BESPRECHUNG RFID und die Zukunft der Privatsphäre

clara.schultes.uni-linz, 23. Jänner 2017, 19:10

Begründung der Auswahl:

Der Text "RFID und die Zukunft der Privatspähre" von Marc Langheinrich vom Institut für Pervasive Computing der ETH Zürich greift die Technologie RFID als eine der bekanntesten Technologien heraus und ihre Bedeutung für die Visionen vom Pervasive sowie Ubiquitous Computing und das Internet of Things. Ich gehe im LVA-Themenblock "Transparenz in der Internet-Technik" speziell auf das Kapitel 4 (Datenschutzimplikationen) und Kapitel 5 (Technische Schutzmaßnahmen) im Text ein, welche besonders auch im Kontext von Transparenz und virtueller Indentität von Bedeutung sind.

 

Implikationen für den Datenschutz (Kap. 4. S. 49ff.)

Während RFID-Tags einige Vorteile gegenüber Barcodes aufweisen, wie Automatisierung, Identifizierung, Intefgration und Authentisierung, so bedenklich sind diese Aspekte, wenn es um den Schutz der Privatspähre geht:

  • Automatisierung: RFID-Tags lassen sich ohne Hilfe der jew. Trägerperson drahtlos auslesen. Damit werden Kosten gesenkt und Datensammlungen erleichtert.
  • Identifizierung: Durch die verbesserte Identifzierung einzelner Dinge, können auch Informationen zu den Personen, welche diese mitführen, gewonnen werden. Dadurch lassen sich genauere Kunden- und Bürgerprofile erstellen.
  • Integration: Ermöglicht unbemerktes Auslesen und Anbringen eines RFID-Tags an einem Gegenstand, damit kann das Auslesen eines Dinges leicht ohne das Wissen des Besitzers passieren.
  • Authentisierung: Besonders wichtig, wenn es um den Einsatz von RFID-Tags in Gesundheits-, Sicherheits- und Zahlungssystemen geht und personenbezogene Daten mit Tags verknüpft und gespeichert werden.

2 Arten der individuellen Privatsphäre werden bedroht:

Ortsbasierte Privatsphäre (location privacy): Durch die Verfolgung individueller, einer Person zugerordneter IDs und das Wissen um Aufenthaltsorte persönlicher Gegenstände, zB. Wagen einer Person (durch automat. Mautstationen), lässt sich auch mit einer hohen Wahrscheinlichkeit auf die Tätigkeit einer Person schließen. Selbst ohne eindeutigen ID kann durch die spezielle Kombination ("Constellation") von mehreren Tags sind Person immer noch eindeutig identifizierbar.

Informationelle Privatsphäre (data privacy): Auslesen von (persönlichen) Daten über RFID-Tags ohne das Wissen des Trägers, zB. bei Kundennummern oder durch die weltweit eingesetzte Produktbezeichnung durch den Electronic Product Code (EPC) mit den Herstellerangaben bzw. über die Verknüpfung mit einer Datenbank. Kritisch ist die Speicherung von personenbezogenen Daten auf dem RFID-Tag, wie Datum und Ort des Kaufs eines Produkts, besonders wenn das Mitführen von Produkten mit RFID-Chips nicht öffentlich bekannt ist. Das Auslesen kann sowohl über legitime als auch unberechtigte Dritte passieren. Es kommt nicht so sehr auf die Identität einer Person an, sondern z.B. ob diese einen Schwangerschaftstest in der Apotheke gekauft hat, oder ob in diesem Haus modernste Unterhaltungselektronik zu finden ist.

Die meistzitiersten Bedrohungen der Zukunft mit RFID-Tags sind neben dem Auslesen von Unterwäschenmarken einer Person und Ausspionieren von Einrichtungsgegenständen in einer Wohnung, Einzelhandelsszenarien (z.B. Auslesen der Inhalte einer Einkaufstasche). Einige Marketingexperten bezweifeln, dass durch RFID-Tags eine verkaufsfördernde Atmosphäre geschaffen wird. Supermarktbesitzer könnten nicht nur ihre eignen RFID-Tags auslesen, sondern auch die der Biblio- und Videothek, Krankenkasse (Gesundheitskarte) oder Bundesdruckerei (Bargeld, Ausweise), nur um noch genauere Kundenprofile zu erstellen. So ein Vorgehen ist jedoch techn. schwierig und zumindest in Europa rechtlich durch klare Datenschutzgesetze verboten.

Folgen von detaillierten Datensammlungen lassen sich aber bspw. auch bei den populären Kundenkarten feststellen. So können angesammelte Daten (zu den Käufen) praktisch auch rechtl. gegen Personen bzw. von der Polizei zur umfassenden Tätersuche verwendet werden. Datenschützer sehen in der voranschreitenden Digitalisierung eine langsame Umkehr der Unschuldsvermutung.

