@techreport { Spiekermann2004,
	title = {Technische Analyse RFID-bezogener Angstszenarien},
	year = {2004},
	month = {11/2004},
	pages = {44},
	address = {Berlin},
	abstract = {<b><i>RFID-bezogene Verbraucherängste</i></b>
<br>
<br>
Im Folgenden soll ein Überblick über die Hauptängste der Verbraucher gegeben werden, die in Verbindung mit der Implementierung der RFID-Technologie entstehen. Alle Angstszenarien werden anhand dreier Schritte analysiert: wer wäre an der Realisierung dieser Szenarien interessiert, welche technischen Voraussetzungen müssen hierfür gegeben sein und durch welche Maßnahmen lassen sich diese Szenarien verhindern.<br>
Durchgeführt wurde die Untersuchung durch das Forschungsteam der Auto-ID Labs und an der Humboldt-Universität zu Berlin.
<br>
<br>
<ol><li>Unautorisierte Erfassung von Besitz</li>
<br>
Die allgemeine Angst vor Überwachung beinhaltet auch die Befürchtung, dass Fremde unbemerkt den privaten Besitz einer Person auslesen könnten. Dies könnte zur Aufdeckung von illegalen oder dem Besitzer unangenehmen Objekten führen. Ferner gäbe man Einbrechern und anderen Kriminellen die Möglichkeit effizienter vorzugehen, sobald die Auskunft über den Wert eines Kofferinhalts oder der Einrichtung des Zielobjektes haben.  <br>
Um diesen Angriff auf die Privatsphäre erfolgreich durchzuführen hat der Angreifer zwei Möglichkeiten. Zum einen könnte er den auf dem Tag gespeicherten EPC in Erfahrung bringen, indem er den diesen direkt ausliest oder die Kommunikation zwischen Tag und Reader abhört. Für beide Alternativen wird ein Lesegerät benötigt. Sie unterscheiden sich nur im Bezug auf das nötige technische Verständnis und die räumliche Distanz, aus dem die Angriffe durchgeführt werden können. <br> 
Sobald der EPC ausgelesen wurde, muss anhand der Kodierung dieser Identifikationsnummer die Produktart bestimmt werden. Die Codes sind zwar nicht in öffentlichen Listen vorzufinden, können allerdings durch Auslesen und Speichern von Produkten, die in Läden erhältlich sind, erstellt werden. <br>
Prinzipiell ist dieser Angriff vor allem seitens Krimineller denkbar, da sowohl die Investition in ein Lesegerät als auch der Aufwand zur Beschaffung der Produktnummern vorstellbar ist, solange der Gewinn durch gezieltere Angriffe in Relation zu den Ausgaben für die benötigte Ausrüstung, höher ist. Allerdings sind ausreichende Technikkenntnisse nur im Falle von organisierter Kriminalität zu erwarten und könnten im Bereich der Industriespionage eingesetzt werden.<br>
Auch Privatpersonen aus dem privaten Umfeld des Eigentümers werden als potentielle ?Angreifer? identifiziert. Es ist jedoch nicht anzunehmen, dass beispielsweise Nachbarn die finanziellen Mittel und das detaillierte Wissen über die RFID-Technologie zur Befriedigung ihrer Neugier aufbringen.  <br>
Weitere Interessenten stellen Institutionen kommerzieller oder staatlicher Natur dar. Hierunter fallen auch Unternehmen, die diese Daten zur Profilerstellung und zum Zwecke des personalisierten Marketings nutzen könnten. Für diese stellen weder die Kosten noch das nötige Wissen eine Hürde dar. Es stellt sich allerdings die Frage ob diese trotz des drohenden Imageverlustes einen solchen Angriff durchführen würden. Dennoch scheint die Risikobereitschaft zielabhängig sein. Der Staat könnte beispielsweise im Rahmen der Strafverfolgung auf diese Methode zurückgreifen. Hierbei sind auch größere Investitionen denkbar.<br>
Als Gegenmaßnahme ist vor allem die vorgesehene Kill-Funktion und die damit verbundene permanente Deaktivierung der Tags zu erwähnen, da das Auslesen deaktivierter Tags nicht möglich ist und somit auch die meisten Angriffsszenarien und unautorisierte Zugriffe unmöglich macht. Trotz allem könnte bedingt durch das Deaktivierungsprotokoll durch Abhören des Kill-Vorgangs die ID des betreffenden Tags ermittelt werden. Zusätzlich würde die Deaktivierung eine langfristige Nutzung im Heimbereich für intelligente Objekte oder zur Geltendmachung von Garantieansprüchen verhindern. Hier ist ein Passwortschutz oder ein Hash-Lock Verfahren ratsamer. Denkbar wäre auch die physische Abschirmung von Readern um dem Abhören der Tag-Reader Kommunikation entgegenzuwirken. Allerdings wird bei dieser Methode auch der Nutzungskomfort eingeschränkt. 
<br>
<br>
<li>Tracking von Personen</li>
<br>
Die langfristigen Nachvollziehbarkeit und Überwachung der Bewegungen und des Aufenthaltsortes einer Person wird unter dem Begriff ?Tracking? zusammengefasst. Generell betrachtet ist dies innerhalb eines Ladens, einer städtischen Infrastruktur, in einer Region aber auch überregional möglich. <br>
Um diese Art von Angriff erfolgreich durchführen zu können sind unterschiedliche Teilschritte nötig, die in Kombination oder alternativ zueinander durchgeführt werden müssen. So muss der Angreifer Datenspuren einer Person erheben, um dessen Aufenthaltsorte aufzuzeichnen sowie gegebenenfalls zu kombinieren und zu analysieren. Zu diesem Zweck benötigt er Zugriff auf geographisch verteilte Datenpunkte, also Aufzeichnungen von Lesegeräten. Hierbei können die Aufzeichnungen von Dritten verwendet oder eigenständig erhoben werden.<br>
Zur selbsttätigen Erhebung der Datenpunkte ist es nötig Individuen an einzelnen Messpunkten innerhalb des Tracking-Gebietes wiederzuerkennen. Sollten keine eigenen Messpunkte vorhanden sein, so ist auch die Nutzung fremder Messpunkte durch Verträge und Ähnliches möglich. Die Wiedererkennung stellt dank Tag-IDs, die sich dem Träger eindeutig und langfristig zuordnen lassen, oftmals kein Problem dar. Sollte im Messraum keine eindeutige ID zu finden sein, so lässt sich aus mehreren bekannten IDs ein Profil erstellen, das zur Wiedererkennung genutzt werden kann.<br>
Alternativ zur Eigenerhebung besteht auch die Möglichkeit bestehende EPC-Netzwerke zu nutzen. Hier können objektbezogene Informationen über EPC Information Services oder EPC Discovery Services bezogen werden. Daten wie Zeitpunkte der Lesevorgänge und Identifikationsnummern der entsprechenden Lesegeräte stellen die Grundlage des Tracking-Angriffs dar. <br>
Für das ?Tracken? einzelner Personen ist neben der Erhebung von Datenspuren auch die Verknüpfung dieser mit der Identität der Person hilfreich. Kommt es beispielsweise an der Supermarktkasse zur Nutzung elektronischer Zahlungsmittel oder von Kundekarten, ist die Verknüpfung zwischen einer Person und Objekten ohne weiteres möglich.<br>
Bei der Identifizierung potentieller Angreifer, ihren Angriffsmotivationen und Erfolgschancen, wird davon ausgegangen, dass die ?getrackte? Person dem Angreifer bekannt ist; somit bleiben nicht personalisierte Aufzeichnungen von Bewegungsströmen wie bei Laufstudien unberücksichtigt. <br>
Einer der Hauptinteressenten dieses Angriffsszenarios sind kommerzielle Institutionen wie Handelsunternehmen, denen Aufschlüsse über Konsumentenbewegungen auf der Verkaufsfläche oder innerhalb von Einkaufszentren bei der Erstellung ihrer Verkaufsstrategie und somit der zielgerichteten Produkt- und Werbeplazierung von Nutzen sein können. Da sie auf der eigenen Verkaufsoberfläche oftmals uneingeschränkte Möglichkeiten haben Lesegeräte als Messpunkte zu setzen und Personen im Kassenbereich anhand von Kundenkarten und Ähnlichem zu identifizieren, ist das Angriffsszenario in diesem Fall problemlos realisierbar. <br>
Arbeitgebern ermöglicht das ?Tracken? die Überwachung ihrer Angestellten zur Kontrolle von Pausenzeiten und Krankmeldungen. Dabei ist eine Ortung innerhalb des Gebäudes oder auch überregional denkbar. Dieses Einsatzgebiet scheint jedoch nicht realistisch, da sich zur Überwachung von ?kranken? Mitarbeitern auch andere Technologien wie GPS oder GSM anbieten.<br>
