Aktiv sein von der Initiation bis zur Disposition

Leitfaden für RFID-Sicherheit

Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
RFID-Technologie verspricht ein enormes Potenzial, ihr Einsatz ist aber auch mit einer Vielzahl an Risiken verbunden. Hohe Komplexität, hohe Anfälligkeit, lautet die Gleichung. Deshalb ist das Risiko-Management schwieriger als bei anderen Technologien. Das US-amerikanische, staatliche National Institute of Standards and Technology (NIST) hat zu diesem Problem einen kostenlosen Leitfaden erstellt.

Die Sicherheitserfordernisse der vielseitig einsetzbaren RFID-Technologie zu bestimmen, ist ein tückisches Unterfangen. Von allzu vielen unterschiedlichen Faktoren hängen sie im Einzelfall ab: den allgemeinen funktionalen Zielen (Bestimmung des Lagerungs-Ortes eines Objekts oder des Aufenthalts-Orts einer Person?, etc.); der Natur der verarbeiteten Information (einfache Identifizierung oder ständig zu aktualisierende Information); dem physischen und technischen Umfeld; den ökonomischen Umständen.

Sowohl die Komplexität als auch der mit RFID verbundenen Wandel der Geschäfts-Abläufe führen zu einer Fülle von Risiken, die NIST in vier Kategorien unterteilt: Risiken für den Business-Prozess (insbesondere dann, wenn sich Unternehmens-Bereiche alleine auf RFID verlassen); Risiken für die Business IntelligenceBusiness Intelligence (vor allem durch unerlaubten Zugang zu RFID-generierten Informationen); private Risiken (Persönlichkeitsrechte) und Risiken durch externe Effekte. Alles zu Business Intelligence auf CIO.de

NIST betont, dass überlegtes Risiko-Management den gesamten RFID-Lebens-Zyklus über notwendig ist. Die Analysten unterscheiden fünf Phasen und geben Empfehlungen, was jeweils zu beachten ist:

  • Initiation: Hier muss die Risiko-Abschätzung erfolgen. Darüber hinaus gilt es, Anforderungen zu entwickeln, denen das RFID-System genügen muss.