Article
Müssen sensible Daten bei der RFID-Datenübertragung zusätzlich geschützt werden?
Search Medline for
Authors
Published: | September 10, 2008 |
---|
Outline
Text
Einleitung und Fragestellung
Genau wie beim Strich- oder Barcode ermöglicht Radio Frequency Identification (RFID) eine berührungslose Datenübertragung. In der Medizin und Pharmazie ist RFID ein beliebtes Thema. Ob die Kontrolle von Zutrittsrechten (beispielsweise zu Säuglingsstationen, Intensivstationen oder OP-Sälen), die automatisierte Erfassung des Lagerbestandes (z. B. in der Apotheke) oder die Überwachung von mobilen medizinischen Geräten und Betten in Echtzeit: Viele Anwendungsmöglichkeiten zur optimierten Prozesssteuerung und -überwachung im medizinischen Umfeld sind denkbar. Auch die Patientenversorgung ist im Blickfeld der RFID-Entwicklung [Ref. 1], [Ref. 2], ebenso die Forschung. Aber sind die Daten bei der RFID-Datenübertragung durch die RFID-Mechanismen auch hinreichend gesichert?
Material und Methoden
In dieser Arbeit soll überprüft werden, ob der Einsatz von RFID-Systemen hinsichtlich der Sicherheit der medizinischen Daten unbedenklich ist oder ob zum Schutz der Daten gegen unbefugtes Ausspähen oder Abändern zusätzliche Maßnahmen getroffen werden müssen.
Hierzu wurde im ersten Schritt eine Literaturrecherche über die medizinische Datenbank „Medline“ zu diesem Thema durchgeführt. Des weiteren erfolgte eine Recherche mittels des Internets über diese Thematik. Basierend auf den Ergebnissen dieser Recherchen wird das Risikopotential bzgl. der Datensicherheit beim Einsatz von RFID-Systemen aufgezeigt.
Ergebnisse
Grundsätzlich kann ein Angriff auf den Transponder, das Lesegerät oder auf die Kommunikation zwischen beiden erfolgen. Abbildung 1 [Abb. 1] zeigt die verschiedenen denkbaren Angriffsszenarien auf ein RFID-System:
- Unberechtigtes Auslesen der Daten
- Die Daten können direkt vom Transponder ausgelesen werden (Abb. 1a [Abb. 1]) oder während der Kommunikation zwischen Lesegerät und Transponder „mitgehört“ werden (Abb. 1g [Abb. 1]).
- Verändern/fälschen der Daten
- Die Daten können auf dem Transponder geändert (Abb. 1c [Abb. 1]) oder zerstört (Abb. 1d [Abb. 1]) werden. Je nach Anwendungsszenario können die Daten auch kopiert und auf einen neuen Transponder eingelesen werden.
- Verhindern des Auslesens der Daten
- Die Kommunikation zwischen Lesegerät und Transponder kann durch ein Störsignal (Abb. 1f [Abb. 1]) verhindert oder durch einen Denial-of-Service-Angriff (Abb. 1b [Abb. 1]) blockiert werden. Das Entfernen eines evtl. vorhandenen Trägerobjektes (Abb. 1e [Abb. 1]) verhindert, dass der Transponder in Reichweite des Lesegerätes gebracht werden kann.
Ausspähen der Daten aus größerer Entfernung
Durch die Vergrößerung der Lesereichweite kann ein Transponder aus sicherer Entfernung ausgelesen werden.
a) Lauschen mittels induktiver Kopplung
Soll die Reichweite eines RFID-Lesegerätes vergrößert werden, muss die Energiereichweite des Lesegerätes vergrößert werden. Hierzu wird der Durchmesser der Leseantenne sowie der Strom in der Sendeantenne erhöht. Die Reichweite eines Lesegerätes, welches 13,56 MHz Transponder aus 10 cm ausliest, kann selbst unter Optimierung aller Parameter nicht über mehr als 40 cm vergrößert werden.
b) Abhören bei Backscatter-Kopplung
Bei den heute verbreiteten Backscatter-Systemen ist zunächst einmal die für den Betrieb des Transponders benötigte Energie für die Reichweite des Systems ausschlaggebend. Mit vertretbarem Aufwand kann aus heutiger Sicht die Reichweite eines Lesegerätes auf das 20fache des Ursprungswertes gesteigert werden [Ref. 3].
Abhören der Kommunikation
RFID-Systeme kommunizieren mittels (elektro-) magnetischen Wellen, daher ist das Abhören der Systeme grundsätzlich möglich. Die für RFID-Systeme angegeben Reichweiten von wenigen Zentimetern (13,56 MHz, ISO/IEC 14443) bis hin zu mehreren Metern (868 MHz, ISO/IEC 18000-6) gelten für die aktive Kommunikation, bei welcher der Transponder mit Energie versorgt werden muss. Das passive Abhören der Kommunikation hingegen ist auf eine größere Umgebung möglich [Ref. 4].
Kopieren eines Transponders / Ändern der Transponder-Daten
Durch den Ersatz des PROM, welches die Seriennummer erhält, durch ein mehrfach programmierbares EEPROM ist das „RFID-Cloning“ relativ leicht zu bewerkstelligen. Der Kanadier Jonathan Westhues beschreibt auf seiner Internetseite den Aufbau einer Schaltung zum Auslesen und Kopieren von RFID-Transpondern [Ref. 5]. Bei den beschreibbaren RFID-Transpondern können die Speicherbereiche völlig nach Belieben gelesen und beschrieben werden.
Verhindern des Auslesens des Transponders
Im einfachsten Fall reicht es, einen Transponder in eine metallische Folie (z. B. „Alu-Haushaltsfolie“) zu wickeln, denn bei induktiv gekoppelten Transpondern wird der Antennenschwingkreis des Transponders durch eine Metalloberfläche verändert [Ref. 6]. Zusätzlich wird das magnetische Feld des Lesegerätes durch Wirbelstromverluste in der Metallfolie gedämpft. Antennen von UHF-Transpondern werden durch das Auf- und Einbringen in ein Dielektrikum (z. B. Glas oder Kunststoff) verstimmt und so nach dem obengenannten Prinzip die Kommunikation verhindert.
Zerstören des Transponders
In der Regel ist der Transponder für einen Angreifer am leichtesten zugänglich und dessen Zerstörung fällt relativ leicht. Bei der Diebstahlsicherung im Kaufhaus reicht hier beispielsweise die Zerstörung der Antenne, z. B. durch Durchtrennung oder Durchbrechen.
Diskussion
Die Verwendung von RFID-Systemen wird in Zukunft zunehmen, neue Einsatzmöglichkeiten entwickelt und neue Anwendungsfelder erschlossen werden. Werden RFID-Systeme in sicherheitsrelevanten Umgebungen eingesetzt, muss mit potenziellen Angriffsversuchen gerechnet werden und entsprechende Schutzvorkehrungen getroffen werden.
Kryptographische Funktionen bieten sich zum Schutz der Daten vor unberechtigtem Auslesen an. Die Verwendung kryptographischer Funktionen verhindert jedoch die Nutzung billigerer Transponder, da vergleichsweise mehr Daten auf den Transpondern geschrieben werden müssen. Kryptographie kann heute das Kopieren eines Transponders noch nicht verhindern, obwohl hier interessante Ansätze vorhanden sind [Ref. 7], [Ref. 8]. Zum Schutz dieser potenziellen Schwachstelle müssen ebenso wie zur Verhinderung der Störung der Kommunikation zwischen Lesegerät und Transponder zusätzlich organisatorische Schutzmaßnahmen ergriffen werden [Ref. 6].
Literatur
- 1.
- Reicher J, Reicher D, Reicher M. (2007) Use of Radio Frequency Identification (RFID) Tags in bed-side monitoring of endotracheal Tube position. Jour-nal of Clinical Monitoring and Computing 21:155–158.
- 2.
- Rogers A, Jones E, Oleyniko D. (2007) Radio fre-quency identification (RFID) applied to surgical sponges. Surg Endosc. 21(7): 1235-1237.
- 3.
- Finkenzeller K. (2006) RFID-Handbuch [Online, zitiert 2007-08-23]; Verfügbar unter http://www.deutschesfachbuch.de/info/detail.php?isbn=3446403981&part=4&words=zulssige+Ausmitte+bei+einachsiger+biegung&PHPSESSID=spa95ea6cf01.
- 4.
- Bundesamt für Sicherheit in der Informationstechnik – BSI (2004) Risiken und Chancen des RFID-Einsatzes. [Online, zitiert 2007-08-23]; Verfügbar unter http://www.bsi.de/fachthem/rfid/RIKCHA_barrierefrei.pdf.
- 5.
- Westhues J. (2003) Proximity Cards [Online, zitiert 2007-08-23]; Verfügbar unter http://cq.cx/prox.pl.
- 6.
- Peris-Lopez, P Hernandez-Castro JC, Estevez-Tapiador JM, Ribagorda A. (2006) RFID Systems: A Survey on Security Threats and Proposed Solutions. Lecture Notes in Computer Science. 4217: 159—170.
- 7.
- Lemieux S, Tang A. (2007) Clone Resistant Mutual Authentication for Low-Cost RFID and Contactless Credit Cards. Cryptology ePrint Archive, Report 2007/170 [Online, zitiert 2007-08-23]; Verfügbar unter http://eprint.iacr.org/2007/170.pdf.
- 8.
- Zhang X, King B. (2007) An Anti-Counterfeiting RFID Privacy Protection Protocol. Journal of Com-puter Science and Technology. 22(3): 438 – 448.