Im Falle des Staates als potentiellen Angreifer steht erneut die regionale und überregionale Strafverfolgung im Vordergrund. Da der Staat sowohl über technische und finanzielle Mittel sowie über gesetzliche Befugnisse verfügt, steht einer erfolgreichen Durchführung des genannten Angriffs nichts im Wege. In diesem Zusammenhang wäre es interessant zu erfahren inwieweit Bürger ihrem Staat vertrauen. <br>
Natürlich können auch in diesem Szenario sinnvolle Gegenmaßnahmen gesetzt werden. Da das ?Tracken? durch Unternehmen mit eigenen Messpunkten durch technische Maßnahmen kaum zu verhindern sein wird, wären freiwillige Selbsteinschränkungen der Unternehmen oder alternativ dazu gesetzliche Einschränkungen ratsam. Bei letzterem könnte die Granularität der Readerdaten reduziert werden, da zB. zeitlich aggregierte Zeitstempel von Objekteinlesungen die Verfolgung von Personen einschränken. <br>
Man könnte ebenso über ein Privacy-Profil in Zusammenhang mit Kundenkarten und Ähnlichen nachdenken, in dem festgelegt wird welche Daten über die Person erhoben werden dürfen. Unter dem Begriff ?Identitätsmanagement? sind im Bereich des E-Commerce bereits ähnliche Vorschläge unterbreitet worden.<br>
Auch beschränkte Zugriffsrechte oder ein generelles Zugriffsverbot auf Bewegungsprofile des EPC-Netzwerks wären schon von Vorteil, da Angreifer ohne eigene Messpunkte auf dieses angewiesen sind. Man könnte hierbei auch unterscheiden ob ein Objekt im Besitz einer Privatperson ist und Daten, die sich auf dieses Objekt beziehen, stärker vor unautorisiertem Zugriff schützen. Zusätzlich ist dem Besitzer das Recht einzuräumen im Sinne der informationellen Selbstbestimmung Mitspracherecht bei der Erstellung der Zugriffsrechte zu haben.
<br>
<br>
<li>Erheben sozialer Netzwerke</li>
<br>
Die Befürchtung in diesem Szenario liegt darin, dass nachvollzogen werden könnte wer mit wem, wann und wo Kontakt hat und somit soziale Verbindungen zwischen Einzelpersonen frei liegen. <br>
Da man bei solchen Verbindungen annimmt, dass Personen wiederholt oder über längere Zeit gemeinsam unterwegs sind, müssen in diesem Angriff notwendigerweise Bewegungsprofile erhoben werden. Liegen einem die Trackingdaten erst einmal vor, können diese ohne Schwierigkeiten mittels der Computertechnologie auf Überlappungen abgeglichen werden. Je nach Feinheit der vorliegenden Bewegungsdaten reichen entweder bereits wenige Informationen zum Abgleich aus, oder es müssen längerfristige Profile erstellt werden. <br>
Da es für die meisten Interessenten dieses Angriffs effektivere Wege, wie direkte Beobachtung, gibt um an die gewünschten Informationen zu kommen, ist dieser Angriff nur für jene Instanzen sinnvoll, die die benötigten Informationen nicht auf anderem Wege erhalten. Vor allem staatliche Institutionen werden Interesse an diesem Angriff haben, z.B. im Rahmen der Strafverfolgung. Aufgrund der Notwendigkeit von Trackingdaten benötigt der Staat lediglich uneingeschränkte Zugriffsrechte auf die entsprechenden Datenbanken. <br>
Viele Gegenmaßnahmen wurden bereits in der Diskussion im Zusammenhang mit Tracking erwähnt. Im Zuge der Anwendung in der Strafverfolgung müssen vor allem Fehlinterpretationen der Daten vermieden werden. Daher scheint eine gesetzliche Regelung in welchen Fällen diese Methode zum Einsatz kommen darf, welche Qualitätsanforderung an die Erhebung zu stellen ist sowie die Verwendbarkeit entsprechender Daten in Gerichtsverfahren, sinnvoll.
<br>
<br>
<li>Technologiepaternalismus</li>
<br>
Hier wird Bezug auf die Angst genommen, dass den Menschen mittels der Technologie ein Teil ihrer Kontrollkraft genommen werden könnte. Hierzu zählt auch dass gesetzlich nicht strafbare Fehlverhalten und von der Norm abweichende Verhaltensweisen durch Maschinen automatisiert erkannt, gemeldet und sogar geahndet werden, wodurch ein Gefühl ständiger Bevormundung entsteht. Je nach Art des Fehltritts erfolgt beispielsweise eine Strafzahlung bei gesetzlich erfassten Delikten oder eine Bloßstellung der Person in der Öffentlichkeit durch Warnsignale, ausgelöst durch z.B. die falsche Plazierung eines Objektes an einem bestimmten Ort. Um den Angriff erfolgreich durchführen zu können müssen daher einerseits Produkt-IDs erfolgreich ausgelesen und andererseits das Fehlverhalten, also eine Deplatzierung, festgestellt werden. Ist die Gruppe der möglichen deplatzierbaren Objekte überschaubar, ist die Erstellung einer Blacklist sinnvoll. Somit können bestimmte Hersteller und Objektklassen erkannt und abgelehnt werden, beide Angaben sind als Nummernteil des EPC vorhanden. Alternativ kann eine Whitelist erstellt werden, die all jene Objekte enthält, die nicht als deplatziert zu werten sind. Falls die eingesetzte Hardware mit dem Internet verbunden ist, kann die Produktklassifizierung auch mittels des EPC Information Service bezogen werden. Jedoch stellt sich auch hier die Frage nach dem Zugriffsrecht des Angreifers. Da die Datenbanken in dieser Hinsicht allerdings kaum vollständig oder gar fehlerfrei sind, ist dieses Szenario in näherer Zukunft eher unrealistisch. <br>
Als potentielle Angreifer können insbesondere kommerzielle und staatliche Institutionen auftreten. Auf kommerzieller Basis könnten vor allem das Verhindern des unerwünschten Mitführens von Lebensmitteln bei kulturellen Veranstaltungen, die Unterbindung des Fehlsortierens von Waren durch Kunden, eine verbesserte Mülltrennung oder das Ahnden von Falschparkungen, einige Ziele darstellen.<br>
Besonders für Einzelunternehmen wäre die Durchführung des Angriffs eine kostengünstige Leichtigkeit, da sie weitgehend auf vorhandene Infrastruktur innerhalb ihrer Geschäftsräume zurückgreifen. Auch rechtlich gesehen steht der Realisierung dieses Szenarios nichts im Wege. <br>
Im Grunde ist auch hier die Kostenfrage für den Angreifer von großer Wichtigkeit. Je mehr Lesegeräte benötigt werden, um die nötigen Daten auszulesen, desto kostspieliger wird das Vorhaben. <br>
Falls der Angriff ohne zu Hilfenahme des EPC-Netzwerks nicht realisierbar scheint, wären technische Abwehrmaßnahmen z.B. durch Beschränkung der Zugriffsrechte denkbar. Sollte das Objekt bereits im Besitz einer Privatperson sein, wäre es zusätzlich wünschenswert, wenn die Einschränkungen durch diesen konfiguriert werden können. Allerdings kann durch solche Maßnahmen kein staatlicher Zugriff verhindert werden. Ferner kann man das Auslesen der Tags durch Abschirmung oder Deaktivierung vollkommen verhindern.
