Stubentiger aus dem Schussfeld

Kurz, nachdem auf der Insel Rügen im Februar dieses Jahres zum ersten Mal ­eine Katze vom H5N1-Virus befallen wurde, füllten sich die Tierheime schlagartig mit kleinen und großen Stubentigern. Sollen sie nun auch Träger eines Computervirus sein können?
Angefangen hatte der Ärger mit einer Studie der Computerexperten  Melanie R. Rieback, Patrick N. D. Simpson, Bruno Crispo und Andrew S. Tanenbaum vom Department of Computer Science der Vrije Universiteit Amsterdam. In ihrem Papier »Is your cat infected with a computer virus?« demonstrierten sie, wie das Hacken von RFID-Chips möglich wäre.
Durch den äußerst geringen Speicherplatz ? 1024 Bits ? der RFID-Chips hatten Fachleute einen Virenbefall bisher eigentlich für unmöglich gehalten.  Aber über entsprechende RFID-Middleware gäbe es genügend Hintertürchen, so die Computerexperten. Und der Weg zu den Datenbanken im Backbone sei dann auch nicht mehr weit. Schon einfache Befehle wie »write multiple blocks« (ISO-15693) könnten durch wiederholtes Abrufen zu einem Buffer Overflow führen. SQL-Befehle wie ;shutdown ? oder drop table führten dazu, dass etwa Datenbank-Instanzen heruntergefahren oder Tabellen in Datenbanken gelöscht würden. Um die theoretischen Möglichkeiten auch praktisch zu zeigen, haben die Wissenschaftler einen RFID-Virus für einen Chip mit 127 Zeichen für Oracle-Programme geschrieben.
Dass etwa Hunde und Katzen, die, von Tierheimen zur Identifizierung mit RFID-Transpondern ausgerüstet, Träger des Virus sein könnten, brachte die RFID-Industrie letztendlich auf die Palme.

Hersteller sind ­aufgebracht
Man schätze die Bemühungen der Universität Amsterdam, die Sicherheitsproblematik bei RFID voran zu bringen,  doch sei der Ansatz dieser speziellen Untersuchung  recht fragwürdig, erklärte Daniel Mullen, Präsident der Association for Automatic Identification and Mobility (AIM) nur einen Tag nach Veröffentlichung des holländischen Papiers. Und hielt mit einer Veröffentlich­ung, ­Titel: »Ihre Katze ist sicher« dagegen. ­Eine Woche später legte der AIM noch mal nach. Darin betonte der Verband, dass man ein Treffen in Kyoto, Japan, gleich zum Anlass genommen habe, ausführlich über mögliche Sicherheitsprobleme in RFID-Tags zu sprechen.
Vielleicht ging dem AIM nur Tanenbaums mögliches Angriffsszenario zu weit. Danach könnten Hacker ein manipuliertes Funk-Tag in ein Haustier injizieren, und wenn dieses etwa bei einem Tierarzt gelesen wird, schiebt es dessen Software per SQL-Injektion schädlichen Code unter.
Ähnlich wie der AIM hält Harald Kelter vom Bundesamt für Sichertheit in der Informationstechnik (BSI) dagegen, dass dieses Angriffsszenario grundsätzlich nicht neu sei, wie die Autoren des Papiers selber zugeben. »Ausgenutzt wird bei SQL-Injection eine Schwachstelle des Hintergrundsystems und nicht der RFID-Technik«, so Kelter. Genauer: »Man verwendet eine neue Schnittstelle ? die RFID-Schnittstelle ? für das Einbringen bereits grundsätzlich bekannter Schadprogramme in Systeme, deren Schwachstellen ebenso grundsätzlich bekannt sind. Die Bedeutung dieses Angriffs liegt dementsprechend weniger in der Thematisierung der Angreifbarkeit von RFID-Systemen als vielmehr in der Diskussion um die Notwendigkeit sorgfältig programmierter Software, die möglichst wenige Schwachstellen für Angriffe bietet.«

Zur Vorsicht gemahnt
Dennoch sollte nach Ansicht des BSI-Experten das Problem nicht unterschätzt werden. »Andrew S. Tannenbaum und sein Team haben einen neuen Weg aufgezeigt, wie IT-Systeme anzugreifen sind. Und diese potentielle Gefährdung zu unterschätzen hieße, die Sicherheit des Gesamtsystems zu gefährden. Dementsprechend sind die Hersteller aller beteiligten Systeme aufgefordert, sich gemeinsam Gedanken um ein einheitliches, hohes Sicherheitsniveau des Gesamtsystems zu machen.«
Womit Hund und Katz wenigstens ? was Computerviren angeht ? aus dem Schussfeld wären.