Hausarbeit. FOM Fachhochschule für Oekonomie & Management Frankfurt am Main. Hausarbeit zum Thema. NFC - Funktionsweise und Anwendungsgebiete

Transkript

1 Hausarbeit FOM Fachhochschule für Oekonomie & Management Frankfurt am Main IT Infrastruktur 4. Semester Hausarbeit zum Thema NFC - Funktionsweise und Anwendungsgebiete Betreuer: Heiko Bühler Autor: Max Jäger (287442) Frankfurt, den 23. Mai 2013

2 Inhalt Inhalt Abkürzungen Abbildungen III IV 1 Einleitung 1 2 Einführung Historische Entwicklung Historische Entwicklung von RFID Historische Entwicklung der Chipkarten Historische Entwicklung von NFC Das NFC-Forum Aktuelle Marktsituation Technologie Übertragungsmodi Reader/Writer-Modus Peer-to-Peer-Modus Card-Emulation-Modus Architektur mobiler NFC-Geräte Energieversorgung Secure Element Sicherheit Anwendungsbeispiele Intelligente Plakate Mobile Payment Das Mobiltelefon als Kredit-/Debitkarte Das Mobiltelefon als Prepaidkarte Deutsche Bahn Touch&Travel I

3 Inhalt 4.4 Zugangskontrolle NFC in Fahrzeugen Fazit 17 6 Literatur 19 II

4 Abkürzungen Abkürzungen LLCP NDEF NFC RFID RMV RTD URI Logical Link Control Protocol NFC Data Exchange Format Near Field Communication Radio Frequency Identification Rhein-Main-Verkehrsverbund Record Type Definition Uniform Resource Identifier III

5 Abbildungen Abbildungen 1 Architektur eines mobilen NFC-Gerätes Ladezustände eines Akkus eines mobilen NFC-Gerätes IV

6 Einführung 1 Einleitung Near Field Communication (NFC) ist eine Technologie für die drahtlose Kommunikation und den Austausch von Nachrichten über geringe Distanzen. Obwohl ihre Entwicklung bereits 2002 begann und auf die ausgereifte Radio Frequency Identification-Technik (RFID) aufbaut 1, steckt ihre Verbreitung bisher noch in den Startlöchern. 2 Die immer größer werdende Anzahl von NFC-fähigen Geräten (insbesondere Smartphones), die vielfältigen Einsatzmöglichkeiten und die einfache Handhabung machen diese Technologie jedoch zunehmend interessanter für kommerzielle Anwendungen. 3 Diese Seminararbeit gibt einen Überblick über die NFC-Technologie und stellt einige existierende Anwendungen vor. 2 Einführung Da NFC auf RFID aufbaut, ist zunächst diese Technologie zu betrachten. RFID ist eine Technologie zur Kennzeichnung von Gegenständen, Tieren oder Personen. 4 Für ein RFID-System sind zwei Komponenten erforderlich: ein elektronischer Datenträger, Transponder genannt, der Daten speichert ein Lesegerät, mit dem Daten ausgetauscht werden Die Datenübertragung und oftmals auch die Stromversorgung des Transponders erfolgen über magnetische oder elektromagnetische Felder. 5 Es ist somit bei RFID, im Gegensatz zu anderen Identifizierungsverfahren wie beispielsweise Barcodes, kein Sichtkontakt zwischen Sender und Empfänger notwendig. 6 Die beiden Komponenten, Transponder und Lesegerät, übernehmen bei RFID jeweils nur eine Aufgabe - Datenspeicher bereitstellen bzw. Daten lesen und schreiben. Bei NFC hingegen existiert diese strikte Trennung nicht mehr - ein NFC-Gerät implementiert beide Funktionalitäten. Je nach Anwendungsfall 1 Vgl. Langer und Roland, (2010), S Vgl. Resatsch, (2010), Vorwort. 3 Vgl. NFC Forum, (2013a), o.s. 4 Vgl. Kern, (2006), S Vgl. Finkenzeller, (2012), S Vgl. Kern, (2006), S. 1. 1