<br>
<br>
<li>Personen für Objekte verantwortlich machen</li>
<br>
Das Interesse Objekte Personen eindeutig zuzuordnen, kann sowohl ökonomische als auch strafrechtliche Hintergründe haben. Sollte ein Objekt in einen Straffall verwickelt werden, kann es dazu führen, dass der Besitzer berechtigt oder unberechtigt verdächtigt wird, wodurch eine langfristige Verantwortung für den Verbleib der Objekte gegeben ist. Auch der falsche Umgang mit Objekten kann geahndet werden, so beispielsweise auch die Platzierung einer Batterie in der Papiertonne. <br>
Um diesen Angriff durchzuführen muss eine Verbindung zwischen einer eindeutigen Objekt-ID und personenbezogenen Daten hergestellt werden. Die Informationen können dabei aus dem EPC-Netzwerk - vorausgesetzt dass ausreichend Daten vorhanden sind - oder aus Verkäuferdatenbanken eingeholt werden. Auch in diesem Fall sind Zugriffsrechte auf die Netzwerke nötig, falls keine alternativen Zugriffsmöglichkeiten bestehen. <br>
Hauptinteressenten dieses Szenarios stellen der Staat und Betreiber öffentlich zugänglicher Anlagen dar. Der Staat profitiert von diesem Angriff durch erweiterte Möglichkeiten für die Strafverfolgung. Sollten am Tatort Gegenstände gefunden werden, könnte man die jeweiligen Besitzer als Verdächtige oder potentielle Zeugen betrachten. Auch in diesem Fall stellen die technischen Voraussetzungen für den Staat kein Problem dar. Es werden nur ein Lesegerät und Zugangsrechte für betroffene Datenbanken benötigt, welche mit richterlichem Beschluss ohne weiteres erlangbar sind. <br>
Weiters könnten durch Verschmutzungen der Besucher verursachte Reinigungskosten öffentlich zugänglicher Anlagen, wie Einkaufspassagen, Schwimmbäder oder Parkanlagen, reduziert werden, indem man die Verursacher zur Rechenschaft zieht. Die nötige Technologie wäre in diesem Fall leicht beschaffbar. Und der Zugang zu Datenbanken von z.B. Verkäufern könnte gegen eine Gebühr erfolgen. Ist die Weitergabe von Kundendaten allerdings nicht erlaubt, ist eine legale Durchführung des Angriffs undenkbar. Mit kriminellen Handlungen seitens der Betreiber ist dennoch nicht zu rechnen.<br>
Eine wirksame Maßnahme zur Abwehr des Angriffs wäre zu verhindern, dass Objekt-IDs ausgelesen werden. Die einfachste Methode stellt hier die Zerstörung des Tags dar. Eine bloße Deaktivierung erzielt womöglich nicht den selben Effekt, da man die Daten mit der nötigen Technologie dennoch auslesen kann. <br>
Alternativ könnte man die Verknüpfung vollständiger EPCs mit Personaldaten unterbinden. Im Falle des Staates ist es sehr wahrscheinlich, dass der Zugriff hier rechtlich gesichert ist und Zugangsbeschränkungen somit keine Wirkung haben. Dann wäre ein Schutz der Daten nur durch einen Speicherungsverzicht gegeben. Zumindest eine sinnvolle zeitliche Länge und der Präzisionsgrad der Speicherung wären eine Überlegung wert. Eine Möglichkeit wäre, dass der Serienteil des EPCs zum Zeitpunkt des Verkaufs nicht vollständig gespeichert wird und das Objekt somit nicht identifiziert werden kann.</ol>
<br>
<br>
Um den Nutzern einen angemessenen Schutz zu bieten, sollten einige technische Maßnahmen in Betracht gezogen werden, die auch bereits an anderer Stelle erwähnt wurden:
<ul><li>Zerstörung von RFID-Tags an Ladenausgängen oder Schutz des Inhalts mithilfe eines Passworts</li>
<li>Minimale Granularität, bei der insbesondere zeitliche Informationen im Vordergrund stehen</li>
<li>EPC-Nummernteile an der Kasse teilweise oder vollkommen ignorieren</li>
<li>Kontrolle von Zugangsrechten zu EPC-Netzwerken</li>
<li>Mitbestimmungsrecht des Nutzers im Rahmen der informationellen Selbstbestimmung</li>
<li>Löschung der gespeicherten Daten in regelmäßigen Abständen</li></ul>
<br>
<br>
(Zusammenfassung von unwatched.org)},
	URL = {http://interval.hu-berlin.de/downloads/rfid/kernprobleme_Security/RFID%20Angst%20Master_final%20SSP.pdf},
	author = {Sarah Spiekermann and Holger Ziekow}
}