“RFID ist nicht gefährlicher als Bluetooth”

Das Expertengremium Eicar hat einen Leitfaden für die RFID-Technik präsentiert, an Hand dessen Unternehmen sehen können, ob ihre Funkchip-Installation gesetzeskonform ist.

Das Papier mit dem Titel “Leitfaden: RFID und Datenschutz” soll der Aufklärung dienen und Firmen zum einen die gesetzlichen und datenschutzrechtlichen Rahmenbedingungen bei RFID aufzeigen. Zum anderen soll es ihnen die Möglichkeit geben, in einer Art Selbstverpflichtung den Anwendern gegenüber Sicherheit zu geben. Robert Niedermeier, Vorstandsmitglied der Eicar (European Expert Group for IT-Security) kann sich den Leitfaden “gut als Anhang zu den AGBs von Verträgen vorstellen”.

Inhaltlich konzentriert sich das Richtlinienpapier auf den Datenschutz. Anhand dreier Szenarien wird aufgezeigt, welche datenschutzrechtlichen Erfordernisse für bestimmte Einsatzgebiete zu beachten sind. Angesprochen werden unter anderem die Situation, dass der RFID-Tag nach Erwerb der Ware entfernt wird, und der Umstand, Chips mit Produkt- und Kundendaten auszulesen.

Wenn sich die Anwender an den dort beschriebenen Datenschutz auf der Basis der bestehenden Gesetze halten, seien die Kunden, die mit RFID-Tags in Berührung kommen, ausreichend geschützt. So sieht es auch Johannes Landvogt vom Verband BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Dennoch hält er es für einen Kompromiss. “Die Vertreter vom Datenschutz hätten gerne noch mehr eigene Forderungen untergebracht.” Immerhin aber sorge der Leitfaden für Transparenz beim Einsatz von RFID und achte den Grundsatz der Datensparsamkeit. Der schreibt vor, möglichst wenig personenbezogene Daten zu speichern.

“Bluetooth ist viel gefährlicher”, sagte Rainer Fahs, Vorstandschef bei der Eicar, um die Diskussion um das Gefährdungspotenzial bei RFID zu relativieren. Damit gingen Anwender viel laxer um und öffneten mit ungesicherten Handys beispielsweise Tür und Tor für Spürnasen. Damit das bei der Funktechnologie erst gar nicht passieren kann, machen auch Security-Hersteller in der Task Force unter dem Dach der Eicar mit. Norbert Olbricht von RSA macht sich noch keine so großen Sorgen um die Sicherheit bei RFID-Daten. RFID selbst werde ja auch nicht gesichert, sondern die Daten im Backend. “Und da arbeiten Systeme, die sonst auch Daten sichern.” Die Schutzmechanismen hierfür seien bekannt.

Nicht zuletzt deshalb forscht die Task Force RFID, der unter anderem auch Microsoft, IBM, SAP, Sun, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Nato angehören, an verschlüsselbaren RFID-Tags – schließlich wisse man nicht, welche Arten des Missbrauchs in der Zukunft stattfinden werden. Das sei aber immens schwer, so Fahs, “weil auf den kleinen Chip mit geringer Speicherkapazität nicht auch noch eine Verschlüsselungssoftware drauf passt”.

Da wäre man beim Thema Viren auf RFID-Tags. Diesbezüglich zeigten sich die Experten gelassen. “Das ist derzeit Nonsens”, sagte Niedermeier. Denn die Schadsoftware befalle ja nicht den Tag selbst, sofern sie überhaupt auf den Chip passe, sondern nutze ihn lediglich als Transportmittel. Das könnte dann dazu führen, dass Attacken gegen Tags gefahren werden, die das Auslesen verhinderten oder Kassen in Supermärkten zum Absturz bringen.

Aus all diesen Gründen sieht die Eicar den Leitfaden als “dynamisches Papier”, das je nach technologischer Entwicklung angepasst werden kann, denn “wir suchen nach Antworten für die es noch keine Fragen gib”, fasste es Rainer Fahs bei der Präsentation zusammen. Und, die Mitglieder der RFID Task Force sind sich bewusst darüber, dass der Leitfaden in seiner jetzigen Fassung nicht abschließend sein kann.