MythBusters dürfen RFID-Hack nicht zeigen

RFID ChipJeder, der sich ein bisschen näher mit der RFID-Technologie (Radio Frequency Identification Device) auskennt weiss, dass sie nicht für sicherheitsrelevante Anwendungen taugt und wie anfällig sie für Sabotage, unerlaubten Datenzugriff und Manipulation/Fälschung ist. RFID-Chips wurden ursprünglich für die Effizienzsteigerung in der Logistik entwickelt, wo sie die technologisch in die Jahre gekommenen Strichcodes ablösen sollten. Das haben sie vielerorts auch erfolgreich getan. Sie sind viel einfacher und schneller auszulesen als Strichcodes, weil dies kontaktlos und gleichzeitig geschieht. Es gibt sie in den verschiedensten Ausführungen: in Plastikkarten oder andere Objekte eingeschweisst, als Minireiskorn zur Injektion unter die Haut oder als Aufkleber. Während am Anfang die blosse Identifikation von Objekten im Vordergrund stand, ist die Speicherung von allerlei zusätzlichen Daten in den Fokus gerückt, denn die RFID-Chips von heute können eine ganze Menge an Daten speichern. Dadurch eröffnen sich grundsätzlich viele ganz neue, zusätzliche Einsatzfelder.

RFID-Chips finden heute auch in Bereichen Anwendung, wo sie aufgrund ihrer technologiebedingten Sicherheitsmängel grundsätzlich nichts verloren haben: Kennzeichnung von Haustieren, Eintritts- und Saisonkarten für Hallenbäder und Skilifte, Bahnkarten und Flugtickets, elektronische Personenausweise (Reisepässe, Identitätskarten, Mitarbeiterausweise), Kreditkarten, Medikamentenverpackungen, Patientenkarten und elektronische Schlösser aller Art (Haus, Auto, Hotelzimmer). Ein RFID-Chip macht jedes Objekt jederzeit und mit der entsprechenden Ausrüstung auch aus einer Distanz von bis zu 500 Meter identifizierbar und damit überwachbar, was Datenschützer Sturm laufen lässt. Die kleinen Spione sind immer dabei und das freut nicht nur die Polizei sondern auch Marktdatensammler und Terroristen.

RFID lässt sich mit den aktuellen technischen Möglichkeiten auch unter Einsatz von Datenverschlüsselung nicht wirklich sicher machen, denn diese hat verschiedene Lücken, die von einem Fachkundigen mit minimalster Ausrüstung (Notebook und RFID-Leser – siehe auch Beitrag von Boing Boing TV) und relativ geringem Aufwand ausgenützt werden können, ohne dass dieser dabei irgendwelche Spuren hinterlässt. Die technischen Mängel und deren Risiken sowie die sozialen Auswirkungen habe ich bereits vor einiger Zeit im Zusammenhang mit der Abstimmung über die Einführung biometrischer Reisepässe in der Schweiz 2009 ausführlich beschrieben.

Adam Savage wollte mit seinen Kollegen von den MythBusters bei Discovery den Mythos von der Sicherheit der RFID-Technologie vor einem breiten Publikum endgültig entweihen. Warum das aber nie geschehen wird, erzählte Adam an der Hacker-Konferenz „The Last H.O.P.E.“ (Hackers On Planet Earth) im Juli 2008 im Hotel Pennsylvania in New York City. Als sie während den Vorbereitungen technische Details in einer Telefonkonferenz mit Texas Instruments (einer der Hersteller von RFID-Chips) besprechen wollten, tauchten am anderen Ende der Leitung plötzlich die Chefjuristen der Kreditkartenfirmen American Express, Visa, Discover und andere auf und machten bei Discovery Druck, die geplante Folge nicht zu senden. Da der Sender von Werbeeinnahmen lebt, gab er schliesslich klein bei.


Ausschnitt aus „Hope2601 – Adam Savage – Fascination with the Dodo Bird“ (ab Minute 45)

Elektronischer Personalausweis DeutschlandSolch ökonomisch motivierte Selbstzensur gehört heute bei den Medien leider zur Normalität. Ebenso wurde mit Ausnahme des WDR auch nicht in den Medien berichtet, dass erst kürzliche am Pascal Gymnasium in Grevenbroich (dort wo Chefredaktor Horst Schlämmer beim Tagblatt sein Unwesen treibt) ein paar Gymnasiasten im Physikunterricht unter Anleitung von Lehrer Werner Kirchhoff einen Personalausweis (schliesslich sind alle Deutsch Angestellte der Deutschland AG) mit Lötkolben, Zange und einem Fotoapparat ausser Funktion gesetzt haben. Einzig der WDR hat darüber am 13.09.2010 berichtet, musste das Video aber kurz darauf wieder vom Netz nehmen. Es erschien längere Zeit nur noch ein Netzwerkfehler mit der Meldung „Datei nicht vorhanden“. Doch später wurde der Beitrag wieder freigegeben. Auf YouTube gibt es zum Glück Dutzende solcher Videos, die zeigen, wie das geht:

Das funktioniert übrigens auch mit einer Zündspule aus einem älteren Auto (die haben noch so Dinger eingebaut) und einem Kondensator aus einem ausgedienten Receiver und hinterlässt keinerlei Spuren. Auch in der Mikrowelle wird der Chip zerstört, hinterlässt aber ein Brandloch in der Plastikkarte. Da die neuen, digitalen Ausweis auch bei defektem Chip gültig bleiben, tut sich mit der Deaktivierung durch elektromagnetische Schockwellen eine Möglichkeit auf, den Datenschutz auch bei biometrischen Ausweisen wiederherzustellen.