7 Einführung agiert das NFC-Gerät somit entweder als Lesegerät oder Transponder. 7 Der Name NFC - Nahfeldkommunikation - ist auf den sehr geringen Abstand zwischen zwei Schnittstellen von maximal 10 Zentimetern zurückzuführen. Derzeit können Daten mit maximal 424 kbit/s übertragen werden Historische Entwicklung Da NFC auf die RFID-Technologie aufbaut und viele Anwendungsgebiete mit Chipkarten zusammenhängen, müssen zunächst diese beiden Technologien betrachtet werden Historische Entwicklung von RFID Der Einsatz der RFID-Technologie begann bereits während des zweiten Weltkriegs. Hier wurden Transponder und Lesegeräte an Panzern und Flugzeugen eingesetzt, um fremde von eigenen Fahrzeugen unterscheiden zu können. Im kommerziellen Bereich gab es in den 1970ern die ersten Systeme zur Sicherung von Waren. Die nächste Anwendung war die Kennzeichnung von Tieren in der Landwirtschaft. 9 Ab etwa 1990 gab es große Fortschritte in der technologischen Entwicklung von Transpondern, was sowohl Größe als auch Preis betraf, sodass immer mehr Anwendungen entwickelt wurden. Darunter zählen Zugangskontrollen zu Gebäuden, die Wegfahrsperre in Autos, Mautsysteme oder die Zeiterfassungen in Betrieben und bei Sportveranstaltungen. 10 Mittlerweile gibt es viele weitere Anwendungsgebiete. Vor allem in der Logistik und Lagerverwaltung bieten sich vielfältige Möglichkeiten Historische Entwicklung der Chipkarten Neben der RFID-Technologie spielen Chipkarten eine weitere große Rolle für NFC, denn diese bilden die Grundlage für die zwei wichtigsten Anwendungen 7 Vgl. Langer und Roland, (2010), S Vgl. Langer und Roland, (2010), S Vgl. Langer und Roland, (2010), S. 1f. 10 Vgl. Kern, (2006), S Vgl. Franke und Dangelmaier, (2006), S

8 Einführung von NFC - mobile Zahlungssysteme und Ticketing. 12 Die ersten Plastikkarten ohne Chip wurden 1950 vom Diners Club ausgegeben, und mit der Gründung der Unternehmen Visa und MasterCard erfolgte eine schnelle Verbreitung dieses Bezahlmediums. Verbesserungen in Form von Aufprägungen und Magnetstreifen trugen zur Erhöhung der Sicherheit bei, jedoch konnten die auf dem Magnetstreifen gespeicherten Informationen beliebig ausgelesen, kopiert und gelöscht werden. Es musste eine Lösung geschaffen werden, diese Probleme zu beseitigen, was durch die Implementierung eines Chips mit Sicherheitsfunktionen bereits Mitte der 1980er Jahre zum Durchbruch der Chipkarte verhalf. Mitte der 1990er Jahre wurden die Chipkarten um weitere Funktionen, wie z. B. die Verwendung als Geldkarte, erweitert. 13 Für das Auslesen solcher Chipkarten ist ein physischer Kontakt des Lesegerätes mit dem Chip notwendig. 14 Mittlerweile gibt es neben dieser Art von Chipkarte auch kontaktlose Chipkarten, die die gleiche Bauform haben, intern aber mit einem RFID-Transponder ausgestattet sind Historische Entwicklung von NFC NFC wurde im Jahre 2002 durch die beiden Firmen NXP Semiconductors und Sony entwickelt, die führend im Bereich von kontaktlosen Chipkarten sind. Zwei Jahre später wurde durch diese beiden Firmen und Nokia das NFC Forum gegründet. Dieses hat es sich zur Aufgabe gemacht, die Entwicklung von NFC voranzutreiben. Die ersten NFC-fähigen Handys gab es 2005, mit denen ein Feldversuch in Frankreich durchgeführt wurde, bei dem Benutzer Waren im Einzelhandel bezahlen, Parktickets kaufen und touristische Informationen abrufen konnten. Ein Feldversuch für den Personennahverkehr wurde 2005 vom Rhein-Main-Verkehrsverbund (RMV) gestartet, bei dem Fahrscheine über ein Handy gekauft werden konnten. Nach dem erfolgreichen Abschluss dieses Feldversuchs wurde die Anwendung für die Öffentlichkeit freigegeben wurde auch in Österreich ein gleichartiges System eingeführt 16. In Deutschland ist mit dem Touch&Travel-System der Deutschen Bahn ein System für das Erwerben 12 Vgl. Langer und Roland, (2010), S Vgl. Langer und Roland, (2010), S Vgl. Finkenzeller, (2012), S Vgl. Klaus Finkenzeller, (1998), S Vgl. Langer und Roland, (2010), S. 5. 3