RFID-Tags können nicht nur der Verbrechensbekämpfung dienen, sondern auch Verbrechern selbst. So können mit RFID-Lesegeräten Gegenstände in Autos, Wohnungen/Häusern identifiziert werden und festgestellt werden, ob sich der Einbruch lohnt. Jedoch kann dies meist allein durch das äußere Erscheinungsbild von Person, Auto, Haus herausgefunden werden.

Überwachungssezenarien dieser Art werden rasch auf eine nationale und intern. Ebene ausgeweitet und wirken grenzenlos, wenn es z.B. um RFID-basierte biometrische Reisepässe geht, welche auch private Daten wie Krankheiten, Arbeitslosengeldbezug, gefahrene Automarke etc. enthalten könnten. Kritiker warnen hier vor zunehmender Technikgläubigkeit bei sicherheitsrelevanten Anwendungen.

In Interviews von Berthold et al. wurden besonders die Ängste Profilbildung, Verfolgung ("Tracking") und krimineller Missbrauch identifiziert. Als 2 weitere Bedrohungsszenarien wurden Objektverantwortlichkeit und Technologiepaternalismus angesehen. Gegenstände, welche mit RFID-Tags versehen sind, könnten dazu verwendet werden, gesellschaftlich erstrebenswertes Handeln zu erzwingen, um z.B. Müllsünder in öffentl. Parks zur Rechenschaft zu ziehen oder bei Mülleimern, welche keine Glasflaschen mehr akzeptieren oder Versicherungsprämien, welche abhängig vom Kühlschrankinhalt (z.B. Gemüse oder Eiscreme) ansteigen oder fallen.

 
Technische Schutzmaßnahmen (Kap. 5, S. 52ff.)

Aufgrund der obig genannten Bedrohungen sollte es diese Schutzziele geben:

Schutz vor

  • verdecktem Auslesen: Daten der RFID-Tags werden ohne das Wissen des Trägers ausgelesen. Informationelle Privatsphäre wird dabei direkt verletzt, wenn z.B. die Kundennummer auf dem Tag gespeichert ist oder indirekt durch das Offenlegen nichtöffentl. bekannter Besitzstücke wie dem Inhalt eines Einkaufssacks. Die ortsbasierte Privatsphäre wird bedroht durch das Verfolgen individueller IDs.
  • unerlaubtem Abhören: RFID-Tags können aktiv ausgelesen werden, aber die Kommunikation mit einem legetimen Lesegeräten kann auch aus größerer Entfernung abgehört werden.
  • Datenlecks: Es besteht immer die Gefahr, dass mehr Daten als nötig ausgelesen, auf dem Tag gespeichert oder mit ihm verlinkt werden. Durch die prinzipiell flächendeckende Einsatzmöglichkeit von RFID-Systemen erhöht sich aber auch die Wahrscheinlichkeit von Einbruchsversuchen und Datenlecks.

Grundsätzlich stellt jedoch die Größe des magenetischen Felds um ein RFID-Auslesegerät eine Grenze dar, jenseits welcher ein Auslesen praktisch unmöglich ist. Auch die Bauweise der Tags, z.B. ihre Antennengröße, bedingt ihre max. Reichweite. Ein tatsächlich verlässliches Auslesen ist nur in  vorbereiteten Situationen wie industriellen Logistikkreisläufen oder abgeschotteten Laborumgebungen genügend hoch, da die schwachen Signale von RFID-Tags leicht durch Flüssigkeiten und metallische Leiter verzerrt und überdeckt werden können. IBMs Vision wäre hier ein Supermarkt ohne Klassenschlangen (gewesen), indem RFID-Tags aus einer Einkaufstasche herausgelesen werden können. Jedoch ist ein "zufälliges" Abschirmen von Tags durch Alufolien leicht möglich, sodass ein verlustfreies automat. Abrechnen nicht möglich wäre.

Eine stetige Weiterentwicklung der Technologie führt jedoch dazu, dass die Lesedistanz von Zentimetern inzwischen zu Metern gewachsen ist und noch weiter anwachsen wird.

 

Zugriffskontrolle (Kap. 5.1, S. 54ff.)

