RFID - Chips auf Mitarbeiterausweisen

Sogenannte RFID-Chips werden im Zusammenhang mit Zugangskontrollen und Zeiterfassungsystemen eingesetzt: Der Chip wird auf dem Mitarbeiterausweis im Scheckkartenformat integriert und ermöglicht damit zum Beispiel berührungsfreie Anmeldungen oder Abmeldungen am Erfassungsterminal. Wir werfen einen kurzen Blick auf die kritischen Punkte aus Mitarbeitersicht.

a. Das Schlagwort :

RFID ist die Abkürzung für Radio Frequency Identification. Mithilfe von speziellen RFID-Chips können Informationen und Daten kontaktlos zu Lesegeräten gesendet werden. Eingesetzt werden RFID-Chips erstmals in den 90er Jahren, aber erst seit wenigen Jahren stehen kostengünstige Herstellungsverfahren zur Verfügung, die die Verwendung von RFID-Chips massentauglich machen. Jeder produzierte RFID-Chip verfügt dabei über eine weltweit eindeutige Identifikationsnummer.

RFID-Chips können im Prinzip überall dort eingesetzt werden, wo die Identifikationen erfolgen sollen. Pilotversuche laufen unter anderem bei den großen Einzelhandelsketten: RFID-Chips werden als Etiketten an den Waren angebracht. Etikettierte Ware im Einkaufswagen sendet ihren Preis automatisch an die Kasse oder es kann überwacht werden, dass Produkte in die Regale nachgefüllt werden sollen. - Die Anwendungsmöglichkeiten sind vielfältig. Der Einsatz der Technologie ist sehr umstritten, da das Mißbrauchspotenzial schwer abschätzbar ist. So ist es möglich, dass RFID-ettikettierte Jeans nicht nur beim Einkauf, sondern - sofern sie nicht sicher zerstört werden - auch danach noch Informationen senden, ohne dass der Käufer dies weiß oder überprüfen kann. (Eine umfangreiche Zusammenfassung der Probleme im Alltag der Konsumenten finden Sie bei Foebud e.V.)

b. Einsatz bei Mitarbeiterausweisen - Technischer Background:

Es gibt verschiedene Typen von RFID-Chips - wichtigstes Unterscheidungsmerkmal ist, ob der Chip über eine eigene Stromversorgung verfügt (aktiver Chip) oder nicht (passiver Chip). Beim Einsatz zur Mitarbeiteridentifikation werden passive Chips eingesetzt. Diese Chips senden nur dann Signale, wenn sie in Reichweite eines Lesegeräts geraten. Das technische Verfahren heißt Induktion, hat mit Magnetismus zu tun und kommt jedem, der in Physik früher nicht aufgepasst hat, wie Zauberei vor. ;o)

c. Reichweite:

Aktive Chips haben große Reichweiten bis zu mehreren 100 Metern und werden z.B. für die Mauterfassung eingesetzt.

Aber auch die Reichweiten auf passiven RFID-Chips sind für verschiedene Zwecke unterschiedlich ausgelegt:
- geringe Reichweite im cm-Bereich, z.B. für Banking-Anwendungen
- Reichweiten bis zu 1 Meter im Bereich Warenscanner
- technische Grenze scheinen zur Zeit 5-8m zu sein

Einfluss auf die Reichweite haben:
- Übertragungsfrequenzbereich
- Antennen-"Größe" auf dem RFID-Chip
- Lesegerät

Für die Identifikation der Mitarbeiter an Zeiterfassungsterminals ist eine nur geringe Reichweite erforderlich. Karten und Lesegeräte sind in der Regel darauf abgestimmt.

d. Unerlaubtes Auslesen

Die Karten senden Daten selbstständig, sobald sie in die Nähe eines Lesegerätes geraten. Problematisch ist, dass dies dem Nutzer nicht signalisiert wird. Er kann die Sendefunktion auch nicht abschalten ohne den Chip zu beschädigen. Die Standorte von Lesegeräten in den Unternehmen sollten den Mitarbeitern deshalb bekannt sein, bei einer entsprechenden Lesegerätdichte könnte das Unternehmen Bewegungsprofile seiner Beschäftigten ermitteln.

Denkbar ist weiterhin, dass die Karten auch dann sendeaktiv werden, wenn sie in die Nähe von unternehmensfremden Lesegeräten geraten, z.B. an der Tankstelle nebenan. Ob der Chip Informationen in diesen Fällen versendet und wenn ja, ob in unverschlüsselter Form, das hängt von der Bauart des Chips ab: Es gibt Chips, die überprüfen, ob das Lesegerät Informationen anfordern darf. Und es gibt Chips, die Informationen auch dann nur verschlüsselt übermitteln.

Freilich: Selbst wenn Informationen unverschlüsselt an Fremdgeräte versendet werden würden, würde ein Schnüffler i.d.R. als einzige Information die Kartensystemnummer erhalten, denn Personalnummer oder Mitarbeitername werden - in allen uns bekannten Fällen - nie direkt auf dem Chip gespeichert - die Zuordnung der Kartensystemnummer zu Mitarbeitern erfolgt beim Unternehmen mit Hilfe von Softwaresystemen, an die ein Aussenstehender nicht heran kommt.

e. Fazit

Neben den grundsätzlichen Regelungsfragen beim Einsatz von Zeiterfassungs- und Zugangskontrollsystemen, sollten Betriebs- oder Personalräte die Sendereichweite der RFID-Chips klären und dafür sorgen, dass Zahl der Standorte der Lesegeräte übersichtlich bleibt und die Beschäftigten nicht unbemerkt "durchleuchtet" werden. Zu klären ist außerdem, dass die Daten vom Chip nur an authentifizierte Lesegeräte übermittelt werden und der Datentransfer möglichst verschlüsselt stattfindet.

Quellenhinweise:
Wikipedia, Foebud eV