9 Einführung von Fahrtickets mit NFC-fähigen Smartphones verfügbar, das deutschlandweit für alle Fernverkehrsverbindungen, einige Auslandsverbindungen und in ausgewählten Städten und Regionen verfügbar ist Das NFC-Forum Um die Aktivitäten zu NFC voranzutreiben und zu standardisieren, wurde 2004 das NFC-Forum gegründet. Neben NXP Semiconductors und Sony ist mit Nokia auch ein Hersteller von Mobiltelefonen Gründungsmitglied. Mittlerweile zählen über 160 Firmen, darunter mit Samsung, Intel, Google, HP, AT&T und Microsoft viele führende Firmen in der Elektronik- und Softwarebranche, zu den Mitgliedern, die alle an der Weiterentwicklung beteiligt sind. 18 Das Forum hat folgende Ziele: Entwicklung von standardisierten Spezifikationen, um eine modulare Architektur und Kompatibilität für NFC-Geräte und Protokolle zu gewährleisten Förderung der Entwicklung von Produkten auf Basis dieser Spezifikationen Förderung der Zusammenarbeit zwischen Unternehmen, um die Ansprüche des NFC-Forums an Qualität und Kompatibilität sicherzustellen Informieren von Verbrauchern und Unternehmen weltweit über NFC 2.3 Aktuelle Marktsituation Die Verbreitung von NFC-fähigen Smartphones nimmt immer mehr zu. Aktuell sind Smartphones von u. a. Nokia, Samsung, Blackberry, Google, HTC, LG, Motorola und Sony verfügbar. Das aktuelle Iphone 5 hingegen verfügt nicht über NFC-Technologie. Neben vielen aktuellen Smartphones sind auch Tablet-PCs mit NFC-Technologie verfügbar, und es sind weitere Handys und Tablets mit NFC angekündigt. Die Unterstützung von NFC ist somit in den verbreiteten Betriebssystemen Android, Windows Phone und Windows 8 integriert Vgl. DB Mobility Logistics AG, (2013), o. S. 18 Vgl. NFC Forum, (2013b), o. S. 19 Vgl. NFC World, (2013), o. S. 4

10 Technologie 3 Technologie Dieses Kapitel erläutert die Technologie von NFC. Es werden zunächst die Grundlagen der verschiedenen Übertragungsmodi erklärt bevor auf die Architektur mobiler NFC-Geräte eingegangen wird. Abschließend werden die Sicherheitsmechanismen erklärt und mögliche Schwachstellen und Gefahrenpotenziale aufgezeigt. 3.1 Übertragungsmodi Bei klassischen RFID-Systemen gibt es ein aktives Lesegerät und einen oder mehrere passive Transponder. 20 Bei der Energieversorgung der Transponder gibt es unterschiedliche Varianten. Aktive Transponder nutzen eine angeschlossene Batterie als Energiequelle. Passive Transponder beziehen ihre Energieversorgung durch Induktion aus einem magnetischen oder elektromagnetischen Feld des Lesegerätes - sie entziehen diesem Feld sozusagen die Energie, die sie selbst benötigen. Semi-aktive Transponder beziehen nur bei Bedarf Energie aus einer angeschlossenen Batterie, ansonsten ebenfalls über Induktion. 21 NFC setzt auf induktiv gekoppelte Systeme, bei denen passive Transponder die Energie aus einem Magnetfeld ziehen. Da jedoch, wie bereits erwähnt, die strikte Trennung zwischen Lesegerät und Transponder entfällt, ergeben sich zusätzliche Kommunikationswege. Neben einer Kommunikation zwischen einem NFC-Gerät und einem passiven Transponder ist auch die Kommunikation zwischen zwei NFC-Geräten möglich. 22 Für diese unterschiedlichen Kombinationen von Komponenten sind verschiedene Übertragungsmodi spezifiziert. Der Reader/Writer-Modus ermöglicht die Kommunikation zwischen einem NFC-Gerät und einem passiven Transponder. Im Peer-to-Peer-Modus können zwei NFC-Geräte Daten untereinander austauschen. Der Card-Emulation-Modus ermöglicht dem NFC-Gerät als Smartcard zu agieren und als passiver Teilnehmer mit einem Lesegerät zu kommunizieren Vgl. Langer und Roland, (2010), S Vgl. Kern, (2006), S Vgl. Langer und Roland, (2010), S. 89f. 23 Vgl. Coskun, Ok und Ozdenizci, (2012), S

