Neue Forschung deckt kritische Mängel bei der Sicherheit von RFID-Smartcards auf

Bahnbrechende Studie deckt Schwachstellen in weit verbreiteten RFID-Smartcards auf

Eine neue umfassende Studie des Institute of Cybersecurity der Technion University hat erhebliche Bedenken hinsichtlich der Sicherheit von RFID-Smartcards (Radio-Frequency Identification) ausgelöst, die in der Zugangskontrolle, in Zahlungssystemen und im öffentlichen Verkehr allgegenwärtig sind.

Die Studie mit dem Titel „The Layered Insecurity of Modern RFID Implementations“ zeigt, dass ein erheblicher Teil der derzeit eingesetzten RFID-Smartcards auf veralteten oder schwach implementierten Verschlüsselungsprotokollen basiert. Den Forschern gelang es, mehrere gängige Kartenmodelle mithilfe erschwinglicher, handelsüblicher Hardware zu klonen, abzuhören und in einigen Fällen deren Sicherheit vollständig zu umgehen.

„Viele Organisationen und Verbraucher gehen davon aus, dass diese Karten von Natur aus sicher sind“, erklärte Dr. Elena Vance, die leitende Forscherin. „Unsere Ergebnisse zeigen, dass ein falsches Sicherheitsgefühl weit verbreitet ist. Wir haben die Kommunikation zwischen Karten und Lesegeräten erfolgreich aus der Ferne abgefangen, eindeutige Identifikatoren erfasst und kryptografische Schwachstellen ausgenutzt, um funktionale Duplikate zu erstellen.“

Die Schwachstellen sind auf mehrere Faktoren zurückzuführen: die fortgesetzte Verwendung älterer Protokolle wie MIFARE Classic, schlechte Schlüsselverwaltungspraktiken von Herstellern und Endbenutzern sowie die physische Natur der drahtlosen Kommunikation, die von Natur aus anfällig für Skimming- und Relay-Angriffe ist. Die Studie hebt hervor, dass es zwar Hochsicherheitskarten (z. B. solche mit moderner AES-Verschlüsselung) gibt, Kostensenkungen jedoch häufig zum Einsatz minderwertiger Technologie führen.

Die Auswirkungen sind schwerwiegend. Unbefugter Zutritt zu Gebäuden, betrügerische Zahlungen, Identitätsdiebstahl und die Verfolgung der Bewegungen einzelner Personen werden für böswillige Akteure möglich. Besonders gefährdet sind kritische Infrastrukturen, Unternehmensbüros und Hotelzimmerschlösser, die ausschließlich auf diese anfälligen Karten angewiesen sind.

Als Reaktion auf die Ergebnisse fordern Cybersicherheitsexperten einen mehrschichtigen Sicherheitsansatz. Zu den Empfehlungen gehören:

• Auslaufen veraltete RFID-Karten zugunsten moderner, kryptografisch starker Alternativen.

• Umsetzung Zwei-Faktor-Authentifizierung (z. B. Karte plus PIN oder Biometrie).

• Regelmäßig Sicherheitsaudits und Penetrationstests von physischen Zugangssystemen.

• Benutzerbewusstsein über die Risiken des Kartenskimmings im öffentlichen Raum.

Große Kartenhersteller haben den Bericht zur Kenntnis genommen und sich mehrere dazu verpflichtet, die Ausmusterung älterer Technologielinien zu beschleunigen. Auch Normungsgremien stehen unter dem Druck, strengere Zertifizierungsprozesse vorzuschreiben.

„Die Sicherheit der RFID-Smartcard ist kein statisches Merkmal; es handelt sich um ein andauerndes Wettrüsten“, schloss Dr. Vance. „Diese Forschung ist ein Weckruf.“ Da wir diese Technologien immer tiefer in unser tägliches Leben und unsere kritischen Systeme integrieren, müssen wir mit der gleichen Dringlichkeit in ihre Widerstandsfähigkeit investieren wie in unsere digitalen Netzwerke.“

Der vollständige technische Bericht wird auf der kommenden International Conference on Cryptographic Hardware and Embedded Systems (CHES) vorgestellt.