Aktiv sein von der Initiation bis zur Disposition

Leitfaden für RFID-Sicherheit

11.06.2007 von Werner Kurzlechner

RFID-Technologie verspricht ein enormes Potenzial, ihr Einsatz ist aber auch mit einer Vielzahl an Risiken verbunden. Hohe Komplexität, hohe Anfälligkeit, lautet die Gleichung. Deshalb ist das Risiko-Management schwieriger als bei anderen Technologien. Das US-amerikanische, staatliche National Institute of Standards and Technology (NIST) hat zu diesem Problem einen kostenlosen Leitfaden erstellt.

Die Sicherheitserfordernisse der vielseitig einsetzbaren RFID-Technologie zu bestimmen, ist ein tückisches Unterfangen. Von allzu vielen unterschiedlichen Faktoren hängen sie im Einzelfall ab: den allgemeinen funktionalen Zielen (Bestimmung des Lagerungs-Ortes eines Objekts oder des Aufenthalts-Orts einer Person?, etc.); der Natur der verarbeiteten Information (einfache Identifizierung oder ständig zu aktualisierende Information); dem physischen und technischen Umfeld; den ökonomischen Umständen.

Sowohl die Komplexität als auch der mit RFID verbundenen Wandel der Geschäfts-Abläufe führen zu einer Fülle von Risiken, die NIST in vier Kategorien unterteilt: Risiken für den Business-Prozess (insbesondere dann, wenn sich Unternehmens-Bereiche alleine auf RFID verlassen); Risiken für die Business Intelligence (vor allem durch unerlaubten Zugang zu RFID-generierten Informationen); private Risiken (Persönlichkeitsrechte) und Risiken durch externe Effekte.

NIST betont, dass überlegtes Risiko-Management den gesamten RFID-Lebens-Zyklus über notwendig ist. Die Analysten unterscheiden fünf Phasen und geben Empfehlungen, was jeweils zu beachten ist:

Initiation: Hier muss die Risiko-Abschätzung erfolgen. Darüber hinaus gilt es, Anforderungen zu entwickeln, denen das RFID-System genügen muss.

Beschaffung und Entwicklung: Diese Phase unterteilt NIST in zwei Subphasen.

Planung und Design: Die Netzwerk-Architekten spezifizieren die System-Standards, die Netzwerk-Infrastruktur und die technischen Charakteristika - inklusive Typen der Tags und Lese-Geräte. In dieser Phase sollten auch Übersichten über Verbindungswege und relevante IT-Infrastruktur erstellt werden.
Beschaffung: Das Unternehmen bestimmt, welche Komponenten eingekauft werden müssen, welche Geräte-Garnituren und Protokolle sie unterstützen und auf welchen Standards sie fußen sollten.

Implementierung: Das Equipment wird auf operative und sicherheits-relevante Erfordernisse konfiguriert; RFID-Daten und Unternehmens-Systeme werden aufeinander abgestimmt. Die Mitarbeiter erlernen den ordnungsgemäßen Gebrauch und die Wartung des Systems.
Anwendung/Wartung: Zu den fortlaufenden Security-Aufgaben zählen die regelmäßige Neu-Abschätzung der Sicherheitslage, die Anwendung ständig aktualisierter Software und die kontinuierliche Überprüfung der Protokolle.

Disposition: Wenn ein System oder seine Komponenten außer Betrieb genommen werden, fallen die letzten Aufgaben an. Schon aus Gründen der Compliance müssen relevante Informationen aufbewahrt werden. Tags und andere Komponenten sind zu zerstören, wenn sie nicht mehr verwendet werden.

Die "Guidelines for Securing Radio Frequency Identification (RFID) System" können von der NIST-Homepage heruntergeladen werden.