Die BSI-Studie zu den Risiken und Nebenwirkungen der RFID-Technologie bleibt hinter dem Stand der öffentlichen Diskussion zurück.
Effizienzsteigerungen in der Warenwirtschaft, beschleunigtes Bezahlen an der Ladenkasse, beleglose Garantieabwicklung, produktbegleitende Informationen für das Recycling, die Rückverfolgung von Lebensmitteln im Verbraucherschutz - an Visionen, wo drahtlos ausles- und beschreibbare Funketiketten (RFIDs) auf Produkten ihre segensreichen Wirkungen entfalten könnten, herrscht kein Mangel. Begleitet werden die Visionen jedoch von einem weit verbreiteten Unbehagen darüber, dass die Industrie danach trachtet, die Echtzeitkontrolle der Warenströme lückenlos bis in jedes einzelne Produkt hinein zu verfeinern. Die Kritik entzündet sich vor allem an den Möglichkeiten zum unbemerkten Lesen der RFID-Tags sowie an dem Potenzial, das die Verknüpfung der produktgebundenen Daten auf den Labels mit Personendaten aus den Kundenbindungsprogrammen Herstellern und Handel bietet.
In welchem Ausmaß kontaktlos abrufbare Datenschatten die Privatsphäre bedrohen, ist umstritten, konstatiert eine jetzt veröffentlichte Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu den „Risiken und Chancen des Einsatzes von RFID-Systemen“. Der im Auftrag des BSI vom Institut für Zukunftsstudien und Technologiebewertung (IZT) sowie der Eidgenössischen Materialprüfungs- und Forschungsanstalt (EMPA) erstellte Bericht beruht im Wesentlichen auf einer im Sommer durchgeführten Befragung von RFID-Experten aus Unternehmen und Forschungseinrichtungen. Heute würden Kreditkartenzahlungen, Mobiltelefonieren und Kundenkarten schon sehr viele Datenspuren erzeugen und RFIDs diesen angeblich kaum genutzten Datenbeständen nichts Wesentliches hinzufügen, meint ein Teil der Befragten. Dagegen sehen andere in der Möglichkeit des Trackings von Personen durchaus ein RFID-spezifisches Risiko, sobald die Tags über die Produkte in den Besitz des Konsumenten gelangen. „Dieser wird in vielen Fällen zwischen Chancen und Risiken abwägen müssen, denn gerade die anspruchsvolleren und datenintensiven zukünftigen Anwendungen wie „Supply Chain Recording“ oder „Product Life Time Recording“ könnten ihm einen relevanten Nutzen bringen“, heißt es in der Studie. Dieser Nutzen könne in der Transparenz der Lieferkette sowie bei der Wartung, der Reparatur, dem Wiederverkauf oder im Recycling liegen. Doch anhand welcher Kriterien der Kunde die Risikoabwägung vornehmen kann - und vor allem, welche Handlungsmöglichkeiten ihm nach einer solchen Abwägung bleiben - lässt die Studie offen.
|
Die BSI-Analyse der Bedrohungslage orientiert sich an der klassischen IT-Sicherheit - die Art der erhobenen Daten und ihre Verarbeitung im Backend bleiben dabei ausgeklammert. Quelle: BSI-Studie |
Die sieben Autoren konzentrieren die Betrachtung vor allem auf das RFID-spezifische Teilsystem, bestehend aus Transponder, Luftschnittstelle und Lesegerät; die Beschreibung der Technik nimmt einen breiten Raum ein, und die Analyse der Bedrohungslagen folgt den Kriterien der klassischen IT-Sicherheit. Die denkbaren Angriffsszenarien sind Blocken, Stören oder Abhören der Funkschnittstelle, Fälschung der Daten oder der Identität des Chips, Deaktivieren oder Ablösen des Funklabels sowie das Vortäuschen eines autorisierten Lesegerätes.
Solche Szenarien sind vor allem für die Betreiber interessant, die ihre eigenen Datenschutzprobleme haben und sich gegen Industriespionage und Sabotage wappnen müssen. Ein Unternehmen, das die Daten unverschlüsselt erhebt, setzt sich der Gefahr aus, dass auch die Konkurrenten mitlesen und herausbekommen, welche Lieferungen ein Abnehmer gerade erhält oder versendet. Und wenn es dies durch die Deaktivierung der Chips außerhalb der von ihm kontrollierbaren Sphäre verhindern will, handelt es sich damit Missbrauchsmöglichkeiten ein - etwa wenn ein Angreifer mit einem „Kill-Befehl“ die Wareninformationen dort löscht, wo sie noch gebraucht werden.
Doch das sind die Sorgen der Industrie, nicht der Endkunden. Zur aktuellen politischen Diskussion trägt die BSI-Studie, die „IT-Sicherheit und Datenschutz“ stets in einem Atemzug nennt, wenig Klärendes bei. Sie unterscheidet zwar zunächst zwischen den Betreibern eines RFID-Systems, die als „aktive Partei“ die Daten und ihre Verwendung kontrollieren, sowie die Kunden oder Angestellten des Betreibers, in deren Besitz sich die Tags befinden, die als „passive Partei“ aber in der Regel keinen Einfluss auf die Verwendung haben. Die Autoren belassen es dann aber bei der trivialen Feststellung, dass die Interessen beider nicht deckungsgleich sind. Anstatt den offensichtlichen Konflikt zum Ausgangspunkt der Untersuchung zu nehmen, klammern sie ihn aus: „Eine Analyse der Interessenlagen der an RFID-Systemen beteiligten Parteien“ könne „in dieser Studie nicht geleistet werden.“
Dafür präsentieren sie eine ausführliche Bestandsaufnahme realisierter und angekündigter RFID-Anwendungen. Sie erstreckt sich von der Kennzeichnung von Objekten und der Echtheitsprüfung von Dokumenten über den Einsatz in Instandhaltung, Diebstahlsicherungen, Zutritts- respektive Routenkontrollen bis zum Umweltmonitoring und dem Supply-Chain-Management. Den Lesern der c't und des Heise-Newstickers bietet die Zusammenstellung damit kaum Neues, zumal man auf die zugehörigen Risikoanalysen in den beschriebenen Anwendungsfeldern vergebens wartet. Sie würden „den Rahmen der vorliegenden Studie überschreiten“, heißt es auch hier wieder. Zudem wäre die Durchführung einer solchen Betrachtung „Aufgabe der Betreiber der jeweiligen Anwendungen“.
Diese Verengung der Perspektive ist wohl dem Auftraggeber geschuldet. Doch ohne die Einbeziehung der Anwendungen und der Informationsverarbeitung in den Backends lassen sich die systemischen Risiken nicht diskutieren, die in den neuen Möglichkeiten des Data Mining und den dahinter stehenden Geschäftsmodellen liegen. Immerhin geben die Autoren zu bedenken, „dass durch RFID-Systeme erstmals größere Teilbereiche der physischen Welt zeitnah in der virtuellen Welt abgebildet werden. Es werden Datenbestände aufgebaut, aus denen insbesondere Bewegungsprofile von Objekten und daraus ableitbare Informationen extrahiert werden können, die früher nicht in dieser Dichte zur Verfügung standen.“ Und sie versuchen, anhand von vier fiktiven Fallbeispielen des Jahres 2010 die gesellschaftliche Bedrohungslage wenigstens zu illustrieren. Die knappen Szenarien beschreiben die Einschränkung von Verbraucherrechten, neue Begehrlichkeiten staatlicher Überwachungsmaßnahmen, der Überwachung von Fußballfans und die Verhaltenskontrolle von Arbeitnehmern ([#kasten siehe Kasten]).
Doch anstelle einer Analyse dieser Fallbeispiele werfen die Autoren nur die Frage auf, wer im Zuge der weiteren Verbreitung der RFID-Technologie „darüber bestimmen kann oder darf, ob und mit welchen Informationen elektronisch aufgewertete Dinge verknüpft werden“ - ohne darauf eine Antwort zu geben oder auch nur Optionen aufzuzeigen. Dazu hätte man sich wohl doch mit den unterschiedlichen Interessenlagen der „aktiven“ und „passiven“ Beteiligten auseinander setzen und diskutieren müssen, inwieweit das Recht auf informationelle Selbstbestimmung bestimmte Geschäftsmodelle ausschließt. Das Problem ist ja nicht die Technik im engeren Sinne, sondern ihre Einpassung in gesellschaftliche Wertvorstellungen und Strukturen.
Die im Vorwort angekündigten „Handlungsempfehlungen für Politik, Industrie und Wissenschaft“ reduzieren sich auf eine einzige: „Um die Chancen von RFID zu nutzen und gleichzeitig die Bedrohung für die Persönlichkeitssphäre so gering wie möglich zu halten, müssen die Grundsätze eines zeitgemäßen Datenschutzrechts in RFID-Systemen bereits frühzeitig im Design-Prozess und in der Markteinführung umgesetzt werden. Hierzu zählen vor allem der Grundsatz der Datensparsamkeit und die schnellstmögliche Anonymisierung oder Pseudonymisierung personenbezogener Daten.“ Wie aber sollte das geschehen und wer soll sich auf welcher Ebene für das Privacy Enhancement innerhalb einer Industrie stark machen, die momentan alle Anstrengungen darauf richtet, für die Massenanwendung den Preis der Funklabels von derzeit rund 50 Cent auf unter 5 Cent zu drücken, und die jeden weiteren Kostenfaktor scheut?
Mit dieser Studie, die sich an Entscheidungsträger und interessierte Öffentlichkeit wenden soll, bleibt das BSI hinter der öffentlichen Diskussion zurück. Braucht es ein RFID-Gesetz, wie es beispielsweise die US-Politikerin Debra Bowen im Frühjahr in den kalifornischen Senat einbrachte und das die Industrie zwischenzeitlich zu Fall brachte, oder reichen nicht einklagbare Selbstverpflichtungserklärungen der Hersteller aus? Und was müsste solch ein Gesetz gegebenenfalls regeln? Im Raum stehen die Forderungen, dass RFID-Chips in Textilien und anderen Produkten kennzeichnungspflichtig sein sollten, dass Lesegeräte nicht heimlich verwendet werden dürfen, und dass die Kunden rechtlich und praktisch die Möglichkeit bekommen, die Transponder nach dem Kauf zu deaktivieren.
Entspricht es noch einem „zeitgemäßen Datenschutzrecht“, dass - während öffentliche Einrichtungen Daten nur erheben dürfen, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist - für die Datenverarbeitung in der Privatwirtschaft das Prinzip der Vertragsfreiheit gilt und es dort noch immer keine Verpflichtung zu Datenschutzaudits gibt? Wer Antworten auf diese Fragen sucht, wird in der BSI-Studie nicht fündig. Dafür findet sich darin die Feststellung, dass die politischen und rechtlichen Rahmenbedingungen „im Zuge der fortschreitenden Globalisierung zunehmend schwieriger zu gestalten sind“. Das freilich wissen Bürger und Politiker schon lange. (anm)
[1] BSI, Risiken und Chancen des Einsatzes von RFID-Systemen, Secumedia-Verlag, 58 Euro. Ab Ende Dezember auch online unter www.bsi.bund.de
[2] Angela Meyer, Peter Schüler, Mitteilsame Etiketten, Smart Labels wecken Verkäufer-Wunschträume und Verbraucher-Albträume, c't 9/04, S.122
[#anfang Seitenanfang]
RFID-Etiketten sind im Jahr 2010 bei vielen Gütern zum integralen Bestandteil des Produkts geworden und lassen sich nicht entfernen. Rasierapparate, Tintenstrahldrucker und Fotoapparate akzeptieren nur noch Austauschteile vom gleichen Hersteller. Die meisten neu hergestellten Autos enthalten ein RFID-System, das die Originalität und das Alter von Ersatz- und Austauschteilen wie Reifen automatisch überwacht. Die Hersteller legitimieren ihre Vorgehensweise mit Sicherheitsargumenten, die Kunden können diese jedoch nicht im Detail nachprüfen und sind gezwungen, dem Hersteller „blind“ zu vertrauen.
Die Umsetzung des „Internet der Dinge“ ist im Jahr 2010 weiter vorangeschritten. Diese Entwicklung ermöglicht auch eine Ausweitung staatlicher Überwachungsmaßnahmen bei der Strafverfolgung. Neben Verbindungsdaten aus der Telekommunikation müssen nun auch personenbezogene Daten aus RFID-Systemen gespeichert werden. Standardmäßig werden Datensätze beispielsweise von Tankstellen oder Mautbrücken bei der Terrorismusabwehr in die Rasterfahndung einbezogen.
Nach verschiedenen Gesetzesänderungen sind praktisch alle Betreiber von offenen RFID-Systemen verpflichtet, die Logfiles aller RFID-Transaktionen über einen längeren Zeitraum aufzubewahren und den Strafverfolgungsbehörden auf Verlangen zur Verfügung zu stellen.
Eintrittskarten zu Sportgroßveranstaltungen enthalten im Jahr 2010 generell einen RFID-Chip, der einen automatischen Einlass ins Stadion ermöglicht.
Das Stadion wird nicht nur im Eingangsbereich, sondern an allen Durchgangspunkten mit Lesegeräten ausgestattet. Diese Vorgehensweise wurde zuvor durch die Allgemeinen Geschäftsbedingungen legitimiert. Die personenbezogenen Daten werden an den Veranstalter, einen privaten Sicherheitsdienst und an die Polizei übermittelt. Letztere hat bereits beim Verkauf der Tickets personalisierte Datenbestände angelegt und ist so jederzeit über den Aufenthaltsbereich im Stadion von Personen informiert, die aus Polizeikontrollen von früheren Anlässen bekannt sind. Auffällig werdende Fanblocks werden als Pulk erfasst, ohne dass die Polizei konfrontative und auffällige Personenkontrollen durchführen muss.
Der Betriebsrat hat im Jahr 2010 der Einführung eines RFID-Systems nach § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes zugestimmt, um den Zutritt zu sicherheitsrelevanten Bereichen zu kontrollieren. Gleichzeitig werden Synergieeffekte genutzt und die Zugangskontrolle mit der Zeiterfassung im Unternehmen verbunden. Weitere Funktionalitäten wie eine Zahlungsfunktion für die Kantine werden ebenfalls integriert.
Die Erfassung und Auswertung arbeitnehmerbezogener Daten werden mitbestimmungswidrig vom Unternehmen zur Leistungs- und Verhaltenskontrolle durchgeführt. Auf der Grundlage dieser Daten kommt es zur Kündigung eines Mitarbeiters. Der Betriebsrat stimmt dieser Kündigung zu, obwohl die durch das RFID-System gewonnenen Daten mitbestimmungswidrig genutzt wurden. Die Daten können vor Gericht verwandt werden, da der Betriebsrat den Verstoß gegen § 87 Abs. 1 Nr. 6 BetrVG kennt und der Verwertung der so gewonnenen Beweismittel sowie der darauf gestützten Kündigung zustimmt.
Fallbeispiele (gekürzt) aus der RFID-StudieVersion zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-289658
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