11 Technologie Reader/Writer-Modus Dieser Modus ermöglicht die Kommunikation eines NFC-Gerätes mit passiven Transpondern, sodass sowohl Daten von Transpondern gelesen als auch auf ihnen gespeichert werden können. Die Kompatibilität zu Smartcard-Spezifikationen ermöglicht die Integration von NFC-Geräten als Lesegeräte in eine bestehende Smartcard-Infrastruktur. Des Weiteren werden NFC-Forum-Tags unterstützt. Dies sind passive Transponder mit einem definierten Aufbau, festgelegten Operationen und einem standardisierten Nachrichtenaustauschformat. 24 Dieses Nachrichtenformat untergliedert sich in zwei Bereiche. Die gesamte Nachrichtenstruktur wird im NFC Data Exchange Format (NDEF) definiert. NDEF ist ein binäres Datenformat, das es erlaubt, ein oder mehrere Datensätze beliebigen Typs und Größe in einer Nachricht zu kapseln. Der Aufbau der einzelnen Datensätze wird über Record Type Definitions (RTD) beschrieben. 25 Es gibt RTDs für z. B. Text, intelligente Poster oder Internet-URLs Peer-to-Peer-Modus Im Peer-to-Peer-Modus findet eine Kommunikation zwischen zwei NFC-Geräten statt. Zwischen diesen Geräten können beispielsweise digitale Visitenkarten, Bilder oder jede weitere Art von Daten übertragen werden. Auch in diesem Übertragungsmodus wird NDEF als Nachrichtenformat verwendet. 27 Bei der Bereitstellung des magnetischen Feldes, das zur Datenübertragung verwendet wird, muss zwischen zwei Modi unterschieden werden. Im passiven Kommunikationsmodus erzeugt das Initiator-Gerät für die gesamte Übertragungsdauer das Trägersignal. Das Empfänger-Gerät muss lediglich die Stromversorgung für die Datenverarbeitung bereitstellen. Im aktiven Kommunikationsmodus erzeugt jedes Gerät sein eigenes Trägersignal, auf dem es seine Daten sendet. Dabei muss jedes Gerät die vollständige Übertragung der Daten des jeweils anderen Gerätes abwarten, bis es seine Daten senden darf. 28 Die eigentliche Datenübertragung erfolgt über das Logical Link Control Protocol 24 Vgl. Coskun, Ok und Ozdenizci, (2012), S. 99f. 25 Vgl. Nokia, (2013), o. S. 26 Vgl. Coskun, Ok und Ozdenizci, (2012), S Vgl. Coskun, Ok und Ozdenizci, (2012), S Vgl. Langer und Roland, (2010), S. 92ff. 6

12 Technologie (LLCP). Dieses Protokoll verwaltet die Verbindungen zwischen NFC-Geräten und stellt zwei Datenübertragungsdienste bereit. Die Verbindungsverwaltung beinhaltet sowohl den Auf- und Abbau als auch das Aufrechterhalten von Verbindungen. Die Datenübertragung kann sowohl verbindungslos als auch verbindungsorientiert erfolgen. Bei der verbindungslosen Datenübertragung unterliegen die Datenpakete keinerlei Kontrolle. Es erfolgt weder eine Empfangsbestätigung noch eine Kontrolle über die Reihenfolge der Datenpakete. Bei der verbindungsorientierten Datenübertragung wird jedes Datenpaket durch eine Sequenznummer gekennzeichnet. Durch Empfangsbestätigungen, Timeouts und Fehlermeldungen können die vollständige und korrekte Übertragung der Datenpakete kontrolliert und Datenpakete gegebenenfalls erneut gesendet werden Card-Emulation-Modus Der Card-Emulation-Modus ermöglicht die Kommunikation mit RFID- Lesegeräten, bei der das NFC-Gerät als passive, kontaktlose Smartcard agiert. Es kann somit in bestehende RFID-Infrastrukturen eingebunden werden. Eine Smartcard wird über ein sogenanntes Secure Element emuliert. Obwohl es möglich ist, ein Secure Element ausschließlich als Softwarelösung zu implementieren, ist dies oftmals nicht sinnvoll. In der Regel wird ein separater Mikrochip eingesetzt, der direkt mit dem NFC-Chipsatz verbunden ist und dem Aufbau und Funktionsumfang einer Smartcard entspricht. Auf diesem Mikrochip werden sicherheitskritische Daten und Anwendungen gespeichert. 30 Typische Anwendungsszenarien sind mobile Zahlungssysteme, Ticketing und Zugangskontrollen. 3.2 Architektur mobiler NFC-Geräte Die weite Verbreitung von Handys und insbesondere Smartphones machen diese Geräte zu den Wichtigsten für die Ausstattung mit NFC. Die Integration von NFC in diese Geräte bietet ein großes Potenzial für weit verbreitete, einfach zu 29 Vgl. Langer und Roland, (2010), S. 97f. 30 Vgl. Langer und Roland, (2010), S. 100f. 7

13 Technologie bedienende Anwendungen und die Akzeptanz von NFC. 31 Die vielen integrierten Bestandteile eines Mobiltelefons, wie z. B. WLAN, Bluetooth, USB, Kamera, GPS etc., machen es zu einem universellen Werkzeug. Bei der Integration von NFC muss daher ein optimales Zusammenspiel mit diesen Bausteinen gewährleistet werden. 32 Bei der Integration von NFC-Funktionalität in ein mobiles Gerät sind folgende Komponenten wesentlich: Secure Element NFC-Controller NFC-Antenne Hostcontroller Abbildung 1: In Anlehnung an: Coskun, Ok und Ozdenizci, (2012), S. 83 Architektur eines mobilen NFC-Gerätes Das Secure Element stellt eine sichere Umgebung für Daten und Anwendungen bereit. Es kann Daten gesichert abspeichern und sicherheitskritische Anwendungen, z. B. für Zahlungsvorgänge, ausführen. Der NFC-Controller ist die Verbindung zwischen dem mobilen Gerät und der NFC-Übertragungsfunktionalität. Er stellt über die angeschlossene NFC-Antenne die Schnittstelle für die Kommunikation mit anderen NFC-Geräten und NFC-Tags bereit. Der Hostcontroller 31 Vgl. Coskun, Ok und Ozdenizci, (2012), S Vgl. Langer und Roland, (2010), S. 145f. 8

14 Technologie ist das Herzstück eines jeden mobilen Gerätes. Er ist für die Kommunikation zwischen Benutzeroberfläche, den internen und externen Schnittstellen und der Mobilfunkverbindung verantwortlich. Des Weiteren stellt er die Verbindung zum NFC-Controller bereit. 33 Der Zugriff auf das Secure Element kann sowohl vom Hostcontroller als auch vom NFC-Controller erfolgen Energieversorgung Die Energieversorgung spielt bei mobilen Geräten immer eine große Rolle. Gerade bei Anwendungen, bei denen Zahlungsvorgänge über das mobile Gerät durchgeführt werden oder dieses als Speicher für gekaufte Tickets verwendet wird, muss sichergestellt sein, dass diese Informationen auch bei leerem Akku abgerufen werden können. Für dieses Szenario gibt es bei NFC-fähigen mobilen Geräten drei Akkuzustände: Abbildung 2: In Anlehnung an: GSMA, (2007), S. 17 Ladezustände eines Akkus eines mobilen NFC-Gerätes In Ladezustand 1 steht genügend Akkuleistung zur Verfügung, um alle Funktionen des mobilen Gerätes zu betreiben. Wird ein erster Schwellwert unterschritten, werden nur noch die nötigsten Funktionen mit Strom versorgt, wie z. B. die Systemzeit. Wird ein weiterer Schwellwert unterschritten, wird der Akku lediglich vor Tiefenentladung geschützt. Es sind jedoch keine Funktionen 33 Vgl. Coskun, Ok und Ozdenizci, (2012), S Vgl. Langer und Roland, (2010), S

15 Technologie mehr verfügbar. 35 In Ladezustand 1 steht genügend Energie zur Versorgung aller Funktionen bereit, somit können auch alle NFC-Modi betrieben werden. Da in Ladezustand 2 die Benutzerschnittstelle bereits nicht mehr verfügbar ist, muss und kann hier lediglich der Card-Emulation-Modus verfügbar sein. Um dies sicherzustellen, müssen der NFC-Controller und das Secure Element mit Strom versorgt werden. Befindet sich das NFC-Gerät im dritten Ladezustand, ist auch der Card-Emulation-Modus über die interne Stromversorgung nicht mehr verfügbar. Somit muss die Stromversorgung des NFC-Controllers und des Secure Elements durch das Magnetfeld des RFID-Lesegerätes bereitgestellt werden. Dann kann ebenfalls auf die im Secure Element gespeicherten Daten zugegriffen werden Secure Element Bei vielen Anwendungen, für die NFC verwendet wird, müssen Daten geschützt gespeichert werden. Bei der Verwendung des Mobiltelefons als elektronische Brieftasche können beispielsweise Ausweisdaten, Tickets oder Kreditkartendaten gespeichert werden. Mobiltelefone stellen hierfür jedoch normalerweise keine geeignete Umgebung bereit. Ein Secure Element stellt solch einen sicheren Bereich zur Verfügung. Folgende Funktionalitäten umfasst ein Secure Element: Bereitstellung eines Speichers für sicherheitskritische Daten kryptografische Operationen sichere Ausführung von Anwendungen Da diese Anforderungen bereits durch die heutige Smartcard-Technologie erfüllt werden, kommt diese Technologie auch für Secure Element-Bausteine in Mobiltelefonen zum Einsatz. 37 Für den Zugriff auf das Secure Element gibt es zwei Modi: den externen und den internen Modus. Beim externen Modus ist das Secure Element mit dem NFC-Controller verbunden und kann darüber von externen Lesegeräten 35 Vgl. GSMA, (2007), S Vgl. Langer und Roland, (2010), S. 154f. 37 Vgl. Langer und Roland, (2010), S

16 Technologie angesprochen werden. Dieser Modus entspricht dem Card-Emulation-Modus. Beim internen Modus ist der Hostcontroller das Lesegerät. Hierbei können NFC-Anwendungen Daten, z. B. gekaufte Tickets, auf dem Secure Element ablegen. Danach ist der Zugriff darauf auch über den externen Modus - und ohne laufende NFC-Anwendung - möglich Sicherheit Bei Anwendungen, die mit Zugangskontrollen oder Zahlungsvorgängen in Verbindung stehen, hat die Sicherheit immer eine hohe Relevanz. Da solche Anwendungen auch für NFC interessant sind, darf dieser Aspekt nicht außer Acht gelassen werden. Da NFC eine drahtlose Übertragungstechnologie ist, ist das Abhören der Übertragung sicherlich eines der größten Probleme. Ein potenzieller Angreifer kann versuchen, die zur Datenübertragung verwendeten Signale mit einer eigenen Antenne ebenfalls zu empfangen. Obwohl die Entfernung zwischen zwei NFC-Schnittstellen in der Regel nur wenige Zentimeter beträgt, ist es durchaus möglich, die Signale auch aus einer größeren Distanz zu empfangen. Dabei spielen Faktoren wie die Qualität des Empfängers, physikalische Hindernisse wie z. B. Mauern oder Metall, oder auch die Stärke des gesendeten Signals eine Rolle. Dennoch ist es nicht unrealistisch, auch aus einer Distanz von einigen Metern ein Signal abhören zu können. 39 Aber nicht nur das reine Abhören ist ein mögliches Angriffsziel. Ein Angreifer kann beispielsweise auch die Kommunikation zwischen zwei Geräten unterbinden wollen, was durch einen Störsender relativ einfach möglich ist. Es ist außerdem möglich, dass ein Angreifer die Anfrage eines NFC-Gerätes früher beantwortet als der eigentliche Empfänger. Die bisher genannten Angriffe lassen sich mit relativ wenig Aufwand durch die Verschlüsselung der übertragenen Nachrichten abwehren. Oftmals ist aber auch einer sogenannten Man-in-the-Middle-Attacke die Rede. Bei dieser Form des Angriffs schleust sich ein Angreifer unbemerkt zwischen zwei Geräte, die miteinander kommunizieren möchten. Hierbei bemerken die zwei Geräte nicht, dass sie nicht direkt miteinander kommunizieren, sondern über 38 Vgl. Langer und Roland, (2010), S Vgl. Haselsteiner und Breitfuß, (2006), S. 4f. 11

