RFID in der Luftfahrt

"Kapitel 5.2, Datensicherheit und Datenschutz:
Die Anforderungen der Datensicherheit und des Datenschutzes sind auch beim Einsatz dieser Technik zu beachten. Dies bezieht sich im Besonderen auf die missbräuchliche Nutzung der auf einem RFID-Transponder gespeicherten Daten. Bereits in Kapitel 4.4.3 wurden theoretische Ansätze zu Datensicherheitsaspekten aufgezeigt, hier wird aber speziell auf die Daten in einem RFID-Boarding-Pass beziehungsweise im Einsatz mit dem Passagier näher eingegangen. Der Datenschutz ist insoweit für einen Passagier von Interesse, da hierunter der Schutz seiner unter Umständen personen-bezogenen Daten gegen das missbräuchliche Auslesen durch Dritte fällt. Der Bereich der Datensicherheit ist insbesondere für die Betreiber der Systeme relevant, da hierunter die drei wesentlichen Aspekte der Betriebssicherheit von Daten fallen: Vertraulichkeit, Verfügbarkeit und Integrität.
Angriffsszenario:
Beim Einsatz von RFID im Boarding-Prozess sind, unter Berücksichtigung der in Kapitel 4.4.3 vorgestellten Techniken, nachfolgende Manipulationsszenarien zu behandeln:
Zerstörung des Tags durch den Passagier: Um der Erfassung seines Bewegungsprofils zu entgehen, kann der Passagier auf den Gedanken kommen, durch Zerstörung des RFID-Transponders auf seinem Boarding-Pass der segmentierten Ortung im Flughafenterminal auszuweichen. Die Zerstörung des Transponders führt über den Verlust der Ortungsinformation dieses Kunden zu einer fehlerhaften Information im Forecasting-System. Der Passagier wird im System bis kurz vor dem Boarding im System mit dem Status „Check-In“ geführt. Das kann dazu führen, dass sein Gepäck nicht in das Flugzeug geladen wird. Erst wenn der Passagier am Boarding-Gate vorspricht, weil sein automatischer Check-In auf Grund des fehlenden Tags misslingt, wird die Information zum Aufenthaltsort des Kunden wieder aktualisiert. Ist der Passagier beim Boarding dabei knapp vor Schließung des Gates, so kann das dazu führen, dass sein Gepäck unter Umständen nicht mehr rechtzeitig beladen werden kann.
Faradayscher Käfig: Ein weiterer Ansatz eines technisch versierteren Kunden könnte die Schaffung eines Faradayschen Käfigs oder die Ausnutzung der Absorption unterschiedlicher Metalle für die Wellenlänge der RFID-Frequenz sein. Hierzu ist der in unterschiedlichen Fachzeitschriften publizierte Ansatz des Verpackens in Aluminiumfolie denkbar. Dabei wird die absorbierende beziehungsweise reflektierende Eigenschaft der Aluminiumfolie ausgenutzt, den Transponder von der Menge Energie fernzuhalten, die ihn zu einer Antwort anregen könnte. Auf die gleiche Weise funktioniert die Verpackung des Boarding-Passes in einem Aluminiumbehälter.
Weggeben des Datenträgers: Um sich gänzlich von dem Transponder zu befreien, ist es dem Passagier möglich, den gesamten Boarding-Pass wegzuwerfen oder, um sogar bewusst eine Fehlinformation zu generieren, den Boarding-Pass einem anderen Passagier anzuheften.
Einsatz eines Blocker-Tags: Mit der Verwendung eines Blocker-Tags „gaukelt“ ein durch den Passagier mitgebrachter Transponder einer Leseeinheit die Anwesenheit von einer Vielzahl von Transpondern im Lesefeld gleichzeitig vor. Die Zahl der Transponder wird dabei die maximale Anzahl der gleichzeitig lesbaren Transponder überschreiten und den Leser zu einer Fehlermeldung veranlassen. Auf diese Weise wird der Transponder, der eigentlich Ziel des Lesevorganges war, nicht mehr erfassbar und kann den Lesebereich unentdeckt durchqueren. Der Blocker-Tag unterbindet dabei nicht nur das Auslesen des eigenen Transponders, sondern auch die Erfassung anderer, gerade in der Lesezone befindlicher Tags weiterer Passagiere. Es kommt zum Verlust von weiteren Daten, die das System nachhaltig schädigen können. Besonders subtil wäre der denkbare Angriff eines RFID-Kritikers auf alle Leseeinheiten, indem er in jedem Lesefeld einen solchen Blocker-Tag platzieren würde. Die laufende Überwachung der Leser durch eine Software, die die Leseraten erfasst und bei einem kritischen Wert über ein definiertes Zeitintervall Alarm auslöst, erscheint daher sinnvoll.
Kill-Signal: Durch ein Kill-Signal ist es möglich, einen Transponder dauerhaft außer Betrieb zu setzen. Es entspricht einem Befehl zur Selbstzerstörung und Löschung der enthaltenen Information. Dieser Befehl kann nur dann zu einer Bedrohung werden, wenn der Transponder auf dem Boarding-Pass so geplant wurde, dass er für ein solches Signal empfänglich und in der Lage ist, es auszuführen. Bei der Entwicklung eines Transponders für den Boarding-Pass sollte also darauf geachtet werden, dass dieser Befehl nicht aktiviert ist.
Weitere Angriffe mit höherem technischen Aufwand: Das Auslesen von Transpondern mit dem Zweck der Verwertung der enthaltenen Information oder der Erstellung eines Duplikates erscheint bisher noch nicht von Relevanz für das Einsatzszenario an einem Flughafen. Das Auslesen der Transponder kann für einen kriminellen Hintergrund, so lange die auf dem Tag gespeicherte Information nicht zu detaillierte Daten über die Person enthält, keine Basis sein. Der RFID-Reisepass dagegen bietet hier durch die Fülle der darauf gespeicherten Daten eine wesentlich höhere Attraktivität für solch einen Angriffsversuch. Spätestens beim Boarding würde ein Duplikat durch das System entdeckt werden, da beim Abgleich mit der Passagierliste zwei Personen gleichen Namens nicht vom System akzeptiert werden.
Diese vorgenannten Missbrauchsmöglichkeiten zeigen, dass in einem Worst-Case-Szenario das gesamte Lesesystem durch den Einsatz von Blocker-Tags ausgeschaltet werden kann. Dies kann zwar den Flugverkehr nicht gefährden, das Vorhersagesystem wäre aber außer Funktion gesetzt. Das Auslesen der Transponder von Fluggästen enthält bei sorgfältiger Auswahl der enthaltenen Daten kaum relevante Informationen, die ein Auslesen für kriminelle Angriffsszenarien realistisch erscheinen lassen."