Als Hänsel und Gretel sich im Wald verliefen, sollte ihnen eine Spur aus Brotkrumen den Weg zurück zeigen. Eine kluge Idee, dummerweise fraßen die Tiere des Waldes die leckeren Brocken und versperrten den Geschwistern damit den Rückweg. Die Datenspur nützte also allen, außer denen, die sie legten. Genau wie heutzutage bei den RFID-Tags.
Nach dem Willen von Politik und Wirtschaft sollen die smarten Funketiketten so schnell wie möglich den Einzug in Dinge des täglichen Lebens finden. Mit nicht unerheblichen Folgen, erlaubt eine unkontrollierte Streuung der gesprächigen Chips doch theoretisch, eine Person vollständig auszuspionieren.
Hänsel und Gretel landeten damals sprichwörtlich in Teufels Küche. Der Teufel war es zwar nur in Form seiner alten und warzigen Beischläferin, aber auch nur, weil der Rückweg blockiert war. Andere hatten sich von den Brotkrumen genährt, damals Vögel und Dachse, heute Werbetreibende und Ermittlungsbehörden.
Dieser ausufernden Problematik hat sich der Datenschutz-Verein FoeBuD gewidmet. Das Ziel ist es, die Datenkrümel, die jedermann verliert, gegen den Zugriff von Dritten abzusichern. In diesem Sinne entstand ein kleines Kästchen, vollgestopft mit Elektronik: Der DataPrivatizer, einem Gerät, das versteckte RFID-Tags aufspüren kann.
Eine erste Alpha-Version wurde nun auf der Entwickler-Konferenz Wizards of OS vorgestellt. Diese sieht noch schwer nach Hinterhof-Werkstatt aus, scheint aber bereits zuverlässig zu funktionieren.
Mit dem DataPrivatizer lassen sich versteckte RFID-Tags wie mit einem Metalldetektor aufspüren. Das Gerät gibt wahlweise optische oder akustische Signale, wenn es sich einem RFID-Chip nähert. Wie bei einem Schatzsucher wird das Signal eindringlicher, je näher das RFID-Tag kommt. Auf diese Weise lassen sich die Tags recht gut finden. Das gleiche passiert, wenn ein Aktivierungssignal eines Lesegerätes den DataPrivatizer streift.
Der RFID-Detektor hat in der aktuellen Version eine Reichweite von rund fünf Metern. Diese recht geringe Reichweite soll aber in der Verkaufsversion auf praktische zehn Meter erweitert werden. Noch im Sommer werden nach Berichten von heise online die ersten Geräte auf den Markt kommen. Sie sollen mit einem silbernen Gehäuse ausgestattet und wesentlich handlicher und schicker als der Prototyp sein.
Die "Erstauflage" wird vermutlich rund 3000 Stück betragen. Wenn sich der DataPrivatizer gut verkauft, ist eine Serienproduktion vermutlich nicht ausgeschlossen. Der Preis soll zwischen 50 und 100 Euro liegen. Ein wenig viel für ein Kästchen mit ein paar Kabeln und Dioden ohne weitere Funktionen, möchte man meinen.
Aus genau diesem Grunde hat sich FoeBuD-Mitbegründer padeluun auch damit befasst, weitere Funktionen in das Gerät zu integrieren. So ist angedacht, die endgültige Version neben einer Schnittstelle zum PC und einem Kopfhörer-Anschluss auch mit einer Möglichkeit auszustatten, Chips durch Umschreiben unbrauchbar machen oder komplett deaktivieren zu können.
Zwar werden durch das Umschreiben keine Datensammlungen vermieden. Sie werden allerdings unbrauchbar, da nun nicht mehr sicher festzustellen ist, ob die Seriennummer mit den Datenbank-Einträgen übereinstimmt. So könnte bei breiter Anwendung jede RFID-Datenbank in Unternehmen und Behörden durcheinander gebracht werden.
Der Skeptiker allerdings fragt sich schnell, ob sich diese Features nicht auch für bösartige Zwecke missbrauchen lassen könnten. Übellaunige Zeitgenossen könnten sich zum Beispiel einen Spaß erlauben und die Logistik eines Supermarktes durcheinander schmeißen. Oder die RFID-Tags neu beschreiben, um die vollautomatische Kasse das ein oder andere Produkt einfach "übersehen" zu lassen.
Auch stellt sich die Frage, ob ein RFID-Detektor mit 10 Metern Reichweite in einem modernen Supermarkt überhaupt Sinn macht. Schließlich dürften auf kurz oder lang sämtliche Produkte mit RFID-Tags ausgestattet werden. Damit dürfte sich die gleich Wirkung einstellen wie bei der Schatzsuche mit Metalldetektor auf einem alten Schrottplatz.
Laut FoeBuD soll das Gerät auch weniger dazu dienen, überall und jederzeit mitgeführt zu werden, um RFID-Tags aufzuspüren. Stattdessen soll es die Privatsphäre schützen. Angedacht ist beispielsweise, die RFID-Tags erst zuhause gezielt aufzuspüren und zu deaktivieren.
Auch an den Spaß wurde gedacht. Gegenüber Heise äußerte die FoeBuD-Datenschützerin Rena Tangens, dass sich das Gerät auch vorzüglich als Eisbrecher auf Partys einsetzen ließe, indem die Dame des Herzens einfach einmal von oben bis unten auf RFID-Tags abgescannt werden könnte. Ein Partygag, der vermutlich binnen Tagen den Weg aller Partygags geht: Er wird einen sehr, sehr langen Bart bekommen.
Hänsel und Gretel schafften es letztendlich auch ohne DataPrivatizer, der bösen Hexe zu entkommen. Köpfchen und Geschicklichkeit halfen ihnen dabei, der kurzsichtigen Hexe ein Schnippchen zu schlagen. Vermutlich kommen gewitztere Zeitgenossen auch ohne DataPrivatizer um das Datenschutz-Problem von RFID herum, wenn sie die Schwächen des Systems kennen und nutzen.
Christian Rentrop
sec-world.net H2 media factory GmbH, Darmstadt, 14. Juni 2004
Original: http://www.sec-world.net/news/66374-rfid-kleine-box-zur-chipenttarnung.html