RFID: Verbraucherängste und verbraucherschutz; RFID: Consumer Fears and Consumer Protection;

1 Einleitung

RFID-Technik – kurz fur Radiofrequenz-identifikationstechnik – ist derzeit in allerMunde. National wie international sindUnternehmen der unterschiedlichstenBranchen dabei, die technische Infrastruk-tur fur die drahtlose Identifikation vonObjekten auszubauen, um Effizienzsteige-rungen in Produktions-, Logistik- undWarenverkaufsprozessen zu erzielen. Be-sonders aktiv sind industrielle Standardi-sierungsgremien bei EPCglobal (www.epcglobal.org) und angeschlossene For-schergruppen im Auto-ID Lab Network(www.Auto-IDlabs.org), die daran arbei-

ten, die Grundlagen fur die „intelligente“Infrastruktur fur den Handel von morgendefinieren. Das schon langer diskutierteallgegenwartige Rechnen (engl. Ubiquitousoder Pervasive Computing) halt somitbreiten Einzug in die betriebliche Daten-verarbeitung.Neben anderen drahtlosen Technologien

wie Sensornetzwerke, Wireless LAN,GSM und GPS ist die RFID-Technik einerder wichtigsten Bausteine des allgegenwar-tigen Rechnens. Objekte werden mit einemkleinen Funkchip ausgestattet (engl. Trans-ponder oder Tag), der tragerunabhangigmit Lesegeraten (Readers) kommuniziert.In dem Vorschlag von EPCglobal ist aufdem Tag nur eine Nummer abgespeichert,der so genannte Electronic Product Code(EPC), welcher als neuer Nummernstan-dard den Barcode ablost und jedem einzel-nen Objekt eine eindeutige ID zuweist [A-IDa03; A-IDc03]. Diese Eindeutigkeitkann helfen, diverse Probleme modernerWertschopfungsketten zu losen, wie etwaden Schwund von Produkten, das Ein-

schleusen von Falschungen in den Liefer-prozess oder das Recycling. Des Weiterenfuhrt das automatische Auslesen der Tagszur Reduktion von Personalkosten uberalldort, wo Warenlieferungen manuell erfasstund uberpruft werden mussen. So berichtetz. B. die Metro AG. dass in den erstenRFID-gesteuerten Distributionszentren ei-ne Senkung der Lohnkosten um 11% er-zielt wird; die Verringerung des Schwundsbei Transport und Lagerung liegt bei11–18% [Wolfr04].

Einmal eingelesen leiten Lesegerate dieEPC-Information weiter an ein EPC-Netzwerk [GCI03], wo ahnlich dem Do-main Name Service (DNS) ein Object Na-me Service (ONS) erlaubt, Server mitweitergehenden Produktinformationen aufBasis des EPCs zu lokalisieren. Auf den soangesteuerten Serverrechnern und den dortlaufenden EPC-Informationsdiensten sol-len dann weitergehende Informationen zudem jeweiligen Objekt in standardisierterForm zu finden sein, zum Beispiel zu Ortund Zeitpunkt seiner Produktion, Auslie-

WIRTSCHAFTSINFORMATIK 47 (2005) 6, S. 422–430

Die Autoren

Oliver BertholdOliver GuntherSarah Spiekermann

Oliver BertholdInstitut fur InformatikDatenbanken und InformationssystemeHumboldt-Universitat zu BerlinRudower Chaussee 2512489 Berlin

Prof. Oliver Gunther, Ph.D.Dr. Sarah SpiekermannInstitut fur WirtschaftsinformatikHumboldt-Universitat zu BerlinSpandauer Straße 110178 Berlin

RFIDVerbraucher�ngste und Verbraucherschutz

Kernpunkte

Der Beitrag gibt einen �berblick uber im Zusammenhang mit der RFID-Technologie auftre-tende Verbraucherangste und technische Moglichkeiten, diese zu adressieren. Er diskutiertdie wesentlichen bis dato prasentierten technischen Schutzansatze und propagiert ein pass-wortbasiertes Schutzverfahren:

& RFID-Technik und Argumente, warum Verbraucherangste gerechtfertigt sind,& Schutztechnologien zur effektiven Adressierung von RFID-induzierten �ngsten und Schaf-

fung von Kontrolle,& Pladoyer fur einen einfachen Schutz durch einen passwortbasierten Ansatz, mit dem man

das Auslesen der RFID-Tags sicher kontrollieren kann.

Stichworte: Radio Frequenz Identifikation (RFID), Datenschutz, Privacy Enhancing Tech-nologies (PETs), Kontrolle, Technologiepaternalismus, Kryptographie, Passwortschutz

WI – State-of-the-Art

ferungsstatus und Verkaufsdatum [Aut-ID02]. Auf Basis dieser Technologien hofftdie Industrie, den in vielen Anwendungenproblematischen Medienbruch zwischenphysischen Warenstromen und virtuellerInformationswelt zu schließen. Insbeson-dere erhofft man sich die Echtzeittrans-parenz von Lieferprozessen und die Re-duktion des Prozentsatzes vergriffenerArtikel (Out-of-shelf-Situation).Wahrend einerseits nun diese positiven

wirtschaftlichen Potenziale bestehen, wirdandererseits derzeit eine heftige Debatteum die gesellschaftlichen Implikationender Technologie gefuhrt. Wenn RFID-Tagsauf den Produkten im Einzelhandel ange-bracht sind und von dort weiter in dieHaushalte gelangen, dann, so schreibenWissenschaftler [Beckw03; BCLMR04; Le-der02; SpBe04] und Verbraucherschutzer[FoeB03], konnte es zu einer allgegen-wartigen �berwachung von Menschen aufBasis der ihnen gehorenden Guter kom-men. Verbraucherschutzer boykottierendeshalb weltweit die RFID-Einfuhrung beigroßen Markenartiklern und Handelshau-sern wie Benetton, Gillette, Metro oderWalmart.Der vorliegende Artikel beginnt mit ei-

nem �berblick uber die Kritikpunkte und�ngste, die von Verbrauchern im Zusam-menhang mit der RFID-Technologie geau-ßert werden. Anschließend wird die tech-nische Realisierbarkeit dieser �ngstediskutiert. In Abschnitt 3 wird eine Aus-wahl der wichtigsten RFID-relevantenSchutztechnologien vorgestellt. Dabei zeigtsich, dass nur solche Verfahren wirklichenSchutz geben, die eine durch den Nutzeraktiv kontrollierte Auslesung vorsehen.Wir konzentrieren uns auf die wichtigstengegenwartig diskutierten technischen Mo-delle, welche mithilfe von Authentifizie-rungsverfahren dem Nutzer genau dieseKontrolle geben. Abschnitt 4 schließt miteiner Zusammenfassung und einem Aus-blick auf geplante Arbeiten.

2 RFID-induzierte �ngste

Die Vorstellung einer Integration vonFunkchips in alle uns umgebenden Objektesowie die damit mogliche „leise“ Kom-munikation von Objekten untereinanderruft bei vielen Zeitgenossen Unbehagenhervor. So hat die Gesellschaft fur Informa-tik eine Warnung vor der Technologie for-muliert und einen Maßnahmenkatalog auf-gestellt, „um die potenziellen Gefahrenvon Transpondern fur die Burger und die