Der bekannteste Schutz vor unbemerktem Auslesen ist die "Kill"-Funktion in den Standards von EPCglobal, welche hinter der Standardisierung von RFID-Tags im Einzelhandel stehen. Die von Herstellern und Händlern zur Lagerkettenoptimierung eingesetzten RFID-Tags werden beim Verkauf an Endkunden entweder physisch entfernt oder dekativiert, sodass eine Lokalisation sowie Verfolgung und unerlaubte Profilbildung verhindert wird. Durch das Verwalten individueller Passwörter für Millionen Produkte entlang einer ganzen Lieferkette und über viele Verkaufsorte hinweg, erscheint eher unmöglich. Durch ein dauerhaftes Deaktivieren geht auch eine große Zahl sekundärer Nutzungsmöglichkeiten verloren, wie z.B. beim smarten Kühlschrank o.ä. intelligenten Haushaltsgeräten, Folgeservice (z.B. bei Kleidung: automat. Auswahl passender Accessoires) und letztlich auch die Automatisierung bei Reperatur, Umtausch sowie Recycling. Als Alternative dazu gelten Ansätze, welche vorsehen, die Nutzdaten der RFID-Tags nicht zu löschen, sondern nur vor unerlaubtem Auslesen zu schützen. Wenn der Kunde Besitzer eines Produkts mit einem RFID-Tag wird, bekommt dieser die Kontrolle über die Ausgabe des Tags und kann selektiv entscheiden, wer welche Information auslesen kann. Neben passwortbasierten Lösungen, welche aber managementintensiv sind, gibt es auch die Idee, frühzeitig distanzbasierte Zugriffskontrollen durchzuführen. Daneben existieren token-basierte Ansätze, bei welchen der Kunde ein "Blocker-Tag" mit sich trägt, welcher das Auslesen aller in RFID-Tags in seiner Nähe durch Störsignale verunmöglicht. Am verlässlichsten ist dies über ein batteriebetriebenes Gerät wie ein Smartphone (darf aber z.B. nicht zuhause liegen gelassen werden, da man sonst während des Tages allen Lesevorgängen wiederum ausgeliefert ist). Es ist anzumerken, dass nicht nur dieser, sondern alle dieser Ansätze in der Praxis einzelne Schwierigkeiten aufweisen.

 

Abhörsicheres Auslesen (Kap. 5.2, S. 56ff.)

Es besteht die Möglichkeit, dass Daten, welche vom Leser zum Tag gesendet werden, von nicht autorisierten Lesestationen noch in realtiv weiter Entfernung mitgehört werden.

Die Lösung ist die Verschlüsselung der Datenübertragung. Beim (deutschen) ePass wurden zwar Passnummer, Geburtsdatum und Ablaufdaum des Passes durch einen errechneten Schlüssel geschützt, kennt man diese Daten jedoch einmal, kann ein gesuchter Pass auch ohne optisches Auslesen abgefragt werden und Personen können theoretisch zum Ziel von "smarten" Bomben werden.

Die nötige Infrastruktur für Ver- und Entschlüsselung von RFID-Tags ist auch ein signifikanter Kostenfaktor.

Geht es nur um das Schützen der ID-Übermittlung eines RFID-Tags vor unerlaubtem Abhören, ist die Verwendung von Zufallszahlen für einzelne RFID-Tags die verlässlichste Methode. Das RFID-Tag wählt bei jedem Auslesen einen neuen Zufallswert und Antwort erst danach auf das Lesegerät mit der "wahren" ID.

 

Proxy-basierter Schutz (Kap. 5.3, S. 58)

Ein batteriebetriebenes Gerät wie das Smartphone kann Schutz- und Managementfunktionen sowie das Kennwortmanagement zwecks Abhörsicherung und Autorisierung anbieten. So kann z.B. ein Blocker-Handy abhängig vom Aufenthaltsort das Auslesen der eigenen RFID-Chips im eigenen Haus freischalten. Zusätzlich können auch explizite Datenschutzinformationen in RFID-Protokolle integriert werden, damit Lesegeräten über eine Deklarationspflicht Infromationen zu Urheber und Zweck der Datensammlung bereitstellen.

 

Fazit

Der Beitrag "RFID und die Zukunft der Privatsphäre" von Marc Langheinrich stammt zwar schon aus dem Jahr 2008, jedoch greift er trotzdem viele interessante und bis heute gültige Aspekte auf, speziell auch, wenn es um die Implikationen für den Datenschutz geht. Er macht auch bereits deutlich, dass eine große Bandbreite an Anwendungsgebieten für die RFID-Technologie existiert und welche Bedeutung die RFID-Technologie für die Visionen des Pervasive und Ubiquitous Computing hat. Weiters werden die technischen Herausforderungen für die Praxis deutlich. Jedoch hat sich in den wenigen Jahren seit Erscheinung des Beitrags in der technologischen Entwicklung einiges getan, vor allem wenn es um den Einsatz der RFID-Tags im Bezug auf das Internet of Things geht, für das RFID oft als Grundlage gesehen werden. Auch die NFC-Technologie, welche im Gegensatz als relativ junge technische Weiterentwicklung der RFID-Technik gesehen werden kann, ist inzwischen weit verbreitet, z.B. beim kontaktlosen Zahlen. Beide Technologien werden besipielsweise aber auch in anderen Kontexten, wie der Kulturvermittlung, eingsetzt, wo Privatsphäre eine untergeordnete Rolle spielt. In einem anderen Beitrag von mir gibt es dazu mehr zu lesen.

