, der aus meiner Schüler-ID bestand, erneut aus, und lasse nun ein kleines Stück Papier einscannen. Das ich auch jede andere Schüler-ID hätte ausdrucken können, scheint niemanden zu stören, was auch daran liegt, dass ich alleine mit der ID kein Essen bestellen kann. Abholen könnte ich es allerdings.

Wann wirds kritisch?

Kritisch wird es, wenn so etwas passiert, wie nun in den USA: Da hat man nun so schöne neue, moderne Ausweise mit RFID, und dann kommt ein Typ an, und kann plötzlich mit einem 250 US-Dollar Gerät, einen Laptop und einem Auto Bewegungsprofile von Bürgern erstellen und deren IDs auslesen. Keine Schüler-IDs, sondern mit einer ID, mit der der Bürger in der Datenbank des Department of Homeland Security vermerkt sind. PROBLEM!

Okay, es ist nur ein Sicherheitsexperte. Und nur mit der ID hat man erstmal noch keine Daten über die Bürger, wenn man keinen Zugang zur Datenbank hat. Doch auch schon diese ID reicht ja, um einen Bürger eindeutig zu identifizieren. Diese ID kann man ohne Probleme auf einen handelsüblichen RFID-Chip übertragen, der nun, wenn er Energie erhält, fröhlich die fremde ID funkt. Und so wäre es möglich, dass Mr. Smith, der erst vor 6 Minuten die kanadische Grenze zu den USA passiert hat, 3 Minuten später schon in Mexiko ist, denn bei Grenzübertritten wird nur die ID geprüft. So macht Reisen Spass!

Und das waren ja nur die Möglichkeiten, die sich Kriminellen mit RFID-Technologie bieten würden – doch was, wenn einmal die “falsche Regierung” an die Macht kommt? Mit RFID-Scannern an jeder Ampel, an jedem Eingang wäre die totale Überwachung möglich. 1984 hat sich vielleicht doch nur etwas verspätet…

EDIT:Zwei Links gefunden:

http://hackaday.com/2009/02/02/mobile-rfid-scanning/ – Anscheinend der Quell der Information

Und das “Beweisvideo” von Chris Paget auf youtube.com