Die Online-Plattform Tilllate diskutiert das Risiko von kontaktlosen Chipkarten. Im Interview mit dem Journalisten David Nägeli geht Stefan Friedli auf die Möglichkeiten von Angriffen und die Notwendigkeit eines Schutzes entsprechender Karten und Ausweise ein. Das ungekürzte Interview lesen Sie hier.

Herr Friedli, benutzen Sie Karten oder andere Objekte mit RFID-Chips in Ihrem Alltag?

Ja, ich nutze regelmässig eine NFC Kreditkarte.

Machen Sie sich Sorgen vor Datendiebstählen, die die RFID-Chips auslesen? Schützen Sie sich vor solchen Fällen?

Ich bin mir, aus beruflichen Gründen, bewusst, dass Risiken existieren. Sorgen mache ich mir dagegen keine. Bei NFC Tags, wie sie bei Kreditkarten genutzt werden, ist die notwendig physischen Nähe eines potenziellen Datendiebs vergleichbar mit der eines Taschendiebs. Insofern sehe ich den Sinn zusätzlicher Massnahmen nur bedingt.

Muss ich in der Schweiz Angst vor Dieben haben, die mir kontaktlos Geld von einer Kreditkarte mit RFID-Chip abziehen können?

Das ist sicher ein mögliches Szenario, allerdings ist das auch nicht ganz trivial. Die Angreifer müssten, nach aktuellem Stand der Forschung in diesem Bereich, ein über ein entsprechendes Zahlungsterminal verfügen. Und auch dann wäre der mögliche Transaktionsbetrag auf 40 Franken limitiert. Zusätzlich: Die Kreditkartenherausgeber haben sich bis dato in Betrugsfällen mehrheitlich kulant gezeigt und können unerwünschte Transaktionen teils auch mittels ihrer Fraud Detection Systeme abfangen.

Wie sieht es mit reinen Datendiebstählen (bspw. vom biometrischen Pass oder dem SBB-Swisspass) aus?

Viele stellen sich das Auslesen des Schweizer Passes trivial vor, aber ganz so einfach ist es dann doch nicht. Damit die Personalien per RFID ausgelesen werden können, muss ein Schlüssel aus Passnummer, Geburtsdatum und Ablaufdatum des Passes errechnet werden. Einfach nur den Pass an einen RFID Leser halten reicht hier nicht aus.

Wie weit muss ein Auslesegerät von einem RFID-Chip entfernt sein, um die Daten auslesen zu können?

Das hängt stark vom verwendeten Chip ab und Leser ab. UHF (UItra High Frequency) Chips können bis zu 100m weit lesbar bleiben während LF/HF (Low Frequency/High Frequency) Chips im Regelfall zwischen 3-30cm fallen.

Sind die benötigten Geräte für solche Datendiebstähle schwierig zu erhalten?

Zahlungsterminals, die effektiv für solche Angriffe nutzbar sind, sind nicht trivial zu beschaffen. Reguläre RFID Reader dagegen schon.

RFID-geschützte Portemonnaies werden von diversen Anbietern vertrieben, Hacker-Workshops zeigen, wie man sich selbst Faraday-Schutzhüllen bastelt. Ist das für Normalbürger notwendig?

Meines Erachtens nicht, zumal wir keine massive Zunahme entsprechender Zwischenfälle verzeichnen können.

Oder gehören solche Massnahmen eher zum Gebiet von “Verschwörungstheoretikern” und sind für Normalbürger nicht relevant?

Welchen Risiken jemand zu tragen bereit ist, ist sehr individuell. Dabei von Verschwörungstheoretikern und Normalbürgern zu reden vereinfacht das zu Unrecht. Ich persönlich halte das Risiko, dass mir 40 Franken in bar gestohlen werden schlicht und einfach für höher, als dass ein vergleichbarer Diebstahl per NFC stattfindet. Und jedes Mal meine Karte aus einer zusätzlichen Hülle klauben zu müssen ist mir, im Hinblick auf dieses Restrisiko, die Mühe nicht wert.

Rechnen Sie (bzw die scip AG) damit, dass Betrugs- oder Diebstahlfälle mit Bezug auf RFID-Chips zunehmen werden?

Nein.

Sehen Sie andere Gefahren in der steigenden Verwendung von RFID-Chips?

Die Forschung im Sicherheitsbereich läuft stetig und die heutige Situation kann morgen ganz anders aussehen. Wir haben aber, die Faktenlage betrachtet, momentan keinen Anlass dazu, die Verbreitung von RFID grundsätzlich als kritisches Risiko zu betrachten.

Links

• http://www.tilllate.com/de/story/handy-faraday-kaefig
• https://stefanfriedli.ch/2017/04/erganzung-zum-interview-auf-20-minuten-tilllate-vom-02-04/

Tags