Im Text als noch nicht mögliche angedeutete Szenarien haben sich inzwischen auch verändert, wie zum Beispiel im Fall des Supermarkts ohne Kassenschlangen, der beim Supermarkt Amazon Go, vom Onlinekonzern Amazon, Anfang dieses Jahres tatsächlich für Kunden verwirklicht werden soll, jedoch laut Amazon ohne die schon vor Jahren von IBM entwickelte Idee vom Einsatz von RFID-Tags, obwohl die RFID-Technologie in früheren Patentanmeldungen von Amazon noch enthalten war. Es lässt sich also noch rätseln.

Die Entstehungsgeschichte der RFID-Technologie reicht weit zurück, sie erlebte nach 2000 einen Hype, jedoch werden negative Auswirkungen erst zur Zeit ansatzweise erfasst, wie die missbräuchliche Verwendung von RFID. Außerdem existieren viele Mythen rund um RFID. Freilich bietet die RFID-Technologie inzwischen eine Vielzahl (neuer) Einsatzmöglichkeiten (wie die RFID-basierten Personalausweise) sowie Vorteile und Chancen, wie im Text angeführt, jedoch sollte die Risiken und Gefahren sowie die dadurch folgenden Datenschutzimplikationen nicht außer Acht gelassen werden. Speziell die skizzierten Szenarien zu Risiken und Gefahren der RFID-Technologie werden im Text durch verschiedenste Argumente aber teilweise wieder entkräftet und damit revidiert.

Die von Interview-Teilnehmern genannten Ängste der individuellen Profilbildung, Verfolgung und des kriminellen Missbrauchs erscheinen für mich jedoch verständlich. Aspekte wie die Objektverantwortlichkeit und Technologiepaternalismus, welche ein gesellschaftlich verantwortliches Handeln "erzwingen" wollen, empfinde ich hingegen nicht als Bedrohung, sondern in vielen Fällen als durchaus sinnvolle Ansätze. Hier wird deutlich, dass die Überwachung von und Datensammlungen über Kunden und Bürgern sowohl deren Privatsphäre betrifft, aber auch Mehrwerte durch smarte Objekte geschaffen werden, nicht nur für die Gesellschaft allgemein, sondern auch für Firmen und Individuen durch einfachere Abläufe in Unternehmen (z.B. in der Logistik) und dadurch auch günstigere Preise für Kunden sowie möglicherweise auch mehr Sicherheit. Dem gegenüber stehen aber die Hohen Anschaffungskosten von RFID-Systemen. Bedenken der Überwachung und Verfolgung treten bei einer freiwilligen Nutzung von RFID-Chips durch Individuen, z.B. bei smarten Haushaltsgeräten, sicherlich in den Hintergrund.

Weiters gibt es bereits verschiedenartigste Produkte am Markt wie z.B. RFID-Schutzhüllen für Ausweise, um sich gegen das Auslesen und Abhören von RFID-Tags zu schützen.

 

Quelle

Langheinrich, Marc: RFID und die Zukunft der Privatsphäre. S. 49-58. In: Fleisch, Elgar/Mattern, Friedemann (Hrsg.): Digitale Visionen. Zur Gestaltung allgegenwärtiger Informationstechnologien. Springer Berlin Heidelberg 2008.

 

2 comments :: Kommentieren

Unterschätzte Bedrohungen der RFID Technologie

jasmin.hopf.uni-linz, 17. Jänner 2017, 16:29

Ich finde den Artikel sehr interessant. Ich habe oft das Gefühl als würde die RFID Technologie als eher unproblematisch dargestellt werden. Es wird zu oft nur das Positive und die sich daraus ergebenden unzähligen Möglichkeiten erwähnt. Doch dass diese Technologie in der Anwendung auch viele offene Fragen lässt und massiv in die Privatsphäre eingreifen kann wird eher selten erwähnt, obwohl die Autoren bereits 2008 auf dieses Thema eingegangen sind.

Verlinken :: Kommentieren

Kundendaten

sylvia.pichler.uni-linz, 17. Jänner 2017, 17:52

Ob sich ein Einbruch lohnt, könnte man durch die Kundenkarte ev. leichter erforschen.

Verlinken :: Kommentieren


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.