TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
11.3.4.2 Verbleibende Risiken durch „Track<strong>in</strong>g“<br />
Beschreibung des Risikos<br />
Transpon<strong>der</strong> nach EPCglobal können über Entfernungen von bis zu mehreren Metern ausgelesen<br />
werden sofern sie nicht durch mechanische Zerstörung o<strong>der</strong> die Aktivierung des Kill-<br />
Kommandos deaktiviert s<strong>in</strong>d. Die EPC ist nicht zugriffsgeschützt und kann mithilfe von handelsüblichen<br />
Lesegeräten ausgelesen werden. Gleiches gilt auch <strong>für</strong> die UID, die ansonsten<br />
im EPCglobal-Konzept e<strong>in</strong>e untergeordnete Rolle spielt. Dadurch ist es technisch möglich,<br />
Transpon<strong>der</strong>, die beim Verkauf des Produkts nicht deaktiviert wurden, wie<strong>der</strong> zu erkennen<br />
und technisch möglich Bewegungsprofile dieses Transpon<strong>der</strong>s zu generieren.<br />
Rechtlich ist die Erstellung von Bewegungsprofilen ohne Zustimmung <strong>der</strong> Person nach dem<br />
Datenschutzgesetz nicht erlaubt.<br />
Aus Sicht <strong>der</strong> IT-<strong>Sicherheit</strong> s<strong>in</strong>d Bewegungsprofile e<strong>in</strong>er Sache (wie z. B. e<strong>in</strong>es Herrenanzugs<br />
mit e<strong>in</strong>genähtem Transpon<strong>der</strong>) an sich zunächst unkritisch. Es können allerd<strong>in</strong>gs datenschutzrechtliche<br />
Risiken auftreten, wenn z. B. das Bewegungsprofil des Herrenanzugs<br />
e<strong>in</strong>er natürlichen Person zugeordnet werden kann. Es soll an dieser Stelle noch mal darauf<br />
h<strong>in</strong>gewiesen werden, dass aktuell hochwertige Kleidung ausschließlich mit abnehmbaren<br />
Transpon<strong>der</strong>n ausgerüstet wird. Das hier beschriebene Szenario ist hypothetischer Art, die<br />
e<strong>in</strong>genähte Version kommt nur bei Mietwäsche zum E<strong>in</strong>satz nicht bei Endkundenanwendungen.<br />
Falls ke<strong>in</strong>e weitere Nutzung des Transpon<strong>der</strong>s nach dem Verkauf des Produkts erfor<strong>der</strong>lich<br />
o<strong>der</strong> gewünscht ist, kann <strong>der</strong> Transpon<strong>der</strong> beim Verkauf deaktiviert und die potenzielle unrechtmäßige<br />
Erstellung von Bewegungsprofilen so verh<strong>in</strong><strong>der</strong>t werden. Im vorliegenden<br />
E<strong>in</strong>satzszenario ist die Nutzung des Transpon<strong>der</strong>s nach dem Verkauf erfor<strong>der</strong>lich. Deshalb<br />
werden hier Schutzmaßnahmen angewendet, die die Zuordnung von möglicherweise unrechtmäßig<br />
erstellten Bewegungsprofilen zu den im Kundendatensystem des E<strong>in</strong>zelhändlers<br />
möglicherweise gespeicherten personenbezogenen Daten unterb<strong>in</strong>den.<br />
In <strong>der</strong> öffentlichen Diskussion werden häufig verschiedene Datenerfassungssysteme (z. B.<br />
Kamera, Kundendatensystem, RFID-Lesegeräte) <strong>in</strong> Abhängigkeit gestellt, die potenziell zur<br />
Generierung von Bewegungsprofilen führen könnten. Es verbleibt <strong>in</strong> <strong>der</strong> Tat auch nach Anwendung<br />
<strong>der</strong> Maßnahme MT11.1 e<strong>in</strong> Risiko, dass <strong>der</strong> E<strong>in</strong>zelhändler o<strong>der</strong> auch an<strong>der</strong>e, die<br />
über EPC-konforme Lesegeräte verfügen, Bewegungsprofile rechtswidrig anlegen und sich<br />
über zusätzliche Kanäle Informationen, die e<strong>in</strong>en Bezug des Profils des Transpon<strong>der</strong>s zu<br />
e<strong>in</strong>er Person herstellen können, besorgen. Beispielsweise könnte e<strong>in</strong> Bewegungsprofil e<strong>in</strong>es<br />
Transpon<strong>der</strong>s mit Bewegungsprofilen abgeglichen werden, die mithilfe e<strong>in</strong>er kameragestützten<br />
Überwachungsanlage mit Gesichtserkennung erstellt werden könnten. Der Personenbezug<br />
ließe sich dann unter Umständen mittels Befragungen an<strong>der</strong>er Personen, die zu dem<br />
aufgezeichneten Gesichtsbild befragt werden, herstellen.<br />
Potentielle Auswirkungen<br />
Zuordnung von unrechtmäßig erstellten Bewegungsprofilen zu Personen unter Nutzung systemfrem<strong>der</strong><br />
Informationen.<br />
Übersicht<br />
Potentiell betroffene<br />
Entitäten<br />
Potentiell betroffene<br />
<strong>Sicherheit</strong>sziele<br />
Bewertung<br />
Kunde Datenschutz Die Zuordnung von Bewegungsprofilen<br />
zu Personen unter Nutzung sys-<br />
174 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong>