Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Die RFID Technologie – Ein Praxisbegleiter birgt Risiken!

M.Sc. Chris Wojzechowski

In der öffentlichen Berichterstattung und Wahrnehmung geht neben den vielen Formen des Cyber Crime eine Art des Datenraubes oft unter: die RFID Technologie und das sogenannte RFID-Skimming. Dabei werden die auf dem Chip gespeicherten Daten von Angreifern ausgelesen. So kann z.B. schnell die eigene Bankkarte in den Fokus von Kriminellen gelangen. Jährlich werden so rund 7 Millionen Pfund erbeutet.

Was steckt hinter der RFID Technologie??

Radio Frequency Identification (RFID) ist eine Technologie für eine automatische, berührungslose Identifizierung von Objekten. Mit elektromagnetischen Wellen (ähnlich einem Radio) ist zudem die automatische Datenerfassung, -speicherung und -ortung von Objekten im Nahbereich möglich. Unter dem Kommunikationsstandard NFC versteht man eine Spezialisierung der RFID-Technologie für kleine Distanzen.

Wie verbreitet die Technologie ist, spiegelt sich auch in der Höhe des Schadens wider. Ein Vorfall hatte im Juni 2018 für Aufmerksamkeit gesorgt: Zahlreiche Kriminelle sind von Europol gesucht, gefunden und verhaftet worden. Der entstandene Schaden wird auf ca. 8 Millionen EUR geschätzt.

Wo wird die RFID Technologie genutzt?

Die RFID Technologie existiert bereits seit den 1940er Jahren. Sie wird seit den 1960er Jahren als nützliche Technologie zur Identifizierung von Maschinen, Werkstoffen und anderen haptischen Elementen in der Industrie genutzt. Ein Praxisbeispiel ist die Werkzeugmaschine, die mit einer Fülle von Bohrern bestückt ist. Um nun den richtigen Bohrer auswählen zu können, muss diese vorher erstmal jeden Bohrer „kennen“. Dies wird mit einem kleinen RFID-Chip erfolgreich realisiert und ist seit dem Zeitalter der Industrie4.0 aus der Branche nicht mehr wegzudenken.

Es gibt eine schier unendliche Anzahl an Anwendungsmöglichkeiten der RFID Technologie. Von elektronischen Schlössern, Zutrittskontrollen, Tieridentifikation („Tierchip“), Tankkarten, elektronischen Wegfahrsperren, bis hin zu kontaktlosem Bezahlsystemen, sowie Ausweisdokumenten (Personalausweis, Reisepass) findet die RFID-Technologie Verwendung. Dieser Umstand hat auch bereits zu zahlreichen Fake News geführt:

Aber natürlich wird auch in der Medizintechnik die RFID Technologie genutzt. Der „VeriChip“ wird als eine Art elektronische Gesundheitsakte, in der Notfallinformationen von einem Patienten hinterlegt sind und im Bedarfsfall schnell ausgelesen werden können. Dazu wird der Chip mit einer Injektion unter der Haut des Menschen eingepflanzt. Alternativ gibt es Systeme, die in Armbändern implementiert sind.

Wie funktioniert RFID?

Ein RFID-System besteht aus einem Transponder mit einer eindeutigen Kennung, welcher ein Hochfrequenzfeld sowohl zur Datenübertragung als auch zur Energieversorgung generiert. Zusätzlich wird dann natürlich noch ein geeignetes Lesegerät zum Auslesen der bereitgestellten Daten benötigt.

Was sind die Risiken der RFID Technologie?

Um die Informationen eines RFID-Chips auszulesen, ist kein direkter Kontakt zum Lesegerät erforderlich. Man muss sich jedoch im näheren Umkreis befinden. Der Raub wird deshalb in der Regel nicht unmittelbar bemerkt.

RFID Angriffsmethoden

Tracking

Erstellung von Bewegungsprofilen

Cloning & Emulation

Erstellung eines RFID Duplikates

Man-in-the-Middle

Läuschen/Abändern des Datenverkehrs durch „Dazwischenhängen“

Sniffing

Auslesen der gespeicherten Daten

Relay (RSA)

Angriffserweiterung durch Reichweiteerhöhung

Spoofing & Replay

Datenmanipulation und Vortäuschen des RFID Transponders

Denial of Service

Unbrauchbarmachen des RFID-Systems

RFID Malware

Einbringen von Schadsoftware zur Datenmanipulation

In der Realität lauern die Angreifer den Opfern meist an hochfrequentierten Orten wie Einkaufszentren, Flughäfen, Bahnhöfen, und Volksfesten auf. Die Wahrscheinlichkeit dort aufzufallen ist schlichtweg geringer, als an wenig besuchten Orten.

Dabei lassen die Angreifer beispielsweise ein Smartphone langsam über die Oberfläche der Taschen oder Jacken ihrer Opfer gleiten. Wird eine RFID/NFC-fähiges Produkt – vielleicht eine Bankkarte – erkannt, werden die Angreifer über ein Signal des Smartphones in Kenntnis gesetzt. Der Vorgang dauert nur Sekunden. Danach verursachen die Angreifer die erbeuteten Daten dazu zu benutzen, um beispielsweise im Internet zu shoppen. Erst wenn die Opfer die Umsätze/Kontoauszüge ihrer Konten analysieren fallen die Abbuchungen auf. Jedoch sind dann die Angreifer schon längst über alle Berge.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Wie kann ich mich vor RFID schützen?

Da quasi jeder eine Bank-Karte auslesen und den Inhalt des Transponders kopieren kann, sofern er nahe genug an das Gerät herankommt, ist es ratsam sich effektiv zu schützen. Wir von AWARE7 empfehlen daher, den Datenverkehr nur beim direkten Bezahlen zu ermöglichen und ansonsten zu sperren. Dies ist bei Bank-Karten relativ einfach möglich.

Mit einer RFID Blocker-Card kann man sich eine Schutzhülle für seine RFID/NFC-fähigen Karten besorgen, die die eingesteckten Karten abschirmt und nahezu unsichtbar für Angreifer macht. Außerdem kann es hilfreich sein, eine weitere Karte der Technologie mit sich zu tragen. Gerade bei NFC funktioniert der Bezahlvorgang aus dem Portemonnaie heraus nicht mehr einwandfrei, wenn sich zwei NFC-fähige Karten darin befinden.

Wichtig sind allerdings auch deine persönlichen Daten. Darum ist es auch relevant nicht nur deine Bankkarten zu schützen, sondern auch deinen Personalausweis und Reisepass. Man bekommt Hüllen zum Schutz dieser Dokumente für eine kleine Mark im Netz.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.