Gesellschaft auf ein Minimum zu reduzie-ren“ [Pohl04].Sowohl im Auto-ID Center als auch an

der Humboldt-Universitat zu Berlin wur-den vor diesem Hintergrund empirischeVerbraucheranalysen durchgefuhrt, dieAufschluss daruber geben sollen, welche�ngste Verbraucher konkret mit derRFID-Technologie verbinden [Duce03;SpGue04]. Dabei kam die im Bereich derGrundlagenforschung der Sozialwissen-schaften haufig verwendete Methode derFokusgruppenanalyse zum Einsatz[ChIa01]. In den Analysen des Auto-IDCenter zeigt sich, dass die Angst vor einerEinbuße an Privatsphare andere Negativ-potenziale der Technologie, wie etwa Ge-sundheitsschaden und Arbeitsplatzverluste,klar uberlagert. Die Studien an der Hum-boldt-Universitat widmeten sich der Frage,an welchen Konstrukten eine Verletzungder Privatsphare festzumachen ist. Zu die-sem Zweck wurden 30 Berliner Burger in4 Fokusgruppen fur 8 Stunden beobachtet.Informationsgrundlage war ein positiv ge-stalteter Film der Metro Future Store Ini-tiative uber den Nutzen von RFID im Su-permarkt der Zukunft (zu Beginn derDiskussion) sowie ein eher kritischerARD-Bericht uber die RFID-Technik undihre Anwendungen (gegen Ende der Dis-kussion). Fur Fragen stand ein neutralerModerator zur Verfugung. Die Zusam-mensetzung der Gruppenteilnehmer ent-sprach ungefahr dem Bevolkerungsdurch-schnitt in Alter, Bildung und Geschlecht.Ausgehend von den auf Tonband auf-genommenen und transkribierten Gespra-chen konnten sechs als wesentlich wahr-genommene Eingriffe in die Privatsphareisoliert werden:a. Kontrollverlust uber die eigenen Be-

sitzgegenstande durch Unsichtbarkeitund Unbemerkbarkeit: Urangst, durchdie Unsichtbarkeit und Unbemerkbarkeitder Technologie keine Kontrolle mehr da-ruber zu haben, was mit den eigenen Ob-jekten passiert bzw. wann und ob man aus-gelesen wird oder werden kann.„... aber wenn man nicht weiß, wo dieses

Ding ist? Und ich weiß nicht, ob es irgend-wo draufklebt oder woanders drin ist?!“(Hervorhebungen von den Autoren)„Das Produkt, das ich gekauft habe, ist

in mein Eigentum ubergegangen, und mitdem mochte ich machen konnen, was ichwill. Das hat dann keinen mehr zu interes-sieren.“b. Verfolgbarkeit (engl. Tracking):

Moglichkeit, dass Informationen uber Ob-jekte ausgelesen und fur die Erstellung vonBewegungsprofilen genutzt werden. Auf-

enthaltsorte von Individuen konnten uberdie �berwachung der ihnen zugehorigenObjekte auch uber einen langeren Zeit-raum hinweg zuruckverfolgt werden.

„Wenn sich diese Chip-Anwendung halteben nur auf diesen Laden und den An-wender der Karte bezieht, ist das ja in Ord-nung. Wenn aber eine Weiterverfolgungaußerhalb des Ladens geschieht, hatte ichdamit ein Problem.

„Die konnen das in ihrem Umfeld, ihrerProduktionsstatte, ihrem Verkaufsfeld nut-zen, aber dann ist Schluss. Dann haben diemich in Ruhe zu lassen. Ich gehe aus demLaden raus und will nicht verfolgt werden.

„Ich wurde anfangen, unter Verfol-gungsangst zu leiden. . .“

c. Objektverantwortlichkeit: Angst vorder Zuordnung von Personen zu den ihnenjetzt oder fruher zugehorigen Objekten.Die Angst ist dadurch motiviert, dass manfur den Missbrauch oder Verbleib von Ob-jekten verantwortlich gemacht werdenkonnte. Dies mag vergleichsweise harmloseBeispiele betreffen, wie die weggeworfeneColadose im Wald, aber auch ernstere Fal-le, wie lange verkaufte oder verschenkteObjekte, die in eine kriminelle Handlunginvolviert sind und den Verdacht auf denfruheren Besitzer lenken.

“ . . . sondern es geht mir darum, dassmeine Personlichkeit, meine Person selbernicht in Verbindung gebracht werdenmuss mit dem Produkt, nachdem ich es ge-kauft habe

„Dann bin ich als Kaufer fur die Jo-ghurtflasche verantwortlich oder was? Dasist doch bekloppt.“

d. Technologiepaternalismus: Moglich-keit, durch die der Technologie inharenteObjekt-Objekt-Erkennung kleinste Fehl-tritte systematisch und automatisch zusanktionieren. So konnte die Papiertonneerkennen, dass falschlicherweise eine Batte-rie in ihr landet, ein Medikamenten-schrank, dass das Medikament vergessenwurde etc. Die resultierenden Warnsignaleund Hinweise wurden dem Menschen seinFehlverhalten vorhalten, dieses womoglichoffentlich machen, sanktionieren oder au-tomatisch unterbinden.

Die Frage ist doch, fangt es an zu piep-sen, wenn ich einen Joghurt dann doch vorder Kasse abstelle, und dann gibt es ein Sig-nal und dann wissen die aha . . .

„Dann stelle ich mir vor, ich nehme so ir-gendwie schonen Kaviar oder so und meinComputer sagt mir, das kriegst du nicht. . .“

e. Informationssammlung und Per-sonalisierung: Nutzung des EPCs als IDoder Merkmalstrager, um Personen auf Ba-


RFID: Verbraucherangste und Verbraucherschutz 423

sis der ihnen zugehorigen Objekte wiederzu erkennen und einzuordnen. Eine Infor-mationssammlung uber die eigenen Ein-kaufe, Wiedererkennung und Einordnung,so wird befurchtet, konnten zu einer syste-matisch personalisierten Ansprache fuhren.Es wird ein potenziell diskriminierendes„Vorhalten eines Spiegels“ befurchtet.

„. . . dann bringen sie mich in die nied-rigere Preiskategorie und Frau Nachbarinsteht daneben und sagt dann, guck mal,die kriegt nur so billige Sachen angebo-ten . . .

„Wenn jemand Informationen sammelt,und das bedeutet ja auch immer einen Zu-griff auf eine Person, und man kennt diesenZugriff nicht, man weiß nicht, dass da je-

mand zugreift, das ist ein unangenehmesGefuhl.

„Die wissen alles uber mich, und ichweiß gar nichts uber die.“f. Krimineller Missbrauch: Befurch-

tung, dass Dritte (Nachbarn, Diebe, Ha-cker) die Technologie missbrauchen konn-ten, um den eigenen Besitz auszuspahen.„Ich finde es auch schrecklich und ich

glaube auch, dass es ganz schnell fur nega-tive Situationen ausgenutzt werden kann.„Ich glaube, dass es ganz schnell fur ne-

gative Situationen ausgenutzt werdenkann, fur Spionage und alles mogliche.“Gemeinsamer Nenner all dieser �ngste

ist die oft unspezifische Angst vor einemKontrollverlust:

„. . . da wird mit mir was gemacht, wasich gar nicht so richtig kontrollieren kannund uberblicken kann und das macht mirAngst.„Wer will das alles kontrollieren, dass

die Daten nicht doch irgendwie noch an-ders verwendet werden. Wo ist da die Si-cherheit gegeben?“In der Tat sind die geaußerten Verbrau-

cherangste aus technischer Sicht nicht un-realistisch. Tabelle 1 fasst die wesentlichentechnischen Grundvoraussetzungen zu-sammen, welche erfullt sein mussten, damitdie Angstszenarien realisiert werden kon-nen und kommentiert diese mit den gegen-wartigen Standards und potenziell wirken-den okonomischen Anreizen. Dabei wird


Tabelle 1 Technische Voraussetzungen fur gangige Verbraucherangste

�ngste Wesentliche technischeVoraussetzung

Standards und okonomisch/betriebswirtschaftliche Anreize zur Schaffung der technischen Voraussetzungen

UnbemerktesAuslesen

1 Genugendgroße Lesedistanz

3 Das von der Industrie (insbesondere in USA) favorisierte UHF-Frequenzband bei 865–928 MHz erlaubtderzeit Lesereichweiten von 6–8 Metern. Diese Reichweiten sind insbesondere fur Logistikanwendungenpraktisch erforderlich und sind schon heute fur Paletten und Kartons Standard. Die Nutzung eines weiterenStandards (z. B. 13, 56 MHz) mit geringeren Lesereichweiten (1,5 Meter) ist aufgrund doppelter Investitio-nen okonomisch offen.

2 Auslesbarkeit des EPCohneAuthentifizierung

3 Der gegenwartige Standard (Class 1, Generation 2) sieht keine Authentifizierung des Lesegerates vor.�konomische Anreize zum Schutz der EPC Information bestehen nicht (siehe offener Aufdruck des Barcodesauf Produkten heute). Soziale Anreize bestehen aufgrund der Privacy-Debatte nur dann, wenn der EPC in-terpretierbar ist (s.u.). Die Implementierung von Authentifizierungsmechanismen auf dem Chip ist kosten-intensiv und treibt den fur den breiten Einsatz von RFID notwendigen Stuckpreis nach oben.

3 Interpretierbarkeit desEPC

3 EPC Information kann, ebenso wie der Barcode heute, aufgelost und interessierten Parteien zur Verfugunggestellt werden. Dazu gibt es bereits heute etablierte Dienstleister (siehe dazu Sinfos GmbH, http://www.sin-fos.de/sinfosde).3 In Produktkategorien, in denen ein hohes Informationsinteresse besteht, konnten freie Produktionsinforma-tionsdienste im Internet entstehen, die auf Basis des EPCs abrufbar sind (ggf. gegen Gebuhr). Ein moglicherVorlaufer ist das Greenpeace Einkaufsnetz (http://de.einkaufsnetz.org ).

Verfolgbarkeit 1 und 2 sowie 4 HoheDichte anLesegeraten

3 Der Einsatz von Lesegeraten im Einzelhandel an Regalen, Ein- und Ausgangen macht eine hohe Lesedich-te, insbesondere im Innenstadtbereich wahrscheinlich. Ebenso wird uber den Einsatz von RFID fur die ticket-lose Nutzung des offentlichen Nahverkehrs nachgedacht, uber die Nutzung der Technologie an Grenzenund Flughafen zur Passkontrolle sowie in Stadien.

5 Verknupfbarkeit vonBewegungsdaten zueinem Pfad

? Die Verknupfung stellt praktisch eine Herausforderung dar, wenn fur die Erstellung eines Bewegungsprofilsmehrere Parteien (Besitzer von Messpunkten) kooperieren mussen. Eine Implementierung des EPC-Netz-werks mit einem zentralen EPC Discovery Service, so wie derzeit von VeriSign propagiert, konnte das Auf-finden verteilter Messpunkte erleichtern. Außer fur Strafverfolgungszwecke ist ein Zugriff auf die solchenjedoch nicht unbedingt absehbar.

Objektverant-wortung

2 sowie 6 Speicherungdes eindeutigen EPC zu-sammen mit dem Objekt-besitzer

3 In Verbindung mit Kundenkarten kann in den Datenbanken des Handels nachvollzogen werden, welcherPerson, welches Produkt genau gehort. Diese Information wird fur Kundenbindungszwecke (personalisiertesMarketing) genutzt und existiert heute auf Basis des EAN (sog. Bon-Daten). Die Speicherung entsprichti. d. R. der gesetzlich erlaubten Speicherdauer.

Technologie-paternalismus

2 und 3 sowie 7 White-lists oder Blacklist, dieSignal auslosen

3 Existieren Whitelists oder Blacklists, die das Nichtzusammengehoren von eingelesenen Objekten auto-matisch erkennen, so konnte dieses durch ein Signal sanktioniert oder unterbunden werden. Die Investitionin solche Listen und die entsprechende Leseinfrastruktur wird vom jeweiligen Einsatzgebiet abhangig sein.

Informations-sammlung &Personalisie-rung

2 und 3 sowie8 Datamining 9 Schnitt-stellen fur die Kunden-ansprache

3 Fur das Datamining von Kundendaten kann auf die seit Jahren im E-Commerce-Umfeld entwickelten Clus-teralgorithmen zuruckgegriffen werden.3 Neue Schnittstellen fur die Kundenansprache sind fur Supermarkte und Kaufhauser in der Planung, z. B.in Form des PSA (Personal Shopping Assistent) oder von intelligenten Spiegeln.3 �konomisch sinnvoll, neue Kanale zum Kunden auszuschopfen und Personalisierung einzusetzen, da die-se umsatzsteigernd wirkt.

424 Oliver Berthold, Oliver Gunther, Sarah Spiekermann

deutlich, dass ein direktes Auslesen vonTag-Information ohne eine vorherige Au-thentifizierung eine wesentliche Wurzelvieler gefurchteter Ausnutzungs- undMissbrauchsszenarien darstellt. Eine krimi-nelle Motivation hinter unbemerktem Aus-lesen oder Verfolgen wird nicht separataufgefuhrt, da die technischen Vorausset-zungen dieselben sind wie in okonomischsinnvollen Szenarien.Auch Mark Weiser, einer der geistigen

Vater des Ubiquitous Computing, be-schrieb in seinem ersten visionaren Artikelzum Computer des 21. Jahrhunderts[Weis91]: „The problem [with UbiquitousComputing] while often couched in termsof privacy, is really one of control. If thecomputational system is invisible as well asextensive, it becomes hard to know what iscontrolling what, what is connected to

what, where information is flowing, how itis being used, what is broken, and what arethe consequences of any given action.“Gabe es hingegen fur jedenMenschen eine

einfache Moglichkeit, das Auslesen oderVerfolgen zu unterbinden, Warntone abzu-stellen oder eine Personalisierung abzuleh-nen, so bestunde aus Verbrauchersicht si-cherlich weniger Grund zur Beunruhigunguber RFID. Eine Kernfrage der verbrau-cherfreundlichen Technologiegestaltung istalso, wie fur den Einzelnen die Kontrolleuber die Systemumwelt erhalten bleibenkann.Obliegt es jedemEinzelnen, dasKom-munikationsverhalten der ihm zugehorigenObjekte zu bestimmen, so lassen sich – dasist das Kernargument dieses Artikels – Ein-griffe in diePrivatsphare undFreiheitsrechtedes Einzelnen bis auf wenige Missbrauchs-falle ausschließen bzw. kontrollieren.

�ngste um einen Verlust der Privatspha-re und Einbuße von Kontrolle sind in derDatenverarbeitung nicht neu. Im Folgen-den wollen wir die Frage nach einer kon-trollierten RFID-Technik auf das Problem-feld des Auslesevorgangs eingrenzen. Diesgeschieht zum einen vor dem herausgear-beiteten Hintergrund, dass die unkontrol-lierte Auslesung als solche die wichtigsteWurzel der beschriebenen Missbrauchssze-narien darstellt. Zum anderen wollen wirdie Ergebnisse einer Kooperation der Uni-versitat Bielefeld mit dem Verein zur For-derung des offentlichen bewegten und un-bewegten Datenverkehrs e.V. (www.foebud.org) diskutieren, in deren Rahmeneine RFID-bezogene „Privacy Checklist“entwickelt worden ist [HeLS04]. DieCheckliste wird im Rahmen der vom Foe-BuD ins Leben gerufenen Initiative „Stop


Privatsphärenschutz-Checkliste 1.1

Ist das Pricacy-Enhancing-Technology-Konzept (PET-Konzept) so geartet, ...

a. dass es Datensparsamkeit erzwingt?b. dass es auf der Durchsetzung des Daten- und

Privatsphärenschutzes als Grundsatz basiert?c. dass es dem Bürger die Kontrolle über die

Technik überträgt?d. dass es das Tag automatisch in einen

gesicherten Modus versetzt?1)

e. dass es nachweisbar sicherstellt, dass dasautomatische Versetzen in den gesichertenModus immer stattfindet?

f. dass die Kommunikation abhörsicher ist?g. dass es den Bürger vor dem Hersteller schützt?h. dass es den Bürger vor dem Handel schützt?i. dass es den Schutz des Bürgers im Laden

einschließt?j. dass die Anwesenheit eines Tags im gesicherten

Modus nicht erkannt werden kann?k. dass es keine aktiven Schutzmaßnahmen vom

Bürger erfordert?

l. dass es aktive Schutzmaßnahmen nichtbehindert? 2)

m. dass es die Entstehung und Nutzung zentralerDatenbanken vermeidet?

n. dass es generell die Entstehung und Nutzungvon Datenbanken vermeidet? 3)

o. dass es die Nutzung von Funktionalität nachdem Kauf in sicherer Weise ermöglicht? 4)

p. dass es mit bestehender RFID-Technologieumgesetzt werden kann?

q. dass die Tag-Kosten dadurch nicht erheblichsteigen?

r. dass die Tag-Kosten dadurch gar nicht steigen?s. dass dadurch kein weiterer Nachteil für die

Privatsphäre entsteht? 5)

t. dass dadurch eine weiterreichendeVerbesserung der Privatsphäre erfolgt? 6)

u. dass davon der Handel profitiert?

1) Tags ohne sicheren Modus werden automatisch endgültig deaktiviert (“zerstört”)2) z.B. Benutzung von Blocker-Tags. Aktive Schutzmaßnahmen sind umstritten, dennoch sollte sich aus ihrer Benutzung keine

Beeinträchtigung der Schutzwirkung anderer Schutzmaßnahmen ergeben3) Datenbanken, die eine Zuordnung zwischen Objekten und Personen, auch indirekt, ermöglichen4) z.B. die Nutzung eines intelligenten Kühlschranks oder einer intelligenten Waschmaschine5) weitere Nachteile sollten zusätzlich zur Checkliste notiert werden6) weitere Verbesserungen sollten zusätzlich zur Checkliste notiert werden

Bild 1 �bersetzung der Privacy-Checkliste des FoeBuD und der Universitat Bielefeld


RFID“ propagiert [Foe04]. Konsistent mitunserer Argumentation pladiert sie dafur,dass Auslesevorgange unter die Kontrolledes Nutzers gestellt werden sollten. DieseForderung ist fur Industriekreise von Inte-resse, da der FoeBuD mit seiner Initiative„Stop-RFID“ als die aktivste deutsche In-teressensgruppe zum Thema RFID-be-zogener Verbraucherschutz gilt. DieCheckliste enthalt eine Reihe von Anforde-rungen, die in die Kategorien Konzept,Schutzumfang und Praktikabilitat grup-piert werden konnen (siehe Bild 1). Unge-achtet der gelegentlich als tendenzios inter-pretierbaren Formulierungen stellt dieListe einen interessanten Leitfaden dar, diewir in die folgende Evaluation von RFID-relevanten Datenschutztechnologien ein-fließen lassen werden.Die erste Gruppe der Forderungen be-

zieht sich auf das Realisierungskonzept derjeweiligen Technik (a bis f, j bis o). Es wirdunterschieden, ob die Technik den Schutzals Voreinstellung bietet oder dieser Schutzerst nach zusatzlichen Maßnahmen desKonsumenten zum Tragen kommt. Ins-besondere wird in Punkt k gefordert, dassder Schutz nicht defensiver Natur sein soll,wie etwa die unten beschriebenen BlockerTags. Auch wird in Punkt e die Frage nachder Beweisbarkeit der Sicherheitseigen-schaften gestellt. Diese Frage zielt auf dasnotwendige Vertrauen der Kunden bzw.die Angst vor versteckter �berwachungs-funktionalitat ab. Hier ist insbesondere dasso genannte „Presence Spotting“ betroffen,wobei die Anwesenheit entsprechend aus-gestatteter RFID-Tags festgestellt werdenkann, auch wenn diese sich in einem ge-schutzten Modus befinden. Ein Auslesendes EPC ist auch hier ausgeschlossen, abervor dem Feststellen der Anwesenheit hilftnur die physische Zerstorung des Tags.Vor- und Nachteile dieses „Presence Spot-ting“ mussen noch intensiver diskutiertwerden: Einerseits wird von Datenschut-zern haufig eine Kennzeichnungspflichtgefordert, wobei die Kennzeichnung, kon-sequent weitergedacht, auch technisch aus-lesbar sein sollte, insbesondere um denEinsatz „versteckter“ Tags wirksam zu ver-hindern. Andererseits wird u. a. im Punkt jder Checkliste von RFID-Tags im ge-schutzten Modus gefordert, fur Lesegeratenicht wahrnehmbar zu sein, da allein dasVorhandensein von RFID-Tags Ruck-schlusse auf den Benutzer ermoglichenkonnte, vor allem solange nur wenige Pro-dukte auf diese Weise gekennzeichnet sind.Eine wichtige Anforderung ist auch derVerzicht auf zentrale Datenbanken, welchedie Zuordnung zwischen Nutzer und Ob-

jekt speichern (Punkt m). Die Nutzungsolcher Datenbanken wurde zwar das di-rekte Auslesen von vertraulichen Datendurch Nichtautorisierte verhindern (da derTag keine derartigen Informationen ent-halt), andererseits begibt man sich in die in-formationelle Abhangigkeit des Daten-bankbetreibers.Die zweite Gruppe von Forderungen (g

bis i) bezieht sich auf das Einsatzgebiet,bzw. auf die durch die Schutztechnik uber-deckten Bereiche im Lebenszyklus einesProduktes. Hier halten die Autoren derCheckliste es fur notwendig, dass KundenInformationstransparenz gegenuber demHandel einschranken konnen, indem sieder Nutzung von RFID-Diensten auf derVerkaufsflache bewusst nicht zustimmen.Auch vor der Weitergabe von Produktnut-zungsdaten an den Handel oder Produzen-ten (z. B. via des viel zitierten „intelligen-ten“ Kuhlschranks) soll sich der Kundeschutzen durfen.Die letzte Gruppe der Anforderungen (p

bis u) bezieht sich auf Kriterien zur Eva-luation der Praktikabilitat von RFID-Schutzlosungen. Hier stehen erwartungs-gemaß Kosten, technische Umsetzbarkeitund Nutzeneffekte im Vordergrund.Grundtenor der Checkliste ist der Schutz

der Privatsphare der Konsumenten gegenjeden beliebigen Dritten. Dies kann jedochnur gewahrleistet werden, wenn kein Drit-ter (genannt sind in gHersteller, in hHand-ler, in m Datenbankbetreiber und in f Au-ßenstehende) in der Lage ist, Informationenuber den Konsumenten ohne dessen Zu-stimmung zu erhalten. Die Checkliste for-dert folglich die direkte Kontrolle des Nut-zers uber seine RFID-Tags.

3 Technische Schutz-maßnahmen

Im Folgenden wird vor dem Hintergrunddieser Kriterien und unserer eigenen Ana-lysen eineAuswahl vonverfugbarenSchutz-techniken vorgestellt. Wir beschreiben dieseTechniken im Detail und diskutieren ins-besondere dieFrage derNutzerkontrolle.

3.1 Abschirmung, Blocker-Tagsund Datenschutzagenten

Datenschutzprobleme entstehen, wennRFID-Tags unbemerkt und ohne Zustim-mung des Nutzers ausgelesen werden kon-nen. Eine Moglichkeit zur Kontrolle derAuslesevorgange ware die Abschirmung al-

ler RFID-Tags (beispielsweise durch in Ta-schen eingenahte Metallfolien).Blocker-Tags [JuRiS03] sind besonders

effektive Storsender, die in Kenntnis desKommunikationsprotokolls zwischen Tagund Lesegerat immer genau dann „dazwi-schen senden“, wenn andere Tags antwor-ten wollen. So versteht das Lesegerat, wel-ches den Storer auch noch mit dernotwendigen Energie versorgt, im End-effekt keinen der RFID-Tags. Fraglich istjedoch, ob eine derartige „Denial-of-Ser-vice“-Strategie skalierbar ist und flachen-deckend eingesetzt werden kann. Daruberhinaus ist zu bemerken, dass Blocker-Tagsje nach Lage der Leseantenne unzuverlas-sig sind und nicht nur die eigene Tag-Rea-der-Kommunikation storen, sondern auchdie anderer Personen [Langh04]. Der Ein-satz von solchen Storsendern scheint daherkeine valide technische Antwort auf dasProblem eines kontrollierten Auslesens imSinne der oben beschriebenen �ngste(Kontrollverlust, Verfolgbarkeit) zu sein.Eine weitere wichtige Schutztechnologie

