Entlarvte RFID-Mythen und Kritik an einfachen Lösungen

Grenzen der RFID-Technologie: Mythen werden entlarvt

(RFID-Positionspapier, 1. Anlage)

Die folgenden technischen Grenzen von RFID sind als Gründe angeführt worden, warum sich Verbraucher zum jetzigen Zeitpunkt keine Sorgen über den Einsatz von RFID zu machen bräuchten. Wir betrachten jede dieser scheinbaren Grenzen einzeln und erklären, warum diese Beschränkungen nicht als verlässlicher Schutz der Verbraucher gegen die oben beschriebenen Risiken angesehen werden können.

Leseentfernungen reichen für Konsumentenüberwachung nicht aus

RFID-Etiketten können über verschieden große Entfernungen ausgelesen werden, diese hängen ab von der Größe ihrer Antenne, ihrer Sendefrequenz und davon, ob sie eine eigene Energieversorgung (aktiv) haben oder nicht (passiv). Manche passiven RFID-Etiketten haben eine maximale Leseentfernung von weniger als 2 cm. Andere passive RFID-Etiketten können noch aus Entfernungen von 5 Metern oder mehr ausgelesen werden. Aktive RFID-Etiketten haben theoretisch sehr große Leseentfernungen. Zur Zeit sind die meisten RFID-Etiketten, die bei Konsumgütern zum Einsatz kommen sollen, passiv und können auf eine Entfernung von maximal 1,5 Metern ausgelesen werden.

Entgegen einiger Beteuerungen sind Etiketten mit niedriger Leseentfernung nicht notwendigerweise weniger effektiv bei der Verfolgung von Menschen oder mit ihnen verbundenen Gegenständen. Tatsächlich kann eine kürzere Lesedistanz in einigen Fällen sogar effektiver sein. Wenn zum Beispiel ein Interesse daran besteht, Individuen durch ihre Schuhe zu identifizieren, wenn sie in den Bereich eines im Fußboden eingebauten Lesegeräts kommen, wäre eine Lesedistanz von 2-3 Zentimetern einer Distanz von einem halben bis einem Meter vorzuziehen. Die Auslesung auf kurze Distanz würde Interferenzen durch andere in der Nähe befindliche Etiketten minimieren und es ermöglichen, dass wirklich nur das Etikett, das sich direkt am Lesegerät befindet, erfasst wird.

Lesegeräte sind nicht weit genug verbreitet, um eine nahtlose Verfolgung von Menschen zu ermöglichen

Die Entwickler von RFID-Technologie haben eine Welt vor Augen, in der RFID-Lesegeräte ein "umfassendes globales Netzwerk" aufbauen. Es bedarf keines allumfassenden Netzwerks von Lesegeräten, um Objekte oder die Menschen, die mit ihnen zu tun haben, zu verfolgen. Zum Beispiel können Autos auf einer Autobahn verfolgt werden, ohne dass alle paar Meter ein RFID-Lesegerät angebracht wird. Sie brauchen nur jeweils an den Auf- und Abfahrten installiert zu werden. In gleicher Weise ist es nicht nötig, in den Städten alle 3 Meter ein Lesegerät zu positionieren, um eine Person zu verfolgen, solange Lesegeräte an strategischen Punkten angebracht sind, wie zum Beispiel Hauseingängen.

Begrenzte Informationsmengen auf den Etiketten

Manche RFID-Befürworter verteidigen diese Technologie mit dem Hinweis, dass die Etiketten auf den meisten Konsumgütern nur eine Seriennummer beinhalten werden. Diese Nummer kann allerdings als eine Referenznummer genutzt werden, die mit Informationen auf einer oder mehreren vernetzten Datenbanken korrespondiert. Das bedeutet, dass die Datenmenge, die mit dieser Nummer in Verbindung gebracht werden kann, theoretisch unbegrenzt ist und aufgefüllt und vervollständigt werden kann, sobald neue Informationen gesammelt wurden.

Wenn ein Verbraucher zum Beispiel ein Produkt kauft, das ein RFID-Etikett mit einer standardisierten Warennummer enthält, könnten Informationen über den Verbraucher, der es gekauft hat, dieser Datenbank automatisch hinzugefügt werden. Weitere Informationen können in die Datei eingetragen werden, während der Konsument seiner Arbeit nachgeht. "Betritt Gerichtsgebäude in Atlanta um 12:32 mittags", "Auf einer ‚Mobil'-Tankstelle um 14:14", und so weiter. Solche Daten sind für jeden verfügbar, der Zugriff auf so eine Datenbank hat, ob er nun dazu autorisiert ist oder nicht.

Passive Etiketten können nicht durch Satelliten geortet werden

Die passiven RFID-Etiketten, die man sich für die Kennzeichnung der meisten Konsumgüter vorstellt, haben keine eigene Energieversorgung, das heißt, dass sie erst von in der Nähe befindlichen Lesegeräten kontaktiert und aktiviert werden müssen. Daher haben passive Etiketten selbst keine Möglichkeit, mit und durch Satelliten zu kommunizieren.

Die Informationen, die ein passives RFID-Etikett trägt, können aber von in der Nähe befindlichen Lesegeräten aufgenommen werden, die dann ihrerseits ihre Anwesenheit und Position an Satelliten senden können. Diese Technologie wurde bereits benutzt, um Güter in Echtzeit zu orten, die auf sich bewegenden Fahrzeugen durch die nordamerikanischen Versorgungswege transportiert wurden.

Darüber hinaus können aktive RFID-Etiketten, die über eine eigene Energieversorgung verfügen, für den direkten Satellitenkontakt ausgerüstet werden. Derzeit sind solche Etiketten viel zu teuer, um sie an den meisten Konsumgütern anzubringen, aber diese Nutzung ist nicht unvorstellbar, wenn man im Auge behält, dass sich die Technologie weiterentwickelt und die Preise fallen.

Hohe Kosten der Etiketten verbieten weitverbreitete Anwendung

RFID-Entwickler weisen auf die "hohen Kosten" von RFID-Etiketten hin, um auf diese Weise die Befürchtungen von Konsumenten bezüglich der Verwendungsmöglichkeiten dieser Etiketten zu zerstreuen. Wir sagen jedoch voraus, dass mit der Weiterentwicklung der Technologie und dem Fallen der Preise mehr und mehr Konsumgüter RFID-Etiketten tragen werden und dass diese Etiketten mit der Zeit immer kleiner und leistungsfähiger werden. Wir sagen voraus, dass diese Entwicklung den Trends anderer technischer Produkte wie Computer oder Taschenrechner folgen wird.

Eine Kritik der von der Industrie vorgeschlagenen Lösungen

(RFID-Positionspapier, 2. Anlage)

Die RFID-Industrie hat eine Reihe von Vorschlägen gemacht, um den Gefahren die von der RFID-Etikettierung von Konsumgütern ausgehen zu begegnen. Dazu gehören Ideen wie die Zerstörung der Etiketten zum Zeitpunkt des Verkaufs, der Gebrauch von "Blocker-Etiketten", sowie das "Geschlossene System (closed system)". Wir betrachten diese Strategien im folgenden.

Zerstörung der Etiketten beim Verkauf

Es wurde vorgeschlagen, dass man das Problem der RFID-Etiketten lösen könnte, indem man sie zum Zeitpunkt des Verkaufs einer Ware außer Funktion setzt. Es gibt eine Reihe von Gründe, warum wir nicht der Ansicht sind, dass diese Maßnahme allein und ohne weitere Schutzmaßnahmen die Privatsphäre von Konsumenten ausreichend schützen könnte.

*Die Zerstörung von RFID-Etiketten nach dem Einkauf löst nicht das Problem der Verfolgung eines Kunden innerhalb des Geschäfts. *

Bisher hat nahezu jede Verletzung der Privatsphäre, die mit RFID-Etikettierung von Konsumgütern in Zusammenhang stand, innerhalb der Verkaufsräume stattgefunden, lange bevor die Konsumenten die Kassenschalter erreicht hatten, wo die Chips zerstört würden. Einige Beispiele:

  • Wenn Konsumenten mit RFID-Etiketten ausgestattete Rasierklingenpackungen der Firma Gilette aus Regalen nahmen, die mit der sogenannten "smart shelf technology" des Auto-ID Center ausgerüstet waren, wurden Fotografien von ihnen angefertigt. [1]
  • Eine Videokamera, die auf ein Kosmetikregal in einer Wal Mart-Niederlassung in Oklahoma gerichtet war, ermöglichte es Managern von Procter & Gamble, Kunden ohne deren Wissen zu beobachten, während sie RFID-etikettierte Lippenstifte ausprobierten. [2]
  • Es liegen Pläne vor, Bücher und Magazine mit RFID-Chips zu etikettieren, um Kunden beim Durchblättern detailliert beobachten zu können [3]. Diese Möglichkeit wurde kürzlich auf der Internationalen Buchmesse 2003 in Tokio demonstriert. Wir zitieren die japanischen Nikkei Electronic News: "Indem Etikettenlesegeräte an den Regalen von Buchhandlungen angebracht werden, ermöglicht das neue System den Buchhändlern Informationen zu sammeln wie beispielsweise die Bandbreite an Titeln, die ein Käufer durchgeblättert hat, wie oft ein bestimmter Titel angefasst wurde und sogar die Zeit, wie lange in jedem Buch geblättert wurde."

Wir erkennen das Bedürfnis der Händler an, Ladendiebstahl zu verhindern und allgemeine Beurteilungen zu erstellen, um z.B. Arbeitsabläufe zu verbessern. Doch eine detaillierte Überwachung und Aufnahme des Kundenverhaltens ohne deren Zustimmung, auch wenn sie "lediglich" innerhalb des Geschäfts erfolgt, verstößt gegen die Prinzipien der fairen Informationspraxis.

Etiketten können nur scheinbar zerstört worden sein, während sie in Wirklichkeit nur "schlafen" und reaktiviert werden können.

Manche RFID-Etiketten besitzen einen "Schlummer-" oder "Schlaf-Zustand", der für den durchschnittlichen Konsumenten den Eindruck erweckt, als sei das Etikett zerstört worden. Es wäre Händlern und anderen möglich zu behaupten, sie hätten ein Etikett zerstört, während sie es tatsächlich nur auf den "Schlaf-Modus" gesetzt haben. Damit bestünde später die Möglichkeit, ein "schlummerndes" Etikett zu reaktivieren und auszulesen.

Die Option der Etiketten-Zerstörung könnte von Regierungsseite unterbunden werden.

Es wäre ein leichtes, aufgrund eines geringen Sicherheitsrisikos oder einer Änderung in der Regierungspolitik die Option der Zerstörung der Etiketten außer Kraft zu setzen. Wenn man zulässt, dass RFID-Etiketten überall in und auf Konsumgütern verwendet werden, könnte die Aussetzung einer Verpflichtung zum Zerstören der Etiketten direkt in die Errichtung eines Überwachungsstaats führen.

Der Einzelhandel könnte Hürden oder Anreize einführen, um Verbraucher von der Zerstörung von RFID-Etiketten abzuhalten.

Verbrauchern, die eine Zerstörung der Etiketten wünschen, könnten zu diesem Zweck umständliche oder lästigen Verfahren auferlegt werden - wie zum Beispiel das Anstellen vor einem sogenannten "killer kiosk" [4], also einem Extraschalter, wo die Etiketten zerstört werden. Es könnte weiter von ihnen verlangt werden, dass sie die Zerstörung selbst vornehmen müssen. Kunden, die sich dafür entscheiden, die Etiketten zu zerstören, könnten möglicherweise nicht dieselben Rabatte oder Sonderangebote wie andere Kunden erhalten, oder es werden ihnen nicht dieselben Umtauschkonditionen zugestanden. In vielen Bereichen der Datenschutz-Gesetzgebung wird diesen Anreizen durch den Einzelhandel begegnet, und es gibt gesetzliche Verbote dagegen, die Kunden zur Aufgabe ihrer Privatsphäre zu verführen. [5]

Die Schaffung von zwei Klassen von Konsumenten

Wenn die Zerstörung von RFID-Etiketten eine bewusste Anstrengung auf Seiten der Konsumenten erfordert, werden viele davon keinen Gebrauch machen, sei es aus Furcht, Unwissenheit oder Zeitmangel. Viele werden sich dafür entscheiden, die Etiketten nicht zu zerstören, wenn dies unbequem ist. (In den momentan gängigen "killer kiosks" muss jedes Stück einzeln aufgelegt werden, ein langwieriger und zeitraubender Vorgang.) Dies würde zwei Klassen von Konsumenten hervorbringen, die einen, die sich "genug kümmern", um RFID-Etiketten in ihren Waren zu zerstören, und die andern, die das nicht tun. Die Zugehörigkeit zu einer, egal welcher, dieser Gruppen könnte negative Folgen haben.

Blocker Tags

"RFID blocker tags" sind elektronische Geräte, welche die Übermittlung von allen oder einigen Informationen auf RFID-Etiketten stören sollen. So ein Blocker-Tag könnte in eine Einkaufstasche eingebaut sein, in eine Geldbörse, oder auch eine Armbanduhr, und wird dann in die Nähe von Etiketten gehalten, deren Informationen der Kunde blockieren möchte. [6]

Blocker-Tags sind bisher nur Theorie

Soviel wir wissen, existieren Blocker-Tags noch nicht. Bis ein Blocker-Tag entwickelt und getestet worden ist, gibt es keine Möglichkeit zu wissen, wie effektiv er sein wird und ob er technisch außer Kraft gesetzt werden kann.

Blocker-Tags fördern den Einsatz von RFID-Etiketten

Ein Blocker-Tag könnte die Verbreitung der RFID-Technik fördern, indem er den Konsumenten ein falsches Gefühl der Sicherheit vermittelt. Obwohl diese Erfindung eine ziemlich beeindruckende Idee ist, ist sie doch auch eine, deren Nutzung verboten oder mit zunehmender Trägheit vernachlässigt werden könnte. Es ist außerdem möglich, dass solch ein elektronisches Gerät seinen Wirkung einbüßen könnte, sei es durch absichtliche Einwirkung von außen oder weil es einfach defekt wird.

Blocker-Tags könnten verboten werden, durch Gesetze oder Geschäftspolitik des Handels

Die Konsumenten könnten das Recht auf Gebrauch von Blocker-Tags verlieren, wenn die Regierung befindet, dass es für die nationale Sicherheit notwendig ist zu wissen, welche Kleidung die Leute tragen oder was sie sonst bei sich haben. Sie könnte solche Geräte grundsätzlich verbieten oder einzelne Orte auswählen, an denen sie nicht benutzt werden dürfen. Man kann sich zum Beispiel leicht ein Verbot solcher Geräte auf Flughäfen oder in öffentlichen Gebäuden vorstellen.

Einzelhandelsunternehmen könnten Blocker-Tags verbieten, wenn sie glauben, dass die Geräte dazu benutzt werden könnten, Sicherheitsmaßnahmen zu umgehen, oder wenn sie davon ausgehen, dass Detailwissen über ihre Kunden für ihre Marketingbemühungen wertvoll ist.

Wenn RFID-Etiketten erst einmal allgegenwärtig sind, würde ein generelles oder teilweises Verbot eines "Datenschutzgeräts" wie dem Blocker-Tag die Konsumenten schutzlos einem Eindringen in ihre Privatsphäre ausliefern.

Blocker-Tags bürden den Verbrauchern die Initiative auf

Ein Blocker-Tag verlagert die Last des Schutzes der Privatsphäre weg von den Herstellern und dem Handel, und legt sie auf die Schultern der Konsumenten. Außerdem könnten vielbeschäftigte Verbraucher einfach vergessen, das Blocker-Gerät mit sich zu führen oder es einzusetzen, besonders wenn es noch weiterer Handlungsschritte bedarf, um sie wirksam zu machen.

Blocker-Tags schützen Verbraucher nicht mehr, sobald die Produkte vom Blocker-Tag entfernt werden

Blocker-Tags funktionieren theoretisch nur dann, wenn sie sich in der Nähe der Gegenstände befinden, die sie vor den RFID-Lesegeräten "verstecken" sollen. Sobald Gegenstände sich außerhalb der Reichweite des Blockier-Geräts befinden, wären die Konsumenten dem Eindringen in ihre Privatsphäre schutzlos ausgesetzt. Eine Konsumentin könnte beispielsweise einen Pullover kaufen und annehmen, dass die Information auf dem eingearbeiteten RFID-Etikett geschützt wäre, weil sie ihn in einer Einkauftasche nach Hause trägt, die mit einem Blocker-Tag ausgestattet ist. Sobald sie allerdings den Pullover aus der Tasche nimmt und ihn anzieht können Informationen aus dem Etikett gelesen werden sobald sie den Pullover in der Nähe eines Lesegeräts trägt.

Die Schaffung von zwei Klassen von Konsumenten

Genauso wie im Falle der Zerstörung von Etiketten beim Erwerb der Produkte wird ein Blocker-Tag wahrscheinlich zwei Klassen von Konsumenten schaffen: die einen, die Etiketten blockieren, und die, die das nicht tun.

Geschlossenes System

Industrievertreter argumentieren, dass RFID-Applikationen sich auf geschlossene Systeme beschränken könnten, dann wären die Daten nur für diejenigen zugänglich, die sich innerhalb dieses Systems befinden, und für Leute die mit einem entsprechenden Regierungsmandat ausgestattet sind (beispielsweise durch ein Gesetz ähnlich dem US-amerikanischen Communications Access to Law Enforcement Act, CALEA). Damit, so sagen sie, wäre eine Profilerstellung und Verfolgung durch den gesamtgesellschaftlichen Raum unwahrscheinlich. Ein Beispiel für den schon stattfindenden Einsatz von RFID in geschlossenen Systemen ist die Nutzung in Bibliotheken. "Die Früchte des Zorns" in Bibliothek X hat einen anderen Code als derselbe Titel in Bibliothek Y.

Obwohl RFID-Applikationen heute auf geschlossene Systeme beschränkt sind, wird es große Nachfrage nach standardisierter Etikettierung geben. Verleger zum Beispiel könnten eines Tages Bücher an Bibliotheken und Buchhandlungen ausliefern, die beschreibbare Etiketten haben. Jedes Exemplar von "Die Früchte des Zorns" würde dann einen Teil seines Standard-Warencodes tragen, der mit dem auf jedem anderen Exemplar identisch ist. Die Bibliothek wird in der Lage sein, den restlichen Code anzupassen, so dass er ihren Anforderungen der Inventarkontrolle gerecht wird.

Selbst wenn geschlossene Systeme geschlossen bleiben, macht ihr Mangel an Transparenz sie beunruhigend vom Standpunkt der Privatsphäre aus. Weil bestimmte Details über geschlossene Systeme möglicherweise nicht leicht erhältlich sind, hätten Konsumenten große Schwierigkeiten bei der Beschaffung der Informationen, die sie benötigen, um Gefährdungen ihrer Privatsphäre einschätzen und sich schützen zu können.

Schlussfolgerung

Wir begrüßen es, dass sich die Industrie mit der Sorge um die Privatsphäre von Konsumenten und die Bürgerrechte im Zusammenhang mit der RFID-Technologie auseinandersetzt. Während wir davon überzeugt sind, dass die vorgeschlagenen Lösungen dem ehrlichen Bemühen um eine positive Lösung entspringen, bieten diese Lösungsvorschläge jedoch einen nur ungenügenden Schutz. Bis angemessene Lösungen entwickelt und allgemein anerkannt wurden, denken wir, dass es falsch ist, Konsumenten den Gefahren der RFID-Technologie durch Etikettierung auf dem Objekt-Niveau auszusetzen.


Referenzen:
[1] Alorie Gilbert, "Cutting edge 'smart shelf' test ends.", CNET News, August 22, 2003.
[2] Howard Wolinsky, "P&G, Wal-Mart store did secret test of RFID.", The Chicago Sun Times, November 10, 2003.
[3] Winston Chai, "Tags track Japanese shoppers.", CNET News, May 8, 2003.
[4] "NCR prototype kiosk kills RFID tags.", RFID Journal, September 25, 2003.
[5] Vergleiche z.B.: California Senate Bill 27, Gesetz 1798.84 (a).
[6] "RFID blocker tags developed.", Silicon.com, August 28, 2003.

Das Original ist bei Privacy Rights Clearinghouse auf Englisch erschienen, dort findet sich auch eine Liste weiterer Unterstützer.innen und Unterzeichner.innen.

Übersetzung: Harald Manninga, Sebastian Lisken, FoeBuD
Bearbeitung: Andreas Krisch, VIBE!AT

Bild: t-dawg auf flickr (CC BY-NC-SA 2.0)


Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Veröffentlicht am 20.11.2003

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld