Bundesamt für Sicherheit in der Informationstechnik

BSI TR-03126 sicherer RFID-Einsatz (TR RFID)

Mit Einführung einer neuen Technologie stellt sich häufig die Frage nach dem Sicherheitsniveau einer auf dieser Technologie basierenden Anwendung. Zur Bewertung des Sicherheitsniveaus solcher Anwendungen gibt es verschiedene Ansätze mit unterschiedlichem Komplexitätsgrad. Die hier veröffentlichten Dokumente beschreiben die Verwendung Technischer Richtlinien für die Radio-Frequency-Identification-Technologie in verschiedenen Einsatzgebieten als eine mögliche Methode zur Festlegung des erforderlichen Sicherheitsniveaus.

Betrachtete Einsatzgebiete sind:

  • eTicketing im öffentlichen Personenverkehr
  • eTicketing für Veranstaltungen (Event-Ticketing)
  • NFC-basiertes Ticketing)
  • Handelslogistik
  • Elektronischer Mitarbeiterausweis

Damit werden der Zutritt zu Veranstaltungen (Event-Ticketing), die Nutzung öffentlicher Verkehrsmittel (ÖPV-Ticketing und NFC-Ticketing), das Verwenden von EPC-konformen Transpondern in der Handelskette sowie die Nutzung eines elektronischen Ausweises zur Zutrittskontrolle und Zeiterfassung als mögliche Implementierungen von auf RFID-basierten Anwendungen behandelt.

Die Technische Richtlinie RFID (TR RFID) soll dabei den folgenden Zielen dienen:

  1. Verwendbarkeit als Leitfaden für Systemlieferanten und Systemanwender zur sachgerechten Implementierung von spezifischen RFID-Systemlösungen unter Beachtung der Funktions- und Informationssicherheit sowie des Datenschutz.
  2. Schaffung von Aufmerksamkeit und Transparenz in Bezug auf Sicherheitsaspekte.
  3. Basis für eine Konformitätserklärung der Systemlieferanten oder Betreiber und die Vergabe eines Gütesiegels durch eine Zertifizierungsstelle.

Bedingt durch technische Weiterentwicklungen und dem zunehmenden Einsatz von RFID, entstehen neue Einsatzgebiete, die zu betrachten sind. Auch ergibt sich die Notwendigkeit, bestehende Betrachtungen zu aktualisieren. Zusätzlich konnte bisher dem Ziel, die Konformität gegenüber der TR RFID durch eine neutrale, anerkannte Prüfstelle mit abschließender Zertifizierung durch das BSI zu beweisen, noch nicht nachgekommen werden. In den Jahren 2012/13 wurden daher die bestehenden Einsatzgebiete aktualisiert und ergänzt, das Einsatzgebiet "Elektronischer Mitarbeiterausweis" um eine Prüfspezifikation ergänzt sowie die Erweiterung der Richtlinienreihe um einen sechsten Teil in Angriff genommen.

Hinweis:
Neben den nachstehend bisher veröffentlichten Dokumenten der genannten fünf Einsatzgebiete in deutscher und englischer Sprache werden hier die aktualisierten Fassungen sowie die dazugehörigen Prüfspezifikationen veröffentlicht. Die Eigenerklärungen zu der entsprechenden Version 1.0 bleiben von der Aktualisierung unbenommen.

Aktuell verfügbare Versionen:

Dokumente in englischer Sprache

Kontakt:

Bundesamt für Sicherheit in der Informationstechnik
Referat S 11 - Sicherheit in eID-Anwendungen
Postfach 20 03 63
53133 Bonn
E-Mail: rfid@bsi.bund.de