sind Datenschutz-„Agenten“. Bekannt ge-worden sind derartige Ansatze durch dasvom W3C-Konsortium betriebene ProjektPlatform for Privacy Preferences (P3P) indem Datenaustauschkonditionen zwischenInternetseiten und deren Nutzern definiertwerden [Cran03]. Analog dazu ist dieGrundidee bei [Floer04; Langh03], wonachsich das Lesegerat gegenuber einem Trans-ponder authentifiziert und dabei Zweckund Umfang seines Einlesegesuchs mitteilt.Auf Nutzerseite gibt es eine Art Schutz-Tag (im Internet analog Privacy Bird[CrFaR02]), in dem die Datenschutzprafe-renzen einer Person gespeichert sind. Mit-hilfe eines Agentensystems soll abgeglichenwerden, ob die Datenschutzpraferenzen ei-ner Person mit den Zielen des Auslesevor-gangs vereinbar sind. Wenn ja, kann derAuslesevorgang vonstatten gehen. Wennnein, wird die Person entweder gewarntoder der Auslesevorgang wird abgelehnt.Grundsatzlich enthalt dieser Vorschlagwichtige Gestaltungsaspekte fur die kon-trollierte Authentifizierung von Lesegera-ten und impliziert auch, dass Nutzer dieWiederkennung ihrer Objekte beeinflussenkonnen. Delegieren Verbraucher jedochbei ungeschutzten Tags die Entscheidunguber eine Auslesung an den Schutz-Tag,was hier grundsatzlich vorgesehen ist, soergibt sich das Problem einer reduziertenKontext- und Zweckdarstellung, welchebereits bei P3P stark kritisiert worden ist[SpGrB01] und welche insbesondere bei ei-ner langerfristig gultigen Pauschalzusage(Opt-in) zu einem Kontrollverlust fuhrt.



Entscheidend aber ist, dass die Losung vor-sieht, dass RFID-Tags standardmaßig furLesegerate zuganglich sind. KontrollierteAuslesung wird somit auf das Recht redu-ziert, Informationen des Lesegerats zu ver-trauen, uber dessen Konfiguration der Ver-braucher aber keine Kontrolle hat.Die Techniken dieses Absatzes erfordern

in jedem Fall eine aktive, vom Nutzer zubetreibende Schutztechnik. Standardmaßigist der Nutzer jedoch ungeschutzt, was denAnforderungen b, c und k der Checklistewiderspricht.

3.2 Kill-Funktion

Eine extreme Form der Deaktivierung istdas vollstandige und unwiderrufliche Ab-schalten der Tags. Laut Spezifikation ist furalle Tags nach den EPC-Standards ein Kill-Befehl vorgesehen [EPC03], wobei jederTag ein individuelles Passwort besitzt, mitwelchem sich ein zum „Kill“ berechtigtesLesegerat vor Ausfuhrung autorisierenmuss. Der Kill-Befehl wird des �fteren alsAllheilmittel fur die Losung der mit RFIDassoziierten Datenschutz- und Kontroll-probleme angesehen. Weder ein TrackingvonPersonen, noch eineObjektverantwort-lichkeit, noch ein Missbrauch, noch einePersonalisierung, nochTechnologiepaterna-lismus waren moglich – wenn jeder RFID-Tag standardmaßig und zuverlassig an derKasse deaktiviert wird (Anforderung a, bund d der Checklist). Die Herangehenswei-se liegt nahe: Schaltet man die Technik aus,so hatman auchkeinProblemmehr.Nun verzichtet man damit aber naturlich

auch auf die Nutzenpotenziale außerhalbvon Logistikkette und Supermarkt, dieheute vielerorts fur den Einsatz von RFID-Technologie gesehen werden (Anforderungo). Zu nennen sind hier beispielsweise ver-einfachte Prozesse fur die Garantie-, Ruck-gabe- und Recyclingabwicklung, neueDienste im Sicherheitsbereich und innova-tive Heimapplikationen wie eine „intelli-gente“ Mikrowelle oder der notorische„intelligente“ Kuhlschrank, Es ist daherdurchaus fraglich, in wie weit sich Ver-braucher konsequent zu einem komplettenVerzicht auf RFID-basierte Dienste nachdem Kauf entschließen wurden.Mochte man die Nutzenpotenziale von

RFID nach dem Kauf wahrnehmen undgleichzeitig Kontrolle uber das Kommuni-kationsverhalten der den eigenen Objektenzugeordneten Tags ausuben, so ist es notig,auf diese direkt einzuwirken und je nachKontext die Preisgabe von Informationentweder zuzulassen oder abzulehnen.Hierbei ist wichtig, dass nicht nur ein Au-

thentifizierungsverfahren vorgesehen ist,sondern auch ein standardmaßiger Aus-leseschutz [SpBe04]. Im Gegensatz zu deroben diskutierten P3P-Losung entsteht da-durch genau die Umkehrung von Kontrol-le – was aus Sicht im Sinne des Verbrau-cherschutzes wunschenswert ist – namlichgrundsatzliche standardmaßige Anony-mitat gepaart mit bewusster Offenlegungbei Vorhandensein eines entsprechend inte-ressanten Dienstes.

3.3 Hash Lock

DasHash-Lock-Verfahren [ERSW03] siehteine Zugriffsbeschrankung auf RFID-Tagsmittels einer im Tag integrierten krypto-graphischen Hashfunktion vor. EineHashfunktion stellt einen hohen Zugangs-schutz nach gegenwartigem Stand der Tech-nik dar. Geht ein Produkt in den Besitz ei-nes Kunden uber, so wird der Tag mit einemHashwert h = Hash(k) uber einem zufalliggewahlten Schlusselwert k gesperrt und derDatensatz (h, k) an eine private Datenbankdes Kunden ubergeben. Ein auf diese Weisegesperrter Tag sendet einem Lesegerat aufAnfrage nur noch h und verschweigt denEPC oder andere Tag-Daten.Ein mit dem Hash-Lock-Verfahren ge-

sperrter RFID-Tag erlaubt demnach nursolchen Lesegeraten Zugriff auf den EPC,welche einen Zugang zu der privaten Da-tenbank des Besitzers haben und den zu hkorrespondierenden k-Wert als Authentifi-zierungsmerkmal senden konnen. DerRFID-Tag uberpruft diesen mittels seinerintegrierten Hashfunktion. Datenschutz-probleme wie unvorhergesehene Objekt-verantwortlichkeit, krimineller Missbrauchund mogliche Personalisierung werdendurch diese Technik effektiv unterbunden.Aus Datenschutzsicht negativ (Punkt s derCheckliste) ist, dass der Tag wieder erkanntwerden kann: Der an jedes Lesegerat aus-gesendete Hashwert h stellt eine langfristigverwendete (wenngleich von Außenstehen-den nicht mit dem EPC verknupfbare)Tagkennung dar. Das Verfahren ist dahernur eingeschrankt geeignet, die Privatspha-re des Nutzers zu schutzen. Etwas einge-schrankt wird die Praktikabilitat der Lo-sung ferner durch die Notwendigkeit einerDatenbank im Nutzerbereich, die regelma-ßig gepflegt und mit allen Lesegeraten einerPerson permanent vernetzt sein muss.

3.4 Randomized Hash LockBei dem Randomized-Hash-Lock-Verfah-ren [ERSW03] handelt es sich um eine Wei-terentwicklung des ursprunglichen Hash-

Lock-Verfahrens mit dem Ziel, dasWiedererkennungsproblem zu losen. Eingesperrter Tag sendet hier nun keinen festenHashwert h mehr aus. Stattdessen wird furjede Leseanfrage n vomRFID-Tag ein neuerHashwert hn erzeugt, und zwar auf Basis desEPCs einesObjekts und einerZufallszahl rn.Die Zufallszahl rn und hn = Hash(EPC | rn)werdenC auf Anfrage eines Lesegerates aus-gesendet.Nur derBesitzer desTags, der vor-her den EPC eines in seinemBesitz befindli-chen Produkts in einer privaten Datenbankabgespeichert hat, ist in der Lage, mithilfevon rn und hn=Hash(EPC | rn) auf den rich-tigenEPCzu schließen.

Dieses Verfahren benotigt ebenso wiedas ursprungliche Hash-Lock-Verfahreneine vernetzte Datenbank im Nutzer-bereich. Wichtigster Nachteil ist jedoch derhohe rechnerische Aufwand fur die Ermitt-lung des EPC auf Basis von rn und hn =Hash(EPC|rn). Da die Hashfunktion nichtinvertiert werden kann, muss auf Basis vonrn fur jeden Datenbankeintrag einHashwert berechnet und mit hn verglichenwerden, um den richtigen EPC zu isolie-ren. Der Aufwand ist somit linear in derAnzahl der Datenbankeintrage, was zuSkalierungsproblemen fuhren kann.

3.5 Private ID

Eine wesentliche Vereinfachung des Hash-Lock-Verfahrens stellt der Private-ID-An-satz [Inoue04] dar. Hier wird bei �bergabedes Objekts an den Kunden der EPC aufdem Tag einfach durch eine frei wahlbareKennung, eben die Private ID, ersetzt. Ineiner privaten Datenbank des Kunden wirddann die Zuordnung von Private ID zuEPC gespeichert. Fragt ein Lesegerat einenTag an, erhalt es nur die ID des Tags. Zumrichtigen EPC zugeordnet werden kanndiese jedoch nur, ahnlich den obigen Lo-sungen, durch den Besitzer der Datenbank.Problematisch ist bei diesem Verfahren ne-ben dem schon beschriebenen Wieder-erkennungsproblem, dass keine praktikableMethode vorgeschlagen wurde, wie das un-autorisierte Setzen oder Loschen der Pri-vate ID verhindert werden kann.

3.6 Das Passwort-Modell:Standardmaßige Anonymitatund einfache Authentifizierung

Wie die bereits vorgestellten Verfahren ba-siert das von den Autoren in [SpBe04] vor-geschlagene Passwort-Modell auf einemstandardmaßigen Schutz der RFID-Tags,welcher ein Auslesen ohne Zustimmung



des Nutzers verhindert. Die Grundidee isteinfach: Der RFID-Tag wird mit einer Ak-tivierungsfunktion (Enable/Disable Functi-on) ausgestattet. Diese Funktion aktiviertbzw. deaktiviert bestimmte Funktionen desRFID-Tags, insbesondere solche, welcheden (Lese-)Zugriff auf den EPC ermogli-chen. Ein aktivierter RFID-Tag verhalt sichso wie im EPC-Standard vorgesehen: JedesLesegerat kann nach erfolgter Separierungeines einzelnen RFID-Tags im Lesebereichden EPC erfragen. Die Infrastruktur in Su-permarkt und Logistik muss daher kaumangepasst werden: Jeder RFID-Tag ist ak-tiv und besitzt ein individuelles „Kill“-bzw. Deaktivierungspasswort, welchesanalog zum Kill-Ansatz uber die Artikel-datenbank der Supermarktkasse verfugbargemacht wird.An der Kasse oder einer separaten Deak-

tivierungsstation wird ein RFID-Tag je-doch nicht durch den Kill-Befehl zerstort,sondern nur temporar deaktiviert. Zusatz-lich wird das Tag-Passwort durch ein vonVerbraucher gewahltes „RFID-Passwort“ersetzt, welches beispielsweise auf dessen„Datenschutz-Karte“ gespeichert ist(Bild 2). Deaktivierte RFID-Tags erwartennach der Separierung das korrekte Pass-wort zum Auslesen des EPC bzw. zur(Re-)Aktivierung, ansonsten wird der Zu-griff verwehrt. Im EPC-Standard fur Tagsder Generation 2 [AutID05] ist ein Pass-wortschutz nur zur Absicherung der Kill-Funktion und zur Beschrankung derSchreibrechte vorgesehen. Ein aktivierba-rer Passwort-Schutz des Lesezugriffs wiehier vorgeschlagen ist nicht vorgesehen.Allerdings wurde der Anti-Kollisions-Al-gorithmus so weiterentwickelt, dass eineSeparierung der im Lesebereich befindli-

chen Tags ohne Aufdeckung des EPC er-folgt.Die entscheidende Vereinfachung in un-

serem Verfahren besteht darin, dass dieKontrolle deaktivierter RFID-Tags nichtmit Tag-spezifischen Schlusseln ausgeubtwird. Stattdessen hat jeder Verbraucher eineinziges (bzw. einige wenige) Passwort(e)fur samtliche ihm zugehorigen Objekte.Dieses „RFID-Passwort“ ist analog zurheutigen Zugriffsrechtegestaltung im Onli-nebereich fur nur einen Dienst gultig, nam-lich den der Deaktivierung und Aktivie-rung der eigenen Produkte.Hatte jeder RFID-Tag ein anderes Pass-

wort, ware wie bei Private ID oder HashLock eine Tag-Kennung erforderlich, dieauch im deaktivierten Zustand ausgesendetwird, um dem Lesegerat die effiziente Er-mittlung des richtigen Passwortes zu er-moglichen. Dies fuhrt zu dem oben be-schriebenen Wiedererkennungsproblem.Das verbraucherspezifische „RFID-Pass-wort“ ermoglicht hingegen den Verzichtauf die Tag-Kennung, da das zu verwen-dende Passwort dem berechtigten Lesege-rat ja bekannt ist, bzw. nur einige wenigePassworter durchprobiert werden mussen.Ohne Kenntnis des Passworts wird nur derSeparierungs-Algorithmus ausgefuhrt –wodurch Presence Spotting ohne Identifi-zierung ermoglicht wird, und damit dieAnforderung j der Checkliste nicht mehrerfullt ist.Das Passwort-Modell legt zwei Realisie-

rungsvarianten nahe: In einer Basisvariantewird das Passwort unverschlusselt ubertra-gen, so dass der Funktionsumfang der heu-te preiswert verfugbaren RFID-Tags (z. B.I-Code SL2 ICS11 von Philips [Phili03])bereits ausreicht. Das Kommunikations-

protokoll andert sich im deaktivierten Zu-stand nur in so weit, dass fur bestimmteBefehle das Passwort ubertragen und uber-pruft wird. In einer erweiterten Variantewird das Passwort ausschließlich ver-schlusselt ubertragen, wofur dann aller-dings eine Hash-Funktion auf dem RFID-Tag realisiert sein und bei jederPasswortuberprufung ausgefuhrt werdenmuss. Bereits die Basisvariante schutzt ge-gen Massenuberwachung: Selbst wenn dieRFID-Passworter vieler Menschen abge-hort wurden, ware keine massenhafteIdentifizierung von Passanten moglich, dagegenuber jeder Person jedes einmal abge-horte Passwort durchprobiert werdenmusste. Die erweiterte Version schutzt hin-gegen auch gegen individuelle �ber-wachung Einzelner. Durch die hohe Si-cherheit kann das Passwort zudem zumBeweis des Besitzes verwendet werden:Nur der berechtigte Nutzer ist in der Lage,den Tag zu kontrollieren. Gestohlene Wareware unverkauflich, wenn zusatzlich nochdie Echtheit des Tags durch ahnliche kryp-tographische Verfahren unter Einbezie-hung des Herstellers uberprufbar ware.

3.7 Zero Knowledge Ansatz

Einen ganz ahnlichen Ansatz verfolgt Eng-berg et. al. [EnHJ04]. Ebenso wie bei demPasswort-Modell wird ein Gruppenschlus-sel (gemeinsames Passwort) fur verschie-dene Tags eines Bereiches vorgeschlagen.Allerdings verwendet Engberg ein komple-xeres Authentifikationsprotokoll: Ein Le-segerat sendet folgende Nachricht:

