19. Dezember 2011 - Datenschutzunterweisung Smartphones

NFC-Schnittstelle: Smartphones im Nahkampf?

Nach der Datenpanne beim System „Touch & Travel“ der Deutschen Bahn sind die Sicherheitsprobleme bei Near Field Communication (NFC) wieder verstärkt in der Diskussion. Informieren Sie die Smartphone-Nutzer in Ihrem Unternehmen daher darüber, was wirklich hinter NFC steckt und welche Gefahren bestehen.

nfc-schnittstelle-smartphones-im-nahkampf.jpeg
Ist eine NFC-Schnittstelle ein Sicherheitsrisiko? (Bild: Thinkstock)

Sicherheitslücke bei Touch & Travel entdeckt und behoben

Wer viel mit der Bahn unterwegs ist, wird sich über den Dienst „Touch & Travel“ der Deutschen Bahn freuen.

Statt am Schalter, am Automaten oder im Internet vor der Bahnreise ein Ticket zu buchen, kann man sich bei Touch & Travel mit seinem Smartphone registrieren, dann einfach vor Antritt der Reise am Startbahnhof über einen Kontaktpunkt einbuchen und am Zielbahnhof wieder ausbuchen. Einmal im Monat kommt dann eine Rechnung über die Bahnfahrten.

Allerdings macht dieser Dienst nur dann wirklich Freude, wenn er auch sicher ist. Das war gleich zu Beginn des neuen Dienstes nicht der Fall, wobei die Sicherheitslücke allerdings umgehend behoben wurde.

Datenleck bei der Registrierung

Bei der Registrierung für Touch & Travel hatte das Online-Formular eine massive Sicherheitslücke. Wer sich für Touch & Travel anmelden wollte, konnte unter Umständen Daten von Personen einsehen, die sich bereits angemeldet hatten. Dieses Datenleck hat die Deutsche Bahn nach Bekanntwerden zeitnah geschlossen.

Abgesehen davon, dass solch ein Datenleck bei der Qualitätssicherung von Touch & Travel hätte auffallen müssen, berichteten viele Medien über Sicherheitsprobleme bei NFC (Near Field Communication), da es sich bei Touch & Travel um einen NFC-basierten Dienst handelt.

Am Startbahnhof und am Zielbahnhof kommuniziert der NFC-Chip des Smartphones, das der Bahnreisende dafür registriert hat, mit einem NFC-Punkt der Bahn, der zum Beispiel am Bahnsteig oder in der Nähe des Reisezentrums zu finden ist.

Die entdeckte Sicherheitslücke bei Touch & Travel hatte jedoch mit NFC-Sicherheit nichts zu tun und hätte bei jedem Online-Dienst auftreten können, der unzureichend getestet wurde.

NFC als Kurzstreckenfunk

Die Berichterstattung über die angebliche NFC-Sicherheitslücke sollten Sie trotzdem zum Anlass nehmen, sich NFC einmal genauer anzusehen:

Near Field Communication (Nahfeldkommunikation) ist eine Nahfunktechnik zur Übermittlung relativ geringer Datenmengen über sehr kurze Strecken mit nur wenigen Zentimetern Übertragungsdistanz. Man spricht auch von „auf Berührung basierender Kommunikation“ (Touch-Based Interaction), d.h. die kommunizierenden Objekte werden in der Regel durch Aneinanderhalten miteinander verbunden.

Die Möglichkeit, mit dem Smartphone über eine kurze Strecke Daten auszutauschen, bieten auch verschiedene andere Standards und Schnittstellen wie Bluetooth und Infrarot. Mit NFC steht eine weitere Schnittstelle dafür zur Verfügung. Doch wie steht es wirklich um die Sicherheit von NFC?

Ist NFC eine Sicherheitslücke?

Die kurze Übertragungsdistanz und notwendige Nähe zwischen den NFC-Kommunikationspartnern scheint ein Sicherheitsvorteil zu sein, denn ein Angriff aus der Ferne ist scheinbar nicht möglich. Trotzdem hat NFC kritische Eigenschaften, die die Smartphone-Nutzer in Ihrem Unternehmen kennen sollten, bevor sie sich für NFC-Dienste bei Bahnreisen oder beim Bezahlen entscheiden.

NFC-Dienste könnten blockiert und Bluetooth heimlich gestartet werden

Da über die NFC-Schnittstelle auch von manipulierten oder gefälschten NFC-Punkten Daten auf ein Smartphone übertragen werden können, sind verschiedene Angriffsformen vorstellbar.

Besonders einfach wäre es, einen NFC-Dienst zu blockieren. Dazu überträgt der bösartige NFC-Punkt einfach mehr Daten an das Smartphone, als für den NFC-Dienst vorgesehen sind. Dadurch ließe sich die Nutzung des NFC-Dienstes blockieren. Will der Nutzer dann einen NFC-Punkt verwenden, ist dies nicht mehr möglich. Dadurch könnte zum Beispiel das Anmelden oder Abmelden an einem seriösen NFC-Punkt verhindert werden, also zum Beispiel der Fahrkartenkauf oder die Abmeldung von der Bahnreise.

Das ist aber nur ein Beispiel für mögliche NFC-Risiken. So könnte über NFC auch eine vom Nutzer ungewollte Bluetooth-Verbindung gestartet werden, die sich  missbrauchen lässt, da man über NFC andere Dienste wie Bluetooth aktivieren kann.

Machen Sie die Smartphone-Nutzer darauf aufmerksam, dass mit jedem neuen Dienst und mit jeder neuen Schnittselle ein Risiko für die Daten auf dem Smartphone verbunden sein könnte. Informieren Sie in Ihrer Datenschutzschulung deshalb auch über NFC. Hilfe erhalten Sie hier:


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln