Die Speicherung personenbezogener Daten auf Plastikkarten ist nichts Neues. Ab den 1970er Jahren gab es die ersten Kreditkarten mit Formprägungen zur mechanischen Übernahme von Kreditkartennummern auf Papierzettel – einige erinnern sich vielleicht noch an das obligatorische „ritsch-ratsch“-Geräusch bei Bezahlvorgängen mit frühen Kreditkarten. Später zogen elektromagnetische und kontaktbasierte Techniken nach. Mittlerweile ist die digitale Datenspeicherung auf Chips Standard, und es gibt hauptsächlich zwei Varianten der Datenübertragung: die kontaktgebundene und die kontaktlose. Letztere ist auch als „Radio frequency identification“ (RFID) oder „Near field communication“ (NFC) bekannt und ist u.a. durch die ISO-Normen 14443, 18000, 18092, 21481 beschrieben.

Technisch gesehen handelt es sich bei RFID-Karten zum Teil um rein passive Systeme auf denen nur Daten gespeichert werden können. Möglich sind aber auch aktive Systeme also keine reinen Speicher-Chips sondern Embedded Computer, die kontaktlos vom RFID-Lesegerät per Induktionsschleife mit Strom versorgt werden. Ein kleiner Computer auf einer RFID-Karte kann aktiv Hashwerte aus einem geheimen Schlüssel berechnen, und so moderne kryptografische Verfahren unterstützen. Passive Systeme sind trotz Verschlüsselung schon gehackt worden (link Heise myfare- hack http://www.heise.de/security/meldung/Schwaechen-des-RFID-Systems-Mifare-Classic-bestaetigt-191623.html ).

Beim Auslesen eines RFID-Modules wird Energie mittels eines Hochfrequenzfeldes auf den Chip übertragen. Der Chip erzeugt zum Antworten aber nicht etwa ein eigenes Feld sondern schwächt das Feld des Lesegerätes moduliert ab. Diese Abschwächung kann vom Lesegerät, aber auch von einem, mit einem eigenen Empfänger ausgestatteten, potentiellen Angreifer in der Nähe detektiert werden.

Bei Near Field Communication handelt es sich um eine Erweiterung dieser Technologie um die klassische Aufteilung Lesegerät und mehr oder weniger passive Chipkarte aufzubrechen. NFC-fähige Geräte wie z.B. das Samsung Nexus S, das Nexus Galaxy oder auch das neue Samsung S3 Mobiltelefon (und vermutlich auch das zukünftige iPhone 5) können Lese- und Senderolle einnehmen. Die Verschlüsselungsmöglichkeiten und die beschränkte Reichweite lassen zahlreiche Anwendungen für das mobile Bezahlen zu. Die Reichweite von NFC ist auf ca. vier Zentimeter begrenzt um sicheres Payment zu ermöglichen. Neuerdings werden auch Kreditkarten mit NFC-Chips ausgestattet (http://www.heise.de/newsticker/meldung/NFC-Kreditkarten-bereiten-den-Boden-fuer-Handy-Zahlsysteme-1586330.html). NFC ist zu RFID abwärtskompatibel, so das auch alle RFID-Karten per NFC ausgelesen werden können.

Die Vorteile von RFID sind in der Warenwirtschaft und Logistik unbestreitbar, ebenso würden auch die Autoren nur ungerne auf Komfortmerkmale wie z.B. kontaktlose Schließanlagen oder Plastikgeld an einer Kasse verzichten wollen.

Bei allen Vorteilen dieser Technik, ist leider anzumerken, dass der im Gegensatz zu mechanisch oder rein visuell basierten Datenübertragungsverfahren von einem selbst kontrollierten „Sendevorgang“, z.B. durch das freiwillige Vorzeigen einer Karte zum laser-basierten Einscannen, bei der Nutzung von RFID verändert wird in einen dauerhaften latenten „Sendevorgang“, der jederzeit durch ein Lesegerät getriggert werden kann.

RFID-Karten lassen sich aus kurzer Entfernung prinzipiell auch mit üblichen (NFC-fähigen) Smartphones auslesen. Zu solchen Karten gehört übrigens auch der neue Personalausweis (nPA/ePerso).

Ein Material, welches effektiv gegen einen ungewollten Zugriff „von außen“ hilft, ist Aluminium. Da man seinen neuen Personal- oder Dienstausweis oder eine Geldkarte nun nicht unbedingt regelmäßig wie eine Tafel Schokolade ein- und auspacken möchte, gibt es Hersteller, die praktische Schutzhüllen für RFID-basierte Karten anbieten. Wir haben eine solche RFID-Schutzhülle aus Cryptalloy® einmal getestet.

Und so sieht eine solche RFID-Schutzhülle aus:

Zunächst wurden ein Personalausweis und ein Dienstausweis ohne RFID-Schutzhülle mit Hilfe zweier Android-Apps gescannt:

Man sieht: gewisse Daten kommen an. So sollte es sein – zumindest wenn man selbst eine solche Karte benutzen möchte, z.B. weil man Zugang benötigt oder einen Kaffee in der Kantine bezahlen möchte.

Und wenn man danach eine solche Karte wieder in die Hülle zurück steckt…

…sieht man nichts mehr. Hervorragend – das ist „Safer NFC“ wie es sein sollte.

Koautor dieses Artikels ist Andreas Bischoff.