17 Technologie ein unbekanntes drittes Gerät. Hierbei schützt jedoch auch eine verschlüsselte Übertragung nichts, da diese ja mit dem unbemerkten Angreifer durchgeführt wird. Um als Angreifer jedoch unbemerkt zu bleiben, müssen die magnetischen Felder zwischen den beiden ursprünglichen Geräten voneinander abgeschirmt sein. Es könnte sonst zudem dazu kommen, dass sich die überlappenden Felder gegenseitig stören würden, wodurch es quasi unmöglich wird, die Nachricht zu entschlüsseln. Die kurze Distanz, die bei NFC zwischen zwei Geräten benötigt wird, macht es jedoch fast unmöglich, die Felder unauffällig voneinander abzuschirmen. Eine Man-in-the-Middle-Attacke stellt demnach keine große reale Gefahr dar. 40 Somit liegt das Gefahrenpotenzial bei NFC-Anwendungen nicht an der Technik selbst. Eine potenzielle Gefahr besteht darin, dass passive NFC-Tags manipuliert werden. Während der RSA Conference 2012 wurde gezeigt, wie ein modifiziertes NFC-Tag, das auf einen legitimen Träger wie z. B. ein Werbeposter, aufgebracht wurde, den Nutzer nicht auf die angegebene Seite des Beworbenen brachte, sondern auf eine Phishing-Seite. Ein Nutzer, der ein NFC-Tag von einer frei zugänglichen Stelle nutzt, sollte entsprechend umsichtig agieren und die Informationen genau prüfen. 41 In Kapitel wurde bereits erläutert, dass das Auslesen von Informationen des Secure Elements auch ohne aktive NFC-Anwendung geschehen kann. Dies können sich Angreifer zunutze machen, indem sie mit NFC-fähigen Lesegeräten in einer Menschenmenge nach NFC-Tags scannen. Wenn nun auf gefundenen NFC-Tags die Informationen unverschlüsselt gespeichert sind, können diese natürlich ausgelesen werden. Dabei sollte in Betracht gezogen werden, wie sicher solche Daten wie Kreditkarteninformationen gespeichert werden müssen. Ein Kellner, dem die Kreditkarte zur Bezahlung gegeben wird, hat schließlich alle notwendigen Daten, um damit Missbrauch treiben zu können Vgl. Langer und Roland, (2010), S Vgl. Heise, (2012b), o. S. 42 Vgl. Heise, (2012a), o. S. 12

18 Anwendungsbeispiele 4 Anwendungsbeispiele Die Integration von NFC in Mobiltelefone ermöglicht eine Reihe von neuartigen Anwendungen, gerade weil NFC-Geräte sowohl passive Transponder lesen als auch Chipkarten emulieren können. Dieses Kapitel widmet sich einigen dieser sehr interessanten Anwendungen, die bereits umgesetzt wurde. 4.1 Intelligente Plakate Ein intelligentes Plakat ist ein Plakat, dem zusätzliche technische Informationen hinzugefügt wurden. Dies kann beispielsweise durch einen QR-Code geschehen, der von der Kamera des Mobiltelefons erfasst wird und die in ihm gespeicherte Internetadresse öffnet. Mit der NFC-Technologie bieten sich aber weitere Möglichkeiten, Informationen auf einem Poster oder Werbeplakat zu positionieren. Neben der Internet-Seite als einzige Information können auch Texte in mehreren Sprachen, Bilder und Aktionen verknüpft werden. Alle diese Daten müssen in einem NFC-Tag gespeichert werden. Wie bereits in Kapitel dargestellt, dienen RTDs der Spezifizierung von Formaten für unterschiedliche Daten. Der Uniform Resource Identifier (URI) Record Type definiert beispielsweise ein Datenformat zur Speicherung von -Adressen, Internetadressen oder Telefonnummern. Der Text Record Type definiert einen Text inklusive Informationen zu z. B. Sprache und Zeichencodierung. Für intelligente Plakate gibt es den Smart Poster Record Type, der mehrere andere RTDs zusammenfasst. So enthält dieser RTD einen URI-Record für eine Internetadresse, -Adresse oder Telefonnummer, einen oder mehrere Text-Records für Beschreibungen in ggf. mehreren Sprachen, einen Icon-Record für ein Bild und einen Recommended Action Record für die auszulösende Aktion, z. B. das Öffnen der Internetseite, das Speichern der Adresse als Lesezeichen im Browser oder das Verschicken einer SMS Vgl. NFC Forum, ( ), S. 4f. 13

19 Anwendungsbeispiele 4.2 Mobile Payment Das Bezahlen mit Hilfe des Mobiltelefons ist sicherlich eine der bedeutendsten Anwendungsfälle für NFC. Das Mobiltelefon kann dafür auf mehrere Arten verwendet werden: als Kredit-/Debitkarte oder als Prepaidkarte Das Mobiltelefon als Kredit-/Debitkarte Bei der Bezahlung über eine Kredit- oder Debitkarte sind auf einer Chipkarte die Konto- bzw. Kreditkarteninformationen des Kunden gespeichert. Beim Bezahlen damit kann ein Magnetstreifen ausgelesen werden, was der unsicherste Weg ist, da die Daten nicht geschützt sind und einfach kopiert werden können. Eine Alternative hierzu ist die Verwendung des kontaktbehafteten Chips, was in Deutschland die meistverwendete Variante ist. Hierbei muss jedoch eine physische Verbindung zum Chip hergestellt werden. Ein drittes, drahtloses Verfahren emuliert den Chip auf der Chipkarte und ist kompatibel zur NFC- Technologie. Die Technologie zum Bezahlen mit Mobiltelefonen über NFC ist also heutzutage bereits vorhanden. Die Daten der Kredit- oder Debitkarten werden im Secure Element gespeichert. Beim Bezahlvorgang werden die Daten des Vorgangs auf dem Display des Mobiltelefons angezeigt, die gewünschte Zahlungskarte, sofern mehrere vorhanden sein sollten, wird ausgewählt und die Transaktion wird bestätigt. 44 Im Allgemeinen wird bei Beträgen bis zu 20 Euro keine PIN abgefragt, bei Beträgen darüber schon Das Mobiltelefon als Prepaidkarte Bei der Verwendung als Kredit- oder Debitkarte werden auf dem Mobiltelefon nur die Daten der entsprechenden Karte gespeichert. Die Verwendung als Prepaidkarte ermöglicht das Speichern von Guthaben im Secure Element. Im Gegensatz zu klassischen Guthabenkarten kann die Aufladung praktisch von überall aus erfolgen, da das Mobiltelefon in der Regel eine ständige Internetverbindung hat und somit auch Zugang zur Bank erhalten kann. Bei 44 Vgl. Langer und Roland, (2010), S Vgl. Ahson und Ilyas, (2012), S

20 Anwendungsbeispiele Bezahlvorgängen werden die Kosten nur vom Guthaben im Secure Element abgezogen. Diese Form des Bezahlens entspricht der heutigen Geldkarte Deutsche Bahn Touch&Travel Bei klassischen Reiseangeboten muss vor Reiseantritt eine entsprechende Fahrkarte gekauft werden. Mit dem Touch&Travel-System geht die Deutsche Bahn einen anderen Weg, der erst durch NFC in dieser Form möglich wurde. Der Reisende erfasst mit seinem Mobiltelefon an der Start-Haltestelle den Beginn seiner Reise an einem NFC-Kontrollpunkt, und an der Ziel-Haltestelle erfasst er sein Fahrtende. Die Prüfung einer gültigen Fahrkarte kann entweder durch Scannen eines Barodes, der von einer Smartphone-App angezeigt wird, oder durch Auslesen der auf dem Secure Element gespeicherten Fahrkarte geschehen. Die Kosten der Fahrkarte werden per Lastschrift vom Konto des Kunden eingezogen. Im RMV-Gebiet kann NFC so genutzt werden, dass nach der Erfassung des NFC-Kontrollpunktes an der Start-Haltestelle nur noch die Ziel-Haltestelle angegeben werden muss, und die passende Fahrkarte dann auf dem Mobiltelefon gespeichert wird. NFC bietet bei dieser Anwendung eine schnelle und komfortable Möglichkeit des Fahrkartenkaufs Zugangskontrolle Die Verwendung des Mobiltelefons als Berechtigungsnachweis für den Zutritt zu Gebäuden oder Räumen ist ebenfalls eine interessante Anwendung. In diesem Zusammenhang gibt es unterschiedliche Anwendungsgebiete: Mitarbeiter von Unternehmen können das Mobiltelefon verwenden, um sowohl Zutritt zu Firmengebäuden oder gesicherten Bereichen innerhalb des Firmengebäudes zu bekommen oder Schranken öffnen zu können. Hierfür werden die entsprechenden Berechtigungen meist durch eine interne Abteilung vergeben und auf dem Secure Element gespeichert. Der Mitarbeiter benötigt dann nur noch sein Mobiltelefon als Schlüssel für alle Zugänge, für die er berechtigt ist - eine 46 Vgl. Langer und Roland, (2010), S. 209f. 47 Vgl. DB Mobility Logistics AG, (2013), o. S. 15