RFID-Chips sind anfällig für Viren

Sibylle Gaßner,

Bisher haben vor allem Datenschützer die Funktechnik RFID kritisiert – jetzt melden sich Sicherheitsexperten zu Wort. Mit gehackten RFID-Chips könnten beispielsweise Terroristen Gepäckkontrollen umgehen.

In einem Grundsatzpapier, das Forscher der Freien Universität Amsterdam erstellt haben, heißt es, RFID-Malware sei eine Büchse der Pandora. So sei es möglich, dass ein Gepäckscanner am Flughafen den Virus eines infizierten RFID-Tags ausliest und anschließend damit weitere Koffer- und Taschen-Tags infiziert. Auf diesem Weg könnten dann ‘verseuchte’ Gepäckstücke auch zu anderen Flughäfen gelangen. Schmugglern und Terroristen wiederum wäre es möglich, mit Hilfe manipulierter RFID-Tags Sicherheitssysteme zu umgehen.

Auch andere Branchenexperten beobachten die Entwicklung des RFID-Marktes mit Sorge. “Es sollte nicht überraschen wenn ein System, dass so billig wie möglich hergestellt werden soll, ohne wie auch immer geartete Sicherheitsvorkehrungen entwickelt wird”, sagte Peter Neumann von SRI International, einer auf Security spezialisierten Forschungsfirma, gegenüber US-Medien.

Neumann ist Mitautor eines Artikels, der sich mit den Risken von RFID-Systemen beschäftigt und im Mai veröffentlicht wird. Nach seinen Worten sind RFID-Systeme ein Sicherheitsdesaster, das nur darauf wartet, einzutreten. Problemtisch sei unter anderem die unzureichende Identifizierung für Nutzer, die Möglichkeit Tags zu fälschen oder zu deaktivieren, sowie schwache Verschlüsselungsmechanismen. Die Gefahr durch Viren und andere Schadsoftware habe er bislang allerdings noch nicht in Betracht gezogen.

Hier setzt jedoch die Arbeit des niederländischen Forschungsteams an. Grundlage ihrer Arbeit sei zwar nicht kommerzielle Software, die Informationen von RFID-Readern sammelt und verwaltet. Stattdessen habe man jedoch Programme genutzt, die solche Lösungen replizieren. “Wir haben keine spezifischen Löcher gefunden”, sagte Projektleiter Andrew Tanenbaum. Die Erfahrung zeige jedoch, dass Software, die von großen Unternehmen geschrieben wird, Fehler beinhaltet.

Die Wissenschaftler räumten einerseits ein, dass in vielen Fällen Insider-Informationen nötig seien, um ein feindliches Programm einzuschleusen. Andererseits gehen sie davon aus, dass die kommerzielle Software, die für RFID-Applikationen entwickelt wird, genauso anfällig für Viren und Malware ist wie der Rest der Computerindustrie.

Eine solches Standardproblem der Industrie sind Buffer Overflows. Dieses Problem taucht auf, wenn ein Programmierer Datenspeicher bestimmt, der bedarfsweise Daten empfängt – gleichzeitig aber vergisst, die Größe des zugeordneten Platzes zu definieren. Unerwartet große Datenpakete können ein solches System dann zum Zusammenbruch bringen und den Weg für schädliche Programme öffnen. “Man sollte den gesamten Input die ganze Zeit überprüfen, aber die Erfahrung zeigt, dass das nicht der Fall ist”, so Tanenbaum.

Den Wissenschaftlern ist nach eigenen Angaben bewusst, dass es ein Risiko ist, Wissen über mögliche Sicherheitslücken in computerbasierten Systemen zu veröffentlichen. Um einige möglichen Angriffe, die beschrieben werden, abzufangen, nennen sie deshalb zusätzlich eine Reihe von Maßnahmen, die dabei helfen, RFID-Chips vor solchen Attacken zu schützen. Der gesamte Artikel kann im Internet eingesehen werden.