Ziel dieses Artikels ist die Vermittlung von Verständnis der Technologien und Herausforderungen, die das Asset-Tracking mit RFID mit sich bringt. Die erste Frage betrifft die Art der zu verwendenden Transponder. Die in aktiven Tags eingebaute Energiequelle ermöglicht höhere Reichweiten, während das Lesegerät passive Tags mit Energie versorgt. Die in den Tags befindliche Batterie benötigt allerdings Pflege, was gerade bei vielen Tags in Arbeit ausartet und nach einiger Zeit oft nur noch lückenhaft stattfindet. Außerdem stellen Knopfzellen einen erheblichen Kostenfaktor dar und die damit einhergehende Umweltbelastung ist nicht zu verachten. Insbesondere aus TCO-Sicht sind passive Tags ihren aktiven Kollegen in Trackingszenarien so gut wie immer vorzuziehen.

Die nächste Frage betrifft die Kommunikationsfrequenz – Lesegerät und Tags müssen zur erfolgreichen Zusammenarbeit im selben Frequenzbereich funken. Kandidat Nummer eins sind Low-Frequency-Systeme, die mit einer Frequenz von zwischen 120 und 140 KHz arbeiten. Produkt- beziehungsweise Kartenfamilie Nummer zwei sind NFC-Karten: Sie arbeiten im Frequenzbereich von 13,56 MHz und erreichen Reichweiten im Bereich von rund 50 cm. Zu guter Letzt gibt es UHF-Systeme, die normalerweise im Frequenzbereich von 869 bis 915 MHz ansässig sind und eine sehr hohe Reichweite bieten.

Bei der Auswahl der Frequenz sind mehrere Faktoren zu berücksichtigen. Erstens ist es insbesondere in Unternehmen mit industriellem Hintergrund erforderlich, bei den Technikverantwortlichen anzufragen, welche Frequenzen andere Geräte nutzen. Unterbleibt dies, übertönen Störer die NFC-Kommunikation. Zweitens ist ein Mehr an Reichweite nicht immer von Vorteil. Lesegeräte melden sich beim Auftauchen eines Tags selbsttätig. Stehen beispielsweise zwei Busse mit Tags hoher Reichweite nebeneinander, so ist unklar, in welchem Vehikel das Gerät sitzt.

Die durch Medienberichte populär gewordenen AirTags sind übrigens ein komplett anderes System. Sie basieren nicht auf RFID-Technologie, sondern nutzen Bluetooth LE. Die Erfassung erfolgt durch iPhones in der Nähe, die die Tags erfassen und ihren Standort in die Cloud übertragