Wie sicher sind personenbezogene Daten in RFID-Chips?
Transponder haben bei Verbrauchern einen schlechten Ruf. Negativschlagzeilen wie „Der Schnüffel-Chip im Joghurt-Becher“ oder „Der Spion im Einkaufswagen“ beschwören das Bild vom gläsernen Kunden. Auch die öffentliche Diskussion um elektronische Personaldokumente wird vom Großen Bruder überschattet. Zweifellos gilt: Hundertprozentige Sicherheit kann es beim RFID-Einsatz genauso wenig geben wie bei irgendeiner anderen Technologie.
Veröffentlicht: Septemberausgabe 2008 "RFID im Blick"
Realistisch gegeneinander abwägen jedoch lassen sich Risiko und Nutzen immer nur mit Bezug auf das konkrete Anwendungsszenario. Dabei geht es zum einen um das jeweilige Schutzbedürfnis der im RFID-Chip gespeicherten Informationen, zum anderen um geeignete, wirtschaftlich vertretbare Schutzmaßnahmen. Oftmals zeigt sich, dass nicht die kontaktlose Datenübermittlung das eigentliche Schwachstellenpotenzial birgt, sondern die zentrale Datenhaltung im Hintergrund. In anderen Fällen, zum Beispiel im Einzelhandel, lassen sich Geschäftsmodelle ohne weiteres so auslegen, dass datenschutzrechtlich bedenkliche Verknüpfungsmöglichkeiten von vornherein ausgeschlossen sind. In jedem Fall aber müssen Sorgen von Bürgern und Konsumenten ernstgenommen werden. Transparenz und Aufklärung sind notwendig. Denn anders lässt sich breite Akzeptanz für die chancenreiche Technologie auf Dauer nicht erreichen.
Ab November 2010 soll der neue elektronische Personalausweis (ePA) im Scheckkartenformat an Bundesbürger ausgegeben werden. ePA wird mit einem RFID-Chip ausgestattet sein, auf dem ein komprimiertes Passfoto gespeichert ist sowie auf freiwilliger Basis auch Name, Anschrift, Geburtsort und -datum, Ablaufdatum sowie zwei Fingerabdrücke als zusätzliches biometrisches Merkmal. Auf Wunsch lässt sich überdies eine qualifizierte elektronische Signatur als digitaler Identitätsnachweis aufnehmen. ePA wird damit zu einem Internetausweis, der diverse Zugangskennungen und Passwörter an Automaten, im Online-Banking und bei kommerziellen Web-Angeboten ersetzt. Auch E-Government soll durch ePA einfacher und kostengünstiger werden: Anders als heute müssen ausgefüllte Behördenformulare dann nicht mehr ausgedruckt, manuell unterschrieben und zum Beispiel ans Finanzamt verschickt werden. Insofern leistet ePA einen für Bürger spürbaren Beitrag zum Bürokratieabbau.
Fingerabdruck obligatorisch
Reisepässe werden bereits seit drei Jahren nur noch als sogenannter E-Pass mit einem RFID-Chip ausgestellt. In diesem Fall ist die Speicherung digitalisierter Fingerabdrücke allerdings keine freie Entscheidung der Antragsteller. Sie werden vielmehr als obligatorisches biometrisches Merkmal aufgenommen. Denn im Gegensatz zum Personalausweis dient der Reisepass nicht vorrangig zur Legitimation im Geschäftsverkehr mit Behörden und privatwirtschaftlichen Unternehmen, sondern als Identitätsnachweis im grenzüberschreitenden Reiseverkehr. Fälschungssicherheit und erleichterte Identitätsprüfung an Kontrollpunkten hatten bei der Gesetzgebung daher Priorität.
Keine zentrale Biometrie-Datei
Neben Passbild und Fingerabdrücken speichert der Chip im EPass als personenbezogene Daten Vor- und Zuname, Geburtsdatum, Geschlecht und Staatsangehörigkeit sowie als dokumentenbezogene Informationen die Seriennummer, den ausstellenden Staat, den Dokumententyp und das Gültigkeitsdatum sowie eine Prüfziffer. Die Fingerabdrücke werden nur im Pass und nirgendwo sonst gespeichert. Im örtlichen Passregister werden nach wie vor nur Passfotos archiviert. Laut Passgesetz dürfen die Daten im Chip ausschließlich zum Zwecke der Überprüfung der Echtheit des Dokuments und der Identität seines Inhabers ausgelesen und verwendet werden. Exklusiv dazu berechtigt sind Polizeivollzugsbehörden, Zollverwaltung sowie Pass-, Personalausweis- und Meldebehörden.
Verschlüsselte Chips
Datenschutzrechtlich bedeutsam an dieser Regelung ist zum einen der Verzicht des Gesetzgebers auf eine zentrale Datei mit biometrischen Merkmalen, zum anderen die Einschränkung der Zugriffsberechtigten auf einen eng umgrenzten Behördenkreis mit klar definierten hoheitlichen Aufgaben. Beides zusammen verhindert, dass hochsensible Informationen der Bürger für andere als die gesetzlich festgeschriebenen Zwecke eingesetzt werden. Der technische Ablauf einer behördlichen Kontrolle sieht dann folgendermaßen aus: An einem Grenzkontrollpunkt händigt der Passinhaber sein Dokument dem Beamten aus. Dieser schlägt den E-Pass auf und scannt zunächst die optisch lesbare Zone der Passkarte (die sogenannte Machine Readable Zone, kurz MRZ) mit Name, Geburtsdatum, Passnummer und Ablaufdatum. Aus den letzten drei Angaben wird ein digitaler Schlüssel generiert, mit dem das Lesegerät die RFID-Daten abrufen kann. Durch Prüfen der Fingerabdrücke des Passinhabers mit einem ins Lesegerät integrierten Fingerprintmodul kann nun die Echtheit des Dokuments mit wesentlich höherer Sicherheit verifiziert werden, als dies ohne biometrische Angaben bisher möglich war.
Handhelds zur Überprüfung
Einen reibungslosen Ablauf der beschriebenen Kontrollprozedur können selbstverständlich nur entsprechend zuverlässige multifunktionale Handheld-Computer garantieren. Psion Teklogix hat dafür die mobile Biometrie-Lösung MorphoCheck für den verbreiteten Workabout Pro entwickelt. MorphoCheck eignet sich für Reisepässe ebenso wie für andere biometrische ID-Cards, etwa Betriebsausweise, personalisierte Tickets für Sport- und Konzertveranstaltungen, Skilifts oder Nahverkehrssysteme. Die mobilen Computer können je nach Einsatzgebiet parallel als RFID-, Barcode- und OCR-Leser dienen und sind zudem mit einem Fingerprintmodul des Biometrie- Spezialisten Sagem Sécurité ausgestattet.
Datenspion bleibt chancenlos
Für digitale Fingerabdrücke hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Konzept für einen erweiterten Zugriffsschutz EAC (Extended Access Control) erarbeitet und in die europäischen Standardisierungsgremien eingebracht. Außer zusätzlichen kryptografischen Schutzmechanismen ermöglicht EAC auch die Vergabe von Berechtigungen für Lesegeräte. Nur Staaten, die von Deutschland solche Zugriffsberechtigungen erhalten, können auf Fingerabdrücke in deutschen E-Pässen zugreifen. Daher sind heimliche Ausleseversuche von Datenspionen unwahrscheinlich, denn dazu müsste die Person zum Datendiebstahl vorab schon Kenntnis haben von Geburtsdatum, Passnummer und Ablaufdatum des E-Passes. Denn sonst lässt sich der Schlüssel zum Auslesen der Basisdaten nicht generieren. Die Fingerabdrücke werden per ECA zusätzlich verschlüsselt und sind außerdem nur mit speziellen Lesegeräten abrufbar. Die Stadt Lübeck bietet gleich bei der Passausgabe eine Aluminiumhülle für zusätzlichen Schutz an. Die Umhüllung gewährt einen physikalischen Schutz vor unbemerktem Auslesen, weil Funkwellen das Metall nicht durchdringen können.
System übertragbar
Der Sicherheitsrahmen für RFID-Chips in staatlichen Personaldokumenten lässt sich in abgewandelter Form auf unterschiedlichste Szenarien wie Konferenzen, Sportclubs oder Transportsysteme übertragen. Welche personengebundenen Informationen, ob und welche zusätzlichen biometrischen Merkmale dabei auf dem Chip einer ID-Card oder eines Tickets gespeichert werden, hängt vom jeweiligen Einsatzzweck ab. Im Hinblick auf den Datenschutz kommt es jedoch immer darauf an, technische Schutzvorkehrungen mit geeigneten administrativen Maßnahmen zu verzahnen, um Datenmissbrauch auszuschließen.
RFID-Chips als Tickets
Im Fußballstadion oder in der Konzertarena etwa kann ein personalisiertes RFID-Ticket nicht nur als Eintrittskarte dienen, sondern zum Beispiel auch als bequemes Zahlungsmittel für Getränke, Snacks und Fanartikel. Der zu zahlende Betrag wird vom Verkaufspersonal berührungslos mit mobilen Lesegeräten auf den Ticket-Chip gebucht. Gegen betrügerische Manipulationen der Geldbeträge auf den Chips helfen die beschriebenen Verschlüsselungsmethoden. Spätestens während der Bezahlung des Ticketsaldos beim Verlassen des Stadions oder der Konzertarena sind etwaige Verknüpfungen zwischen Geldbeträgen und personengebundenen Daten durch dafür ausgelegte administrative Richtlinien umgehend zu löschen.
„Trusted RFID“ im Handel
Besorgnis vor individuellen Kundenprofilen wird immer wieder laut, wenn von RFID im Handel die Rede ist. In Deutschland hat beispielsweise eine große deutsche Handelskette als erster deutscher Einzelhändler damit begonnen, Strichcodes durch RFIDChips zu ersetzen. Den Anfang sollen Herrenmodeartikel machen. Preis- und Sortimentsänderungen werden damit deutlich schneller umgesetzt, die aufwändige Jahresinventur kann künftig vollständig entfallen. Den Datenschutz will der Handelskonzern wahren, indem Verknüpfungen von Produkt- und Kundendaten gar nicht erst angelegt und die Chips an der Kasse entfernt werden. Einen detaillierten Kriterienkatalog für Datensicherheit und Datenschutz beim Chip-Einsatz im Einzelhandel hat das Trusted-RFID-Konsortium erarbeitet. Ein entsprechendes Gütesiegel soll das Verbrauchervertrauen stärken und RFID damit auf breiter Front zum Durchbruch verhelfen.
Jürgen Heim ist Managing Director von Psion Teklogix.
juergen.heim(at)psionteklogix.com
www.psionteklogix.com
Psion, Pionier im Bereich mobiler Handheld-Computer, stellt seine Produkte und Lösungen vom 13. bis 15. März 2012 auf der LogiMAT, der internationalen Fachmesse für Distribution, Material- und Informa...
