gms | German Medical Science

53. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

15. bis 18.09.2008, Stuttgart

Müssen sensible Daten bei der RFID-Datenübertragung zusätzlich geschützt werden?

Meeting Abstract

Search Medline for

  • Bernd Schütze - HI Consulting, Düsseldorf, Deutschland

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. 53. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds). Stuttgart, 15.-19.09.2008. Düsseldorf: German Medical Science GMS Publishing House; 2008. DocMI18-5

The electronic version of this article is the complete one and can be found online at: http://www.egms.de/en/meetings/gmds2008/08gmds199.shtml

Published: September 10, 2008

© 2008 Schütze.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.en). You are free: to Share – to copy, distribute and transmit the work, provided the original author and source are credited.


Outline

Text

Einleitung und Fragestellung

Genau wie beim Strich- oder Barcode ermöglicht Radio Frequency Identification (RFID) eine berührungslose Datenübertragung. In der Medizin und Pharmazie ist RFID ein beliebtes Thema. Ob die Kontrolle von Zutrittsrechten (beispielsweise zu Säuglingsstationen, Intensivstationen oder OP-Sälen), die automatisierte Erfassung des Lagerbestandes (z. B. in der Apotheke) oder die Überwachung von mobilen medizinischen Geräten und Betten in Echtzeit: Viele Anwendungsmöglichkeiten zur optimierten Prozesssteuerung und -überwachung im medizinischen Umfeld sind denkbar. Auch die Patientenversorgung ist im Blickfeld der RFID-Entwicklung [1], [2], ebenso die Forschung. Aber sind die Daten bei der RFID-Datenübertragung durch die RFID-Mechanismen auch hinreichend gesichert?

Material und Methoden

In dieser Arbeit soll überprüft werden, ob der Einsatz von RFID-Systemen hinsichtlich der Sicherheit der medizinischen Daten unbedenklich ist oder ob zum Schutz der Daten gegen unbefugtes Ausspähen oder Abändern zusätzliche Maßnahmen getroffen werden müssen.

Hierzu wurde im ersten Schritt eine Literaturrecherche über die medizinische Datenbank „Medline“ zu diesem Thema durchgeführt. Des weiteren erfolgte eine Recherche mittels des Internets über diese Thematik. Basierend auf den Ergebnissen dieser Recherchen wird das Risikopotential bzgl. der Datensicherheit beim Einsatz von RFID-Systemen aufgezeigt.

Ergebnisse

Grundsätzlich kann ein Angriff auf den Transponder, das Lesegerät oder auf die Kommunikation zwischen beiden erfolgen. Abbildung 1 [Abb. 1] zeigt die verschiedenen denkbaren Angriffsszenarien auf ein RFID-System:

  • Unberechtigtes Auslesen der Daten
  • Die Daten können direkt vom Transponder ausgelesen werden (Abb. 1a [Abb. 1]) oder während der Kommunikation zwischen Lesegerät und Transponder „mitgehört“ werden (Abb. 1g [Abb. 1]).
  • Verändern/fälschen der Daten
  • Die Daten können auf dem Transponder geändert (Abb. 1c [Abb. 1]) oder zerstört (Abb. 1d [Abb. 1]) werden. Je nach Anwendungsszenario können die Daten auch kopiert und auf einen neuen Transponder eingelesen werden.
  • Verhindern des Auslesens der Daten
  • Die Kommunikation zwischen Lesegerät und Transponder kann durch ein Störsignal (Abb. 1f [Abb. 1]) verhindert oder durch einen Denial-of-Service-Angriff (Abb. 1b [Abb. 1]) blockiert werden. Das Entfernen eines evtl. vorhandenen Trägerobjektes (Abb. 1e [Abb. 1]) verhindert, dass der Transponder in Reichweite des Lesegerätes gebracht werden kann.
Ausspähen der Daten aus größerer Entfernung

Durch die Vergrößerung der Lesereichweite kann ein Transponder aus sicherer Entfernung ausgelesen werden.

a) Lauschen mittels induktiver Kopplung

Soll die Reichweite eines RFID-Lesegerätes vergrößert werden, muss die Energiereichweite des Lesegerätes vergrößert werden. Hierzu wird der Durchmesser der Leseantenne sowie der Strom in der Sendeantenne erhöht. Die Reichweite eines Lesegerätes, welches 13,56 MHz Transponder aus 10 cm ausliest, kann selbst unter Optimierung aller Parameter nicht über mehr als 40 cm vergrößert werden.

b) Abhören bei Backscatter-Kopplung

Bei den heute verbreiteten Backscatter-Systemen ist zunächst einmal die für den Betrieb des Transponders benötigte Energie für die Reichweite des Systems ausschlaggebend. Mit vertretbarem Aufwand kann aus heutiger Sicht die Reichweite eines Lesegerätes auf das 20fache des Ursprungswertes gesteigert werden [3].

Abhören der Kommunikation

RFID-Systeme kommunizieren mittels (elektro-) magnetischen Wellen, daher ist das Abhören der Systeme grundsätzlich möglich. Die für RFID-Systeme angegeben Reichweiten von wenigen Zentimetern (13,56 MHz, ISO/IEC 14443) bis hin zu mehreren Metern (868 MHz, ISO/IEC 18000-6) gelten für die aktive Kommunikation, bei welcher der Transponder mit Energie versorgt werden muss. Das passive Abhören der Kommunikation hingegen ist auf eine größere Umgebung möglich [4].

Kopieren eines Transponders / Ändern der Transponder-Daten

Durch den Ersatz des PROM, welches die Seriennummer erhält, durch ein mehrfach programmierbares EEPROM ist das „RFID-Cloning“ relativ leicht zu bewerkstelligen. Der Kanadier Jonathan Westhues beschreibt auf seiner Internetseite den Aufbau einer Schaltung zum Auslesen und Kopieren von RFID-Transpondern [5]. Bei den beschreibbaren RFID-Transpondern können die Speicherbereiche völlig nach Belieben gelesen und beschrieben werden.

Verhindern des Auslesens des Transponders

Im einfachsten Fall reicht es, einen Transponder in eine metallische Folie (z. B. „Alu-Haushaltsfolie“) zu wickeln, denn bei induktiv gekoppelten Transpondern wird der Antennenschwingkreis des Transponders durch eine Metalloberfläche verändert [6]. Zusätzlich wird das magnetische Feld des Lesegerätes durch Wirbelstromverluste in der Metallfolie gedämpft. Antennen von UHF-Transpondern werden durch das Auf- und Einbringen in ein Dielektrikum (z. B. Glas oder Kunststoff) verstimmt und so nach dem obengenannten Prinzip die Kommunikation verhindert.

Zerstören des Transponders

In der Regel ist der Transponder für einen Angreifer am leichtesten zugänglich und dessen Zerstörung fällt relativ leicht. Bei der Diebstahlsicherung im Kaufhaus reicht hier beispielsweise die Zerstörung der Antenne, z. B. durch Durchtrennung oder Durchbrechen.

Diskussion

Die Verwendung von RFID-Systemen wird in Zukunft zunehmen, neue Einsatzmöglichkeiten entwickelt und neue Anwendungsfelder erschlossen werden. Werden RFID-Systeme in sicherheitsrelevanten Umgebungen eingesetzt, muss mit potenziellen Angriffsversuchen gerechnet werden und entsprechende Schutzvorkehrungen getroffen werden.

Kryptographische Funktionen bieten sich zum Schutz der Daten vor unberechtigtem Auslesen an. Die Verwendung kryptographischer Funktionen verhindert jedoch die Nutzung billigerer Transponder, da vergleichsweise mehr Daten auf den Transpondern geschrieben werden müssen. Kryptographie kann heute das Kopieren eines Transponders noch nicht verhindern, obwohl hier interessante Ansätze vorhanden sind [7], [8]. Zum Schutz dieser potenziellen Schwachstelle müssen ebenso wie zur Verhinderung der Störung der Kommunikation zwischen Lesegerät und Transponder zusätzlich organisatorische Schutzmaßnahmen ergriffen werden [6].


Literatur

1.
Reicher J, Reicher D, Reicher M. (2007) Use of Radio Frequency Identification (RFID) Tags in bed-side monitoring of endotracheal Tube position. Jour-nal of Clinical Monitoring and Computing 21:155–158.
2.
Rogers A, Jones E, Oleyniko D. (2007) Radio fre-quency identification (RFID) applied to surgical sponges. Surg Endosc. 21(7): 1235-1237.
3.
Finkenzeller K. (2006) RFID-Handbuch [Online, zitiert 2007-08-23]; Verfügbar unter http://www.deutschesfachbuch.de/info/detail.php?isbn=3446403981&part=4&words=zulssige+Ausmitte+bei+einachsiger+biegung&PHPSESSID=spa95ea6cf01. External link
4.
Bundesamt für Sicherheit in der Informationstechnik – BSI (2004) Risiken und Chancen des RFID-Einsatzes. [Online, zitiert 2007-08-23]; Verfügbar unter http://www.bsi.de/fachthem/rfid/RIKCHA_barrierefrei.pdf. External link
5.
Westhues J. (2003) Proximity Cards [Online, zitiert 2007-08-23]; Verfügbar unter http://cq.cx/prox.pl. External link
6.
Peris-Lopez, P Hernandez-Castro JC, Estevez-Tapiador JM, Ribagorda A. (2006) RFID Systems: A Survey on Security Threats and Proposed Solutions. Lecture Notes in Computer Science. 4217: 159—170.
7.
Lemieux S, Tang A. (2007) Clone Resistant Mutual Authentication for Low-Cost RFID and Contactless Credit Cards. Cryptology ePrint Archive, Report 2007/170 [Online, zitiert 2007-08-23]; Verfügbar unter http://eprint.iacr.org/2007/170.pdf. External link
8.
Zhang X, King B. (2007) An Anti-Counterfeiting RFID Privacy Protection Protocol. Journal of Com-puter Science and Technology. 22(3): 438 – 448.