Mithilfe der RFID-Technik lassen sich Informationen auf Chips speichern. Diese können dann per Funk schnell und einfach gelesen werden. Vor allem Unternehmen mit komplexen Logistikprozessen versprechen sich von der Anwendung der Technik eine schnellere und bessere Warenverfolgung und Produktionsplanung. Alles mit dem Ziel, die Kosten zu reduzieren.
Das Problem an der Sache ist aber: Ohne ausreichende Absicherung können RFID-Systeme leicht ausfallen. Und es geht noch schlimmer: In bestimmten Situationen lassen sie sich von Angreifern manipulieren oder sabotieren.
Nicht alle Sicherheitsmaßnahmen auf alle RFID-Systeme umsetzbar
Die Luftschnittstelle zwischen Tag und Lesegerät und die Tags selbst sind unterschiedlichen Angriffen ausgesetzt, wie zum Beispiel Sniffing, Spoofing oder Cloning, um nur die wichtigsten zu nennen. Notwendige Sicherheitsmaßnahmen lassen sich laut der SIT-Studie jedoch nicht mit allen RFID-Systemen umsetzen.
Preisgünstige Sensoren (Low-Cost-Tags) eignen sich beispielsweise nicht für kryptographische Verfahren, wie sie zur Authentisierung, Verschlüsselung und zum Zugriffsschutz in offenen Lieferketten nötig sind. "Wer RFID-Systeme erfolgreich anwenden möchte, sollte deshalb bereits bei der Systemauswahl IT-Sicherheitsaspekte beachten und seine Systeme entsprechend dem Einsatzbereich richtig einstellen und absichern“, rät Ulrich Waldmann, Mitarbeiter des Fraunhofer-Instituts und Mitautor der Studie.
Wer sich also nicht rechtzeitig Gedanken zur Sicherheit macht, riskiert unter Umständen das Scheitern seines RFID-Projekts und Schäden für sein Unternehmen, so die Quintessenz der Studie. Auf Grundlage von Experteninterviews entwickelten die Verfasser typische Anwendungsbeispiele für die Bereiche Automobilproduktion, Handel und Pharmabranche.
Die Studie beschreibt konkrete Szenarien, ermittelt systematisch die relevanten Sicherheitsrisiken und nennt Maßnahmen, mit denen eine sichere Anwendung von RFID-Systemen gewährleistet werden kann. So gehen die Verfasser der Studie davon aus, dass bei einer tieferen Integration der Technologie in die Produktion und die Lieferkette der Automobilindustrie der Aspekt der Informationssicherheit in den Vordergrund rücken wird.
Derzeit konzentrieren sich Unternehmen in dieser Branche bei ihren Insellösungen und Pilotprojekten auf Industrietauglichkeit und Funktionssicherheit. Aber nur wenn die Daten ausreichend geschützt sind, so die Studie, lassen sich Manipulationen und Systemausfälle verhindern. Die entscheidende Frage ist deshalb, wie gut es gelingt, kryptographische Verfahren zur Authentisierung und Verschlüsselung zu entwickeln und gleichzeitig Sensorkosten zu verringern.
Lösungen für Handel müssen noch gefunden werden
Eine sichere Verwendung von RFID-Systemen in Lieferketten des Handels hingegen wird nur möglich sein, so die Einschätzung der Autoren, wenn Hardware-basierte Sicherungsverfahren für die Kommunikation zwischen Tag und Lesegerät gefunden werden. Das Gleiche gilt für Lightweigt-Kryptoverfahren und fälschungssichere Schlüssel.
Bei der Konzeption des Gesamtsystems von RFID-basierten Supply-Chain-Anwendungen bildet die Funktionssicherheit einen wesentlichen Bestandteil des Sicherheitskonzepts. Aus Akzeptanzgründen gilt es deshalb zudem, Fragen des Datenschutzes zu berücksichtigen.
In der pharmazeutischen Lieferkette bildet die Verwendung schreibgeschützter Tag-Kennungen die Basis für Echtheitsprüfung, Erkennung von Duplikaten und das Abrufen von Produktinformationen. Und genau das ist ein Problem. Denn geeignete effiziente Verfahren, die sich auf Low-Cost Tags implementieren lassen, ohne Schlüssel-Management und Synchronisationsmechanismen zu erfordern, existieren noch nicht.
Für eine notwendige Produktauthentisierung fehlen außerdem einheitliche automatisierbare Verfahren, die sich in RFID-Systeme integrieren lassen. Der deutsche Bundesverband des pharmazeutischen Großhandels und seine Mitgliedsunternehmen lehnen deshalb die Technik bisher ab. Sie setzen stattdessen auf optische maschinenlesbare Packungsangaben.
Die Verfasser der Studie kommen zum Schluss, dass erheblicher Entwicklungsbedarf an einheitlichen Nutzungskonzepten für RFID-Ressourcen wie beispielsweise Benutzerspeicher auf Tags besteht. Potenzielle Anwender seien schnell überfordert, wenn sie zunächst umfangreiche Tests über sich ergehen lassen müssten.
Für die Studie "Technologieintegrierte Datensicherheit bei RFID-Systemen" hat das Fraunhofer-Institut Daimler-Chrysler und verschiedene Projektpartner zur Datensicherheit von RFID-Systemen im Bereich Automobilindustrie befragt. Zum Thema Auszeichnung und Warenverfolgung richteten sich die Verfasser an verschiedene Handelsunternehmen wie Metro oder Rewe. Zu Lieferketten in der Pharmazie befragten sie IBM USA, da hierzulande Erfahrungswerte bisher fehlen.