<t, r XOR hash(t XOR key),hash(r XOR key)>


RFIDTag

Deaktivierungs-Station

DatenschutzKarte

SupermarktArtikel

Datenbank

2. Anfrage EPC

1. Tag Separierung

3. AnfrageTag-Passwort, EPC

4. DeaktivierungTag-Passwort

Tag-Passwort

5. RFID-Passwortsetzen

Bild 2 Prozessablauf an der Deaktivierungsstation


wobei t ein Zeitstempel, r eine Zufallszahlund key der Gruppenschlussel ist. DerRFID-Tag kann diese Berechnung nach-vollziehen und somit verifizieren, dass dasLesegerat den Gruppenschlussel kennt.Der letzte akzeptierte Zeitstempel muss je-doch im RFID-Tag gespeichert werden,um Wiederholungsangriffe zu verhindern.Zudem mussen alle Lesegerate synchroni-siert werden. Der Vorteil dieser Methodeist einerseits der Verzicht auf die Notwen-digkeit eines Zufallsgenerators im RFID-Tag, andererseits steht der Wert r fur dieVerschlusselung eines Kommandos odereiner Antwort des Tags zur Verfugung, daein Abhorer r nicht ermitteln kann. Eineunverschlusselte �bertragung des EPCkann so vermieden werden. Zusatzlichpropagiert Engberg die Loschung des EPCund die Ersetzung durch einen zufalligenWert, ahnlich wie bei Private ID. Der Vor-teil ist ein besserer Schutz vor physischenAngriffen auf die RFID-Tags, wegen desVerzichts auf jegliche identifizierende Da-ten. Neben der dadurch notwendigenDatenbank im Nutzerbereich ist der we-sentliche Nachteil jedoch die fehlendemehrseitige Sicherheit: Ein einmal gesperr-ter Tag kann niemals gegenuber Dritten be-weisen, einen bestimmten EPC zu besitzen– dieser wurde ja geloscht. Es musste dies-bezuglich dem bisherigen Besitzer volligvertraut werden. Bearbeitung von Garan-tiefallen ware dann auf Basis der RFID-Tags nicht moglich. Zudem ist fraglich, obein Schutz des EPC gegen diese relativtheoretischen Angriffe sinnvoll ist, da derAngreifer noch immer den Gruppenschlus-sel extrahieren und somit alle Tags dieserGruppe kontrollieren konnte.

3.8 Fazit

Alle vorgeschlagenen Authentifizierungs-verfahren haben gemeinsam, dass sie einestandardmaßige Anonymitat gewahrleistenund die Auslesung der Tag-Inhalte voll-standig in die Kontrolle des Endnutzersbzw. -verbrauchers transferieren. Anderer-seits fuhren all diejenigen Ansatze, dieHash-Funktionen auf den Tags einsetzen,derzeit noch zu erheblich erhohten Tag-kosten. Eine Einschrankung der Praktika-bilitat stellt die außer beim Passwort-Mo-dell notwendige vernetzte Datenbank da.Eine aus Datenschutzgrunden problemati-sche zentrale Datenbank, wie in derCheckliste unter Punkt m angesprochen,benotigt hingegen keine der Techniken. Ei-nen Schutz im Supermarkt (Anforderung i)kann keine der Techniken bieten, da derSupermarkt vor und an der Kasse zwangs-

laufig Zugang zum RFID-Tag habenmuss.Individuelle Tag-spezifische Passworter

haben entweder einen hohen Berechnungs-aufwand beim Auslesen durch berechtigteLesegerate (Randomized Hash Lock) oderaber die Aussendung einer verfolgbarenKennung auch an unberechtigte Lesegerate(Private ID, Hash Lock) zur Folge – wasaus Datenschutzsicht nachteilig ist (Punkt sder Checkliste). Die im Passwort-Modellund dem Ansatz von Engberg verwendetenGruppenpassworter umgehen diesenNachteil, ermoglichen aber den Zugriff aufalle Tags der „Gruppe“, wenn dieses Pass-wort einmal abgehort werden konnte. Diekurze und relativ stabile Liste von Grup-penpasswortern in einem Haushalt verein-facht das Handling: Statt alle Gerate zuvernetzen genugt eine einmalige Kopie derListe. Im Haushalt wurden die RFID-Tagsdauerhaft deaktiviert bleiben und Aus-lesevorgange nur nach Passwortverifikati-on erfolgen. Eine Reaktivierung der RFID-Tags ist nur dann notwendig, wennProdukte (vorubergehend) an einen Drit-ten ubergeben werden, wie z. B. bei Abga-be eines Kleidungsstucks bei einer Textil-reinigung. Das Reinigungsunternehmenkann nun den EPC des Tags auslesen undzur Abwicklung des Auftrages verwenden,jedoch auf Grund der Unkenntnis desPasswortes den RFID-Tag nicht kontrol-lieren.Passwort-Modell, Randomized Hash

Lock und das Modell von Engberg erfullendie wesentlichen Punkte der Privacy-Checkliste. In Punkt f (Abhorsicherheit)bietet das Verfahren von Engberg Vorteile.„Presence Spotting,“ Punkt j, wird von den

Autoren wegen der moglichen Erkennung„versteckter“ Tags eher positiv gesehen;dies ist aber auch kontextabhangig undletztlich Ansichtssache. Engberg pro-pagiert hingegen die von seinem Verfahrenermoglichte Nichtnachweisbarkeit deakti-vierter Tags. Mit der beim Passwort-Mo-dell vorgeschlagenen Tag-Deaktivierung ander Supermarktkasse konnten die Forde-rungen b bzw. d der Checkliste erfullt wer-den: Der Normalfall ist die Deaktivierungder RFID-Tags, ohne dass der Verbraucherdies explizit fordern muss. Verfugt einVerbraucher uber keine „Datenschutz-Kar-te“ – oder mochte er sich nicht mit derTechnologie befassen – konnte das jeweilsnotwendige Aktivierungspasswort bei-spielsweise fur Garantiefalle einfach auf dieRechnung gedruckt werden. Die Basis-variante des Passwort-Modells fuhrt zu-dem zu einer nur minimalen Erhohung derKosten fur Tagherstellung, Infrastrukturund Organisation/Einsatz im Vergleich zueinem Szenario mit Einsatz der Kill-Funk-tion, wo der wesentliche Aufwand beimBereitstellen der individuellen Kill-Pass-worter an der Deaktivierstation anfallt.

4 Resumee

Industrie und Handel sehen sich an derSchnittstelle zum Kunden mit der Heraus-forderung konfrontiert, dass viele Men-schen die Vorstellung von „lebenden“Chips in ihren Objekten als unangenehmempfinden. Die empirischen Arbeiten amAuto-ID Center und an der Humboldt-Universitat zu Berlin haben diese �ngste


Abstract

RFID: Consumer Fears and Consumer Protection

RFID introduction is a hotly debated public policy issue. The technology enables physicalenvironments to become more interactive and supportive by tagging each item with a chipthat wirelessly communicates with a service-enriched backend infrastructure. Based on anumber of user studies at Humboldt-Universitat and at the Auto-ID Center, this article pre-sents the major fears associated with RFID introduction. We show to what extent these fearsare justified and derive a number of system requirements for giving users more control overan RFID-enabled IT infrastructure. After presenting several recent technical proposals forprivacy protection, we focus on the question of controlled access to RFID tags. We concludewith a proposal for an easy-to-use private password model.

Keywords: Radio Frequency Identification (RFID), Privacy, Privacy Enhancing Technologies(PETs), Control, Technology Paternalism, Cryptography, Password-Protection


konkretisiert. Dabei stehen die Moglich-keiten einer systematischen �berwachungdurch unbemerktes Auslesen und Wieder-erkennen von Personen durch ihre Objek-te, Objektverantwortlichkeit, die unkon-trollierbare und teilweise als unangenehmempfundene Zuordnung zu Konsumenten-zielgruppen sowie ein potenzieller Tech-nologiepaternalismus und ein generellerKontrollverlust im Vordergrund der Be-furchtungen.Um diesen �ngsten zu begegnen, wur-

den diverse Schutztechnologien vor-geschlagen. Die Unterschiede zwischenden vorliegenden Vorschlagen betreffen dieFrage, wie viel und wo sie Kontrolle durchden Verbraucher vorsehen. Geht man da-von aus, dass es die „intelligente“ Umge-bung sein soll, die aktiv (i.A. zu Werbe-zwecken) auf den Menschen zugeht, soware es erforderlich, sich z. B. durch Blo-cker-Tags vor dieser zu schutzen – mangeht in die Defensive. RFID-Tags musstenin diesem Szenario fur Lesegerate grund-satzlich auslesbar sein. Geht man jedochumgekehrt davon aus, dass der Mensch ak-tiv auf die Systemumgebung zugeht, wenner Informationen oder Dienste sucht (z. B.durch Abfrage eines RFID-Tags, welcheszu Informationszwecken unter einemEPCGlobal-Logo an einem Konzertplakatangebracht ist), so mussten die RFID-Tagsgrundsatzlich nicht zuganglich sein. DerVerbraucher selbst entscheidet, wann ermehr von seiner „intelligenten“ Umgebungerfahren mochte, und es wird letztendlichdie Dienstgute oder der Kontext sein, diedaruber entscheiden, wann er ein Angebotwahrnimmt. Damit geht jedoch auch eineunterschiedliche Qualitat an RFID-Tagseinher. Will man Hashfunktionen oderauch nur wiederbeschreibbaren Speicher inmassenmarktfahige Tags integrieren, sowerden diese deutlich teurer. Dieser Trendwird von der Industrie nicht begrußt, so-lange man noch bei den einfachsten Tagsunter einem zu hohen Preisniveau leidet.Allerdings glauben wir, dass die RFID-Einfuhrung im Handel ohne derartige In-vestitionen in eine breitere Technikakzep-tanz nicht gelingen kann.

Es verbleibt letztlich die Frage nach dereinfachen Handhabung der vorgeschlage-nen Sicherheitsfunktionen. Fur den Mas-senmarkt glauben wir, dass in vielen An-wendungsbereichen guter Schutz miteinfacher Handhabe besser ist als sehr gu-ter Schutz mit schwieriger Handhabe.Diese Pramisse hat sich in dem von unsvorgeschlagenen Passwortverfahren nieder-geschlagen, welches wir mit diesem Artikelzur Diskussion stellen.

Danksagung

Die Autoren danken der Metro AG unddem Metro Future Store Team fur die ver-trauensvolle Zusammenarbeit, insbesonde-re bei der Durchfuhrung der in diesem Ar-tikel diskutierten empirischen Studien.

Literatur

[A-IDa03] Auto-ID Center: EPC-256: The 256-bitElectronic Product Code Representation. http://archive.epcglobalinc.org/aboutthetech_re-search.asp, Massachusetts Institute of Technol-ogy (MIT), Cambridge, USA 2003.

[A-IDc03] Auto-ID Center: The Use of the Elect-ronic Product Code. http://archive.epcgloba-linc.org/aboutthetech_research.asp, Massachu-setts Institute of Technology (MIT), Cambridge,USA 2003.

[Beckw03] Beckwith, R: Designing for Ubiquity:The Perception of Privacy. In: IEEE Pervasive 2(2003) 2, S. 40–46.

[BCLMR04] Bohn, Jurgen; Coroama, Vlad; Lang-heinrich, Marc; Mattern, Friedemann; Rohs, Mi-chael: Living in a World of Smart Everyday Ob-jects – Social, Economic, and EthicalImplications. In: Journal of Human and Ecologi-cal Risk Assessment 10 (2004) 5.

[ChIa01] Churchill, Gilbert; Iacobucci, Dawn:Marketing Research: Methodological Foundati-ons. South-Western College Pub., 2001.

[Cran03] Cranor, Lorrie Faith: P3P: Making Priva-cy Policies More Useful. 2003. S. 50–55.

[CrFaR02] Cranor, Lorrie Faith; Reidenberg, Joel:Can user agents accurately represent privacy no-tices? The 30th Research Conference on Infor-mation, Communication, and Internet Policy.Alexandria, Virginia, USA, 2002.

[Duce03] Duce, Helen: Public Policy: Understan-ding Public Opinion. University of Cambridge,Cambridge, UK, 2003.

[ERSW03] Engels, Daniel; Rivest, Ronald; Sarma,Sanjay; Weis, Stephen: Security and PrivacyAspects of Low-Cost Radio Frequency Identifi-cation Systems. First International Conferenceon Security in Pervasive Computing, SPC 2003.Springer Verlag, Boppard, USA, 2003.

[EPC03] EPC-Global: 900 MHz Class 0 RadioFrequency (RF) Identification Tag Specification.http://www.epcglobalinc.org/standards_technol-ogy/Secure/v1.0/UHF-class0.pdf, 2003.

[Floer04] Floerkemeier, Christian; Schneider, Ro-land; Langheinrich, Marc: Scanning with a Pur-pose – Supporting the Fair Information Princi-ples in RFID Protocols. 2nd InternationalSymposium on Ubiquitous Computing Systems.Tokyo, Japan, 2004.

[FoeB03] FoeBuD e.V.: Positionspapier uber denGebrauch von RFID auf und in Konsumgutern.FoeBuD e.V., Bielefeld 2003, S. 14.

[FoeB04] FoeBuD e.V.: Studie uber Schutz der Pri-vatsphare vor RFID online. http://stoprfid.de/aktuell/aktuell18.html, 2004-11-06.

[GCI03] GCI, Global Commerce Initiative: Glo-bal Commerce Initiative EPC Roadmap. 2003.

[Inoue04] Inoue, Yasuura: RFID Privacy UsingUser-controllable Uniqueness. RFID PrivacyWorkshop 2004. http://www.rfidprivacy.org,Massachusetts Institute of Technology (MIT),Cambridge, USA, 2004.

[HeLS04] Hennig, Jan; Ladkin, Peter; Sieker,Bernd: Privacy-Enhancing Concepts for RFIDTechnology Scrutinised. RVS Group, UniversitatBielefeld, Bielefeld 2004.

[JuRiS03] Juels, Ari; Rivest, Ronald; Szydlo, Mi-chael: The Blocker Tag: Selective Blocking ofRFID Tags for Consumer Privacy. 10th AnnualACM CCS 2003. http://theory.lcs.mit.edu/~riv-est/, 2003.

[Langh03] Langheinrich, Marc: A Privacy Aware-ness System for Ubiquitous Computing Envir-onments. 4th International Conference on Ubi-quitous Computing, UbiComp2002. Springer-Verlag, Goteborg, Sweden, 2003.

[Langh04] Langheinrich, Marc: Die Privatsphareim Ubiquitous Computing – Datenschutzaspek-te der RFID-Technologie. http://www.vs.inf.ethz.ch/publ/papers/langhein2004rfid.pdf, ETHZurich, Zurich 2004.

[Leder02] Lederer, Scott; Dey, A.: A ConceptualModel and a Metaphor of Everyday Privacy inUbiquitous Computing Environments. UC Ber-keley, Berkeley, USA, 2002.

[Phili03] Philips: Data Sheet zu Philips I-Code SL2ICS11. http://www.semiconductors.philips.com/acrobat/other/identification/SL092030.pdf,2003.

[Pohl04] Pohl, Hartmut: Hintergrundinformatio-nen der Gesellschaft fur Informatik e.V. (GI) zuRFID – Radio Frequency Identification. 2004.

[SpBe04] Spiekermann, Sarah; Berthold, Oliver:Maintaining privacy in RFID enabled environ-ments – Proposal for a disable-model. In: Ro-binson, Philip; Vogt, Harald; Wagealla, Waleed(Eds.): Privacy, Security and Trust within theContext of Pervasive Computing. Springer Ver-lag, Vienna, Austria, 2004.

[SpGrB01] Spiekermann, Sarah; Grossklags, Jens;Berendt, Bettina: E-privacy in 2nd generation E-Commerce. Proceedings of the 3rd ACM Con-ference on Electronic Commerce EC’01. ACMPress., Tampa, Florida, USA, 2001.

[SpGue04] Spiekermann, Sarah; Guenther, Oliver:RFID & Privacy: Consumer Perspective &Technology Insights. http://www.m-lab.ch/rfid-ws.html, St.Gallen, CH, 2004.

[SpZi04] Spiekermann, Sarah; Ziekow, Holger:Technische Analyse RFID-bezogener Angstsze-narien. http://www.wiwi.hu-berlin.de/~sspiek/phdresearch.htm, Institut fur Wirtschaftsinfor-matik – Humboldt Universitat zu Berlin, Berlin2004, S. 44.

[Weis91] Weiser, Mark: The Computer for the 21stCentury. 1991, S. 94–104.

[Wolfr04] Wolfram, Gerd: RFID-Fahrplan der Me-tro Group im Detail. Prasentation gehalten aufdem RFID-Kongress fur die Partner der ME-TRO Group Koln, 2004-05-14.



RFID: Verbraucherängste und verbraucherschutz; RFID: Consumer Fears and Consumer Protection;

Documents

Transcript of RFID: Verbraucherängste und verbraucherschutz; RFID: Consumer Fears and Consumer Protection;