RFID ist alles andere als sicher

Die Funketikettentechnik RFID (Radio Frequency Identification) schürt nicht nur Ängste bei potentiellen gläsernen Konsumenten. Ebenso riskant kann sie für Unternehmen sein, wenn die Sicherheit nicht gewährleistet ist.

Der Schaden, den böswillige Code-
und Verschlüsselungs-Knacker verursachen würden, könnte schnell einmal in die Millionen gehen.
Genau das haben sich Avi Rubin und seine Forscherkollegen an der Johns Hopkins University in Baltimore auch überlegt. Die Security-Spezialisten nahmen die angeblich so sichere RFID-Methode Digital Signature Transponder (DST) von Texas Instruments (TI) zuerst unter die Lupe – und dann buchstäblich auseinander. Mit Hilfe von Reverse-Engineering-Techniken und herkömmlichen Software-Tools gelang es ihnen innerhalb von zwei Monaten, den Verschlüsselungsalgorithmus von DST zu knacken.

Wären die Forscher Autodiebe, hätten sie sodann leichtes Spiel gehabt, denn TIs Technik wird in den USA in Autoschlüsseln für die Aktivierung und Auflösung von elektronisch
gesteuerten Wegfahrsperren eingesetzt. Stattdessen publizierten Rubin und seine Leute ihre Analyse. Das Ergebnis fällt ernüchternd aus: TI verwendet in seinem System eine veraltete 40-Bit-Verschlüsselung für den Datenaustausch zwischen den RFID-Tags und den Lesegeräten. Trotzdem – oder absurderweise gerade deswegen – sieht der Hersteller keinen Anlass, seine Produkte sicherer zu machen. Die Begründung: Die DST-Tags seien in ihrer jetzigen Gestalt schnell und preisgünstig – und Datenschutz sowie Sicherheit seien in diesem Fall eher zweitrangig.