Des Hackers fette Beute: RFID-Tags

RFID-Tags sind hackbar, die kleinen und billigen Aufkleber kommen schon jetzt vereinzelt bei Einzelhändlern zum Einsatz.

RFID-Tags sind hackbar. Die kleinen und billigen Aufkleber kommen schon jetzt vereinzelt bei Einzelhändlern zum Einsatz. Offenbar haben aber die Entwickler die Rechnung ohne den Wirt gemacht. Denn jetzt hat ein deutsches Unternehmen demonstriert, wie technisch versierte Ladendiebe die Identität einer Ware verändern können, indem sie die Funk-Chips kurzerhand umprogrammieren.
“Das birgt enormes Risiko für Unternehmen” erklärte Lukas Grunwald, Geschäftsführer bei DN-Systems Enterprise Solutions GmbH. Bislang hatten sich Sicherheitsbedenken bei der neuen Technologie auf die Privatsphäre der Konsumenten beschränkt, aber jetzt wird RFID auch für Unternehmen zum Risiko. “Es eröffnen sich ganz neue Möglichkeiten des Ladendiebstahls und auch für Attacken”, so Grunwald. Für ihn ist es lediglich eine Frage der Zeit, dass die neue Technik in alle Lebensbereiche vorstoßen wird und all die Vorteile, die sich bieten, könnten auch ausgenutzt werden.

Bislang hätten hohe Entwicklungskosten, teure Hardware und komplizierte Software Sicherheitsforschung verhindert. Aber mit dem neuen Verfahren, das Grunwald auf dem Black-Hat-Sicherheitstreffen vorstellte, können die Funk-Chips gelesen und umprogrammiert werden. Sollten auch Hacker in den Besitz der Software gelangen, dann könnten sie mit Hilfe eines mobilen Gerätes und der Software zum Beispiel teure Produkte in billige umprogrammieren und dann aus dem Laden marschieren.

Über die Software ‘RFDump’ können also Chips ausgelesen und umprogrammiert werden. Eine Möglichkeit wäre, die Daten auf dem Chip verschlüsselt vorzuhalten. Doch würde das wiederum auf die Performance der Tags schlagen. Chips, die wiederum verschlüsselungsfähig sind, zählen zu den teuersten auf dem Markt. Für normale Lebensmittel zum Beispiel kämen dann teure RFID-Chips nicht mehr in Frage. “Jeder sollte auf der anderen Seite das Recht haben, sobald er den Laden verlässt, den RFID-Tag zu löschen”, fügte Grunwald an.