9 Angriffsarten auf RFID-Systeme
Daten, die zwischen RFID-Lesern und -Transpondern ausgetauscht werden, können von Angreifern gelesen, missbraucht, manipuliert oder zerstört werden. Nachfolgend werden die grundlegenden Angriffsarten auf RFID-Systeme, die zur Personenidentifikation eingesetzt werden, erläutert (vgl. Abbildung 11).
Abhören und Manipulieren der RFID-Kommunikation: Bei solchen Attacken schaltet sich der Angreifer zwischen die Kommunikation von RFID-Leser und Ausweis oder Transponder. Abgesendete Daten werden vom Angreifer abgefangen und manipuliert an den Empfänger weitergereicht. Empfänger und Sender bemerken den zwischengeschalteten Angreifer nicht und gehen von einer vertrauenswürdigen Quelle aus. Das Risiko wächst mit der maximalen Lesedistanz des regulären Lesevorgangs. Bei Transpondern mit sehr kurzer Reichweite ist das Risiko eher gering.
Unautorisiertes Auslesen oder Verändern der Daten:Der Angreifer versucht Daten, die auf dem RFID-Chip gespeichert sind oder zwischen dem Chip und dem Lesegerät versendet werden, auszulesen. Dabei kommen grundsätzlich zwei Methoden zum Einsatz: Entweder wird die laufende Datenkommunikation zwischen RFID-Tag und Lesegerät mittels Empfängers abgehört, oder der Chip wird mit einem eigenen Lesegerät ausgelesen [4].
Wird der Schreibschutz vernachlässigt, können Daten auch gefälscht oder manipuliert werden. Sogenannte Replay-Attacken (Angriff durch Wiedereinspielung) verfolgen das Ziel, eine zuvor abgehörte echte Datenkommunikation zu einem späteren Zeitpunkt erneut einzuspielen, um so die Präsenz eines autorisierten Lesegeräts vorzutäuschen.
Die Möglichkeiten solcher Angriffe sind aufgrund der kurzen Reichweite eng begrenzt; in einem kontrollierten Umfeld können sie deshalb unterbunden werden. Werden Read-only-Transponder verwendet, ist das unautorisierte Verändern der Daten ausgeschlossen. Diesem Vorteil der Read-only-Transponder steht der Nachteil gegenüber, dass Verschlüsselung und sichere Authentifizierung mit ihnen nicht realisierbar sind [5].
Cloning und Emulation:
Bei dieser Methode werden mit den Dateninhalten eines RFID-Transponders eigene Duplikate nachgebaut. Dabei bringt sich der Angreifer in den Besitz von ID- und eventuellen Sicherheitsinformationen eines Transponders und benutzt diese, um gegenüber einem Lesegerät dessen Identität vorzutäuschen. Dazu wird der Dateninhalt eines Transponders ausgelesen oder auf andere Weise in Erfahrung gebracht, um damit einen neuen Transponder zu beschreiben. Dies kann durch ein Gerät geschehen, das beliebige Transponder emulieren kann, oder indem ein oder mehrere Duplikate des alten hergestellt werden (Cloning). Dieses wird dann benutzt, um die Identität des Original-Transponders vorzutäuschen. Dieser Angriff bewirkt, dass ggf. mehrere Transponder mit gleicher Identität in Umlauf sind. Daneben ist der Einsatz von Geräten mit hoher Funktionalität denkbar, die benutzt werden, um bei gegebenem Dateninhalt beliebige Transponder zu emulieren [].
Bei dieser Methode werden mit den Dateninhalten eines RFID-Transponders eigene Duplikate nachgebaut. Dabei bringt sich der Angreifer in den Besitz von ID- und eventuellen Sicherheitsinformationen eines Transponders und benutzt diese, um gegenüber einem Lesegerät dessen Identität vorzutäuschen. Dazu wird der Dateninhalt eines Transponders ausgelesen oder auf andere Weise in Erfahrung gebracht, um damit einen neuen Transponder zu beschreiben. Dies kann durch ein Gerät geschehen, das beliebige Transponder emulieren kann, oder indem ein oder mehrere Duplikate des alten hergestellt werden (Cloning). Dieses wird dann benutzt, um die Identität des Original-Transponders vorzutäuschen. Dieser Angriff bewirkt, dass ggf. mehrere Transponder mit gleicher Identität in Umlauf sind. Daneben ist der Einsatz von Geräten mit hoher Funktionalität denkbar, die benutzt werden, um bei gegebenem Dateninhalt beliebige Transponder zu emulieren [].
Mechanische oder chemische Zerstörung:RFID-Transponder können mechanisch oder chemisch beschädigt werden. So kann die Antenne meist mit einfachen Hilfsmitteln durchtrennt oder abgeschnitten werden. RFID-Ausweise, die oft gebogen oder sogar geknickt werden, können die Antenne beschädigen. Dann weisen Transponder, z. B. in Form eines Schlüsselanhängers, eine höhere Robustheit auf. Auch der Chip kann z. B. mittels Hammerschlags und/oder scharfkantiger Werkzeuge entfernt oder beschädigt werden.
Zerstörung durch Missbrauch eines Kill-Kommandos:Wenn Transponder aus Gründen des Datenschutzes mit einer Kill-Funktion ausgestattet werden, die den Dateninhalt teilweise oder vollständig löscht, so besteht grundsätzlich die Möglichkeit, dass ein Angreifer diese missbraucht.
Entladen der Batterie (nur bei aktiven Transpondern):Bei aktiven Transpondern, die über eine Stützbatterie verfügen, kann diese entladen werden, indem der Transponder durch eine rasche Abfolge von Anfragen zum häufigen Senden angeregt wird.
Blocken:Eine einfache Methode, die Datenkommunikation zwischen Reader und Tag zu unterbrechen, besteht darin, eine mechanische Abschirmung anzubringen. In vielen Fällen reicht eine Schutzfolie aus Metall aus, um die wechselseitige Kommunikation zu verhindern. Dies kann auch als Klonschutz dienen bzw. um sicherzustellen, dass z. B. beim Transport des RFID-Identträgers kein unautorisiertes Auslesen der Daten erfolgt.
Durch sogenannte Blocker-Tags wird gegenüber dem Lesegerät die Anwesenheit einer beliebigen Anzahl von Transpondern simuliert, so dass dieses blockiert wird. Ein Blocker-Tag muss für das jeweils verwendete Antikollisionsprotokoll ausgelegt sein, oder es muss ein universelles Blocker-Gerät eingesetzt werden, das alle verwendeten Protokolle beherrscht. Die Benutzung von Blocker-Tags ist im Gegensatz zu Störsendern nicht gesetzlich verboten, weil es sich aufgrund der passiven Ausführung nicht um Sendeanlagen handelt [].
Störsender:Durch aktive Störsender kann das elektromagnetische Feld zwischen RFID-Tag und Lesegerät beeinflusst werden und damit ebenfalls die Datenkommunikation unterbrechen. Allerdings erfordert eine wirkungsvolle Störung des Betriebs auf Entfernung (RFID-Long-Range-Systeme) sehr starke Sender. Der Betrieb solcher Störsender ist illegal, und sie sind für technisch nicht versierte Personen schwer zu beschaffen; Amateurfunker haben jedoch Zugang zu dieser Technologie.
Frequenzverstimmung:Dieser Angriff beruht darauf, relevante Mengen von z. B. Wasser, Metall oder Ferrit in die Nähe der Transponderantenne zu bringen. Frequenzverstimmung ist aus Sicht eines Angreifers aber weniger zuverlässig in der Wirkung als die Abschirmung.
Ermittlung von Bewegungsprofilen:Beim Einlesen der Daten des RFID-Identträgers können durch Zuordnung von z. B. Ausweisnummern und den Zeitpunkten der Erfassung an Lesern/Terminals umfangreiche Bewegungsprofile erstellt werden. Diese Methode wird angewendet, wenn personenbezogene Daten bekannt sind, wie beim Einsatz von Ausweisen zur Personalzeiterfassung oder Zutrittskontrolle. Bei kartengesteuerten betrieblichen Anwendungen ist die Ermittlung von Bewegungsprofilen ohne Zustimmung des Betriebsrats und Berücksichtigung in einer Betriebsvereinbarung unzulässig.