Bonn, 22.06.2009 - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Technische Richtlinie für den sicheren Einsatz der RFID-Technologie in der Handelslogistik veröffentlicht. Das Dokument vervollständigt die vierteilige Technische Richtlinie RFID (TR RFID), die eine Methode zur Festlegung und Implementierung des erforderlichen Sicherheitsniveaus von RFID-basierten Anwendungen darstellt. Bisher wurden die Technischen Richtlinien für das Ticketing beim Zutritt zu Veranstaltungen, bei der Nutzung öffentlicher Verkehrsmittel sowie für das Near Field Communication (NFC)-basierte eTicketing veröffentlicht.
Das BSI hat bei der Erstellung der Richtlinie alle relevanten Akteure in den betrachteten Einsatzgebieten der RFID-Technik, wie Systemanbieter und Betreiber der Technologie sowie Daten- und Verbraucherschutz, einbezogen. Zu den Einsatzgebieten fanden zunächst Workshops mit Experten statt. Den Abschluss der Abstimmungsphase bildete ein öffentlicher Workshop mit einer anschließenden Kommentierungsphase. So wurden angemessene und transparente IT-Sicherheitsstandards geschaffen, die von Wirtschaft und Verwaltung umgesetzt werden können.
Technische Richtlinie für den sicheren RFID-Einsatz (TR RFID, TR 03126)
Mit Einführung einer neuen Technologie stellt sich häufig die Frage nach dem Sicherheitsniveau einer auf dieser Technologie basierenden Anwendung. Zur Bewertung des Sicherheitsniveaus solcher Anwendungen gibt es verschiedene Ansätze mit unterschiedlichem Komplexitätsgrad. Die hier veröffentlichten Dokumente beschreiben die Verwendung Technischer Richtlinien für die Radio-Frequency-Identification-Technologie in verschiedenen Einsatzgebieten als eine mögliche Methode zur Festlegung des erforderlichen Sicherheitsniveaus.
Betrachtete Einsatzgebiete sind:
- der Zutritt zu Veranstaltungen (Event-Ticketing)
- die Nutzung öffentlicher Verkehrsmittel (ÖPV-Ticketing und NFC-Ticketing)
- das Verwenden von EPC-konformen Transpondern in der Handelskette.
Die Technische Richtlinie RFID (TR RFID) soll dabei den folgenden Zielen dienen:
- Verwendbarkeit als Leitfaden für Systemlieferanten und Systemanwender zur sachgerechten Implementierung von spezifischen RFID-Systemlösungen bzgl. Funktions- und Informationssicherheit sowie Datenschutz
- Schaffung von Aufmerksamkeit und Transparenz in Bezug auf Sicherheitsaspekte
- Basis für eine Konformitätserklärung der Systemlieferanten oder Betreiber und die Vergabe eines Gütesiegels durch eine Zertifizierungsstelle.
Bisher wurden die folgenden Dokumente veröffentlicht:
- TR 03126-1 "eTicketing im öffentlichen Personenverkehr" (PDF)
- TR 03126-2: Einsatzgebiet "eTicketing für Veranstaltungen" (PDF)
- TR 03126-3: Einsatzgebiet "NFC-basiertes eTicketing" (PDF)
- TR 03126-4: Einsatzgebiet "Handelslogistik" (PDF)
Bis zum Sommer 2009 folgen die zugehörigen englischen Übersetzungen.
Kontaktdaten und weitere Informationen:
