Bekannterweise hat jede Sicherheit ihre Grenzen und der Aufwand zum Hacken eines Ausweises oder Transponders bei der RF- (Radio Frequency) basierenden Personenidentifikation steht in den meisten Fällen in keinem Verhältnis zum erwarteten Gewinn. Beispielsweise bei der Zutrittskontrolle liegen die Sicherheitsprobleme eher im nachlässigen Umgang mit dem Datenträger, wie Schutz vor Diebstahl und Beschädigung oder in unverschlossenen Türen bzw. Fenstern an der Rückseite von Gebäuden. Dieser Aufsatz gibt Hinweise was bei der Auswahl, Einführung und Sicherheit von RFID-basierenden Identifikationssystemen zu beachten ist und welche Einflussfaktoren es gibt.
Grundlagen und Standards der RFIDTechnologien
Die Abkürzung RFID steht für „Radio Frequency Identification“. Hierbei werden die Daten und die Betriebsenergie kontaktlos über ein hochfrequentes Magnetfeld übertragen. Dazu sind im sog. Identträger flache Spulen (als Antenne) enthalten, die mit einem Mikrochip verbunden sind. RFID-Systeme nutzen unterschiedliche Frequenzbereiche vom Langwellen- bis zum Mikrowellenbereich, die sich auch auf die Lesedistanz auswirken. Ein weiteres Unterscheidungsmerkmal besteht in der jeweils zum Einsatz kommenden Speichertechnologie. Hierbei wird grundsätzlich zwischen Read-only- und Read-write Systemen unterschieden.
Da der RFID-Chip extrem klein und flach ist, kann er problemlos auch in sog. Transponder, die in unterschiedlichen Formen und Größen zur Verfügung stehen, integriert werden. Für die Zutrittskontrolle und Zeiterfassung sind z. B. Schlüsselanhänger sehr beliebt, da diese sich durch ihre Robustheit auszeichnen. Sobald man aber mehr mit dem Medium machen will (Bild, Beschriftung, Besucherausweise mehrfach bedruckbar) kommen Ausweise zum Einsatz. Aktive Transponder besitzen eine eigene Energiequelle (Batterie) und werden meist für hohe Lesedistanzen genutzt, dagegen werden passive Transponder durch das Lesegerät mit Energie versorgt. Zur Zutrittskontrolle, Personalzeit- und Kantinendatenerfassung, werden vorrangig Proximity- Systeme mit passiven Transpondern zur Erkennung in Annäherung des Identträgers zum Lesesystem genutzt. Für einfachste Identifikationszwecke mit geringem Sicherheitsbedarf können nur lesbare (read-only) und nicht programmierbare Identträger ausreichend sein. Die Kenndaten des Chips bestehen aus einer eindeutigen, mehrere Byte langen, Serien- bzw. Ausweisnummer.
Aufgrund der einfachen Funktion kann die Fläche der Chips sehr klein gehalten werden, was zu einer geringen Leistungsaufnahme der Chips und zu niedrigen Preisen in der Herstellung führt. Die erzielbaren Erkennungs- Reichweiten sind dank der geringen Leistungsaufnahme des Mikrochips gegenüber den intelligenten Systemen mit hohem Speicher relativ groß.
Die les- und beschreibbaren (read-/write) Systeme bieten mehr Möglichkeiten in der Anwendung und mehr Sicherheit aufgrund zusätzlicher Verschlüsselungsmöglichkeiten. So kann eine lesund beschreibbare kontaktlose Chipkarte zusätzlich für die Tankdaten- und Kantinenabrechnung, z. B. zur Verbuchung von Beträgen von Verpflegungsautomaten, eingesetzt werden. Weil zum Lesen oder Ändern der größeren Datenmenge mehr Energie benötigt wird, ergibt sich eine Reduzierung der Leserreichweite. Die Speichergrößen variieren zwischen 16 Byte bis zur Zeit 8 kByte.
Vorteil kontaktlos?
Der Vorteil der kontaktlosen Chipkarte liegt in der einfachen Handhabung und darin, dass keine Probleme durch Verschmutzung oder Verschleiß von Kontakten auftreten können. Mittlerweile gibt es eine Vielzahl an kontaktlosen Chipkartentypen. Der RF-Standard legt fest, wie Transponder und Leser miteinander kommunizieren. Er hat einen großen Einfluss auf die Kommunikationsdistanz. Wie bereits erwähnt ist die Lesedistanz abhängig von der Frequenz, dem RFID-Chip, Transpondertyp (Ausweis oder Schlüsselanhänger) und dem jeweiligen Speicherausbau des Identträgers. Beispielsweise hat ein Hitag-Leser mit 125 kHz und geringem Speicher eine größere Kommunikationsdistanz gegenüber einer höheren Frequenz von 13,56 MHz z. B. bei Legic Advant Leser mit höherem Speicherausbau. Auch innerhalb einer Frequenz gibt es Unterschiede in der Kommunikationsdistanz, abhängig vom Identrägertyp und der Größe der Leserantenne. Beispielsweise hat ein kleiner Schlüsselanhänger (Miniantenne) eine geringere Lesedistanz als ein Ausweis bei gleicher Leserantennengröße.
Zurzeit gibt es drei verschiedene Normen, die unterschiedliche Lesereichweiten beschreiben.
Dabei ist zu beachten das es sich hier um theoretische Maximalwerte handelt, die in der Praxis bisher nicht erreicht wurden.
• ISO/IEC 10536: close coupling, CCC für eine
Reichweite bis ca. 1 cm. Bei diesen Systemen
wird der Identträger in das Lesegerät eingesteckt
oder dort aufgelegt. Close-Coupling-
Systeme arbeiten mit Frequenzen unterhalb
von 10 MHz und werden für Zutrittskontrolle
oder Zeiterfassung wenig bis gar nicht genutzt.
• ISO/IEC 14443: proximity coupling, PICC für
eine Reichweite bis ca. 10 cm. Leservarianten:
z. B. Legic advant, Mifare Classic, Mifare
DesFire EV1, iCLass, Einsatzfelder: z. B. ZE/ZK,
ePass, Ticketing, Geldkarte, Eigenschaften:
Geringere Kommunikationsdistanz, Größere
Datenspeicher, Höhere Übertragungsgeschwindigkeit
• ISO/IEC 15693: vicinity coupling, VICC für
eine Reichweite bis ca. 1 m. Leservarianten:
z. B. Legic advant, i-code; Einsatzfelder: z. B.
Logistik, Warenverfolgung, Sport Zeitmessung;
Eigenschaften: Größere Kommunikationsdistanz,
Kleinere Datenspeicher, geringere
Übertragungsgeschwindigkeit
Diese Normen beschreiben die physikalischen und datentechnischen Eigenschaften der Übertragungsstrecke zwischen einem Lesegerät und dem Datenträger. Die erste Standardisierung erfolgte für die „Close Coupling Cards“, die noch aus Zeiten stammen, wo die verfügbaren Mikroprozessoren einen relativ hohen Stromverbrauch hatten, so dass eine Energieübertragung über größere Leseabstände nicht möglich war. Installationen hinter Edelstahl oder Aluminium sind ungünstig, auch andere Materialien können die Lesereichweiten verringern oder verhindern diese gar.Da die Daten eines Transponders auch durch transportable Leser ausspioniert werden können (siehe auch Veröffentlichungen des Chaos Computer Clubs [CCC] zu Mifare Classic und Legic Prime Hack durch CCC), sollte für die Zutrittskontrolle sensibler Bereiche weitere Sicherheiten eingeplant werden. So kann z. B. der Zutritt zusätzlich mit einem PIN, Passwort oder auch biometrischen Erkennungssystem abgesichert werden. Beim Einsatz, z. B. eines Fingerprint- oder Handvenen-Erkennungssystems, können die Referenzdaten in einem entsprechend großen und gegen unerlaubten Zugriff gesicherten Speicher der Chipkarte hinterlegt werden.
Was ist bei der Auswahl zu beachten?
Der Einführungsaufwand oder die Auswahl eines neuen Identträgers, also eines Werksausweises oder Transponders wird leider immer wieder unterschätzt.
Die Schwierigkeit liegt darin sich im unübersichtlichen Angebot multifunktionaler, RFID-basierender Kartensysteme mit einer Vielzahl unterschiedlicher Anbieter und Techniken zurechtzufinden, insbesondere wenn man sich nicht täglich mit diesem Thema beschäftigt. Eine falsche Auswahl kann zu vielen Einschränkungen und zu erhöhten Nachfolgekosten führen. Ausweise werden nicht nur zur Zutrittskontrolle (ZK) und Personalzeiterfassung (PZE) genutzt, sondern dienen auch zum elektronischen Bezahlen oder der Kantinen-, Tank- und Betriebsdatenerfassung (BDE). Dazu ist es meist erforderlich, dass die Ausweisdaten nicht nur gespeichert und gelesen, sondern auch kontrolliert verändert werden können.
Was wird verschwiegen? Auch ist der Speicherbedarf für zukünftig geplante Aufgabenstellungen, z. B. als Medium für die Speicherung eines biometrischen Templates (Algorithmus eines körperspezifischen Merkmales, z. B. Fingerprint), bei der Verifikation (Ausweis plus biometrisches Merkmal) zu berücksichtigen (Bild). Häufig wird vom Verkäufer die Sicherheit einer bestimmten RFID-Codierung herausgestellt, dabei aber verschwiegen, dass diese nicht genormt den aktuellen Stand der Technik entspricht oder herstellerspezifisch ist und diese Ausweis und zugehörigen Leser nur bei diesem Anbieter bezogen werden können. Es sollte deshalb hinterfragt werden welche Alternativen funktionell und preislich bestehen und warum ein bestimmtes Verfahren angeboten wurde. Durch die Kombination mehrerer Codierungen, werden die Eigenschaften, Funktionsweisen und Anwendungsmöglichkeiten dieser verschiedenen Technologien vereint. Beispielsweise kann eine Chipkarte, die auf der Rückseite einen Magnetstreifen trägt, noch mit einem verdeckten Barcode ergänzt werden. Eine sehr interessante Weiterentwicklung ist die sog. Dual-Interface-Card. Auf einem Chip werden die Funktionen einer kontaktlosen und einer kontaktbehafteten Chipkarte vereint. Wahlweise kann der Datenaustausch über induktive Kopplung (kontaktlos) oder über die kontaktbehaftete Schnittstelle erfolgen. Neben der Kombination herkömmlicher Identifikationssysteme können auch unterschiedliche berührungslose Systeme miteinander kombiniert werden.
