Ohne ausreichende Absicherung können RFID-Systeme leicht ausfallen oder sie lassen sich von Angreifern in bestimmten Situationen manipulieren oder sabotieren. Die Antwort auf die Frage: „Wie sicher ist RFID wirklich?“, hängt ganz vom Einsatzgebiet der Funktechnik ab. Zusammen mit dem Fachgebiet Mikroelektronische Systeme (MES) der Technischen Universität Darmstadt und dem Technologie-Zentrum Informatik (TZI) der Universität Bremen hat das Fraunhofer-Institut SIT deshalb eine anwendungsspezifische Analyse zur RFID-Sicherheit durchgeführt. Auf Grundlage von Experteninterviews mit Branchenkennern entwickelten die Verfasser typische Anwendungsbeispiele für die Bereiche Automotive, Handel und der Pharmabranche.

„Wer RFID-Systeme erfolgreich anwenden möchte, sollte bereits bei der Systemauswahl IT-Sicherheitsaspekte beachten und seine Systeme anschließend entsprechend dem Einsatzbereich auch richtig einstellen und absichern", sagt Fraunhofer-Mitarbeiter Ulrich Waldmann, einer der Mitautoren der Studie. „Wer das nicht tut, riskiert unter Umständen das Scheitern seines RFID-Projekts und Schäden für sein Unternehmen.“ Die Studie beschreibt konkrete Szenarien, ermittelt systematisch die relevanten Sicherheitsrisiken und nennt Maßnahmen, mit denen eine sichere Anwendung von RFID-Systemen gewährleistet werden kann. Aus den ungelösten Herausforderungen leitet die Studie weiterführende Fragestellungen für Forschung und Entwicklung ab, welche der deutschen Forschung und Industrie helfen können, die derzeitigen technologischen Engpässe zielgerichtet zu überwinden.

Ziel der Untersuchung ist es, anhand von mittelfristig zu erwartenden RFID-Anwendungen verschiedener Kernbranchen der deutschen Wirtschaft die Anforderungen an die technologieintegrierte Datensicherheit von RFID-Systemen zu analysieren und offene technologische Fragestellungen zu thematisieren. Da die technische Einbindung der RFID-Technologie stark von Branche und Einsatzgebiet abhängt, zeigen sich manche realen Sicherheitsbedrohungen erst im Zusammenhang mit konkreten Anwendungsszenarien. Anhand der Szenarien "Unternehmensübergreifende Werkstückidentifikation und Supply Chain (Produktion)", "Auszeichnung von Konsumgütern (Handel)", und "Fälschungssicherheit von Medikamenten" definiert die Studie Sicherheitsanforderungen und leitet konkrete Sicherheitsmaßnahmen ab.

Ergebnis der Studie:

Bei einer tieferen Integration der RFID-Technologie in den Produktionsprozess und die Lieferketten der Automobilindustrie rückt der Aspekt der Informationssicherheit in den Vordergrund. Nur wenn die Daten ausreichend geschützt sind, lassen sich Manipulationen und Systemausfälle verhindern. Der erfolgreiche RFID-Einsatz in der Automobilindustrie wird deshalb besonders davon abhängen, wie gut es gelingt, kryptographische Verfahren zur Authentisierung und Verschlüsselung zu entwickeln.

Bei der sicheren Verwendung von RFID-Systemen in Lieferketten des Handels bildet die Funktionssicherheit einen wesentlichen Bestandteil des Sicherheitskonzepts. Aus Akzeptanzgründen gilt es zudem, Fragen des Datenschutzes zu adressieren.

In der pharmazeutischen Lieferkette bilden eindeutige schreibgeschützte Tag-Kennungen die Basis für Echtheitsprüfung, Erkennung von Duplikaten und das Abrufen von Produktinformationen. Eigentlich notwendige Authentisierungsverfahren gegen Tag-Cloning und Produktfälschungen, werden jedoch nicht eingesetzt.

Derartige Sicherheitsmaßnahmen lassen sich allerdings zum gegenwärtigen Zeitpunkt noch nicht effizient genug auf preiswerten Tags einer offenen Lieferkette implementieren, weil dazu ein Schlüsselmanagement und aufwändige Synchronisationsmechanismen erforderlich ist.

Die RFID-Studie 2007 wurde im Rahmenprogramm „Mikrosysteme 2004-2009“ durch das Bundesministerium für Bildung und Forschung gefördert und vom Projektträger Mikrosystemtechnik VDI/VDE Innovation + Technik GmbH (VDI/VDE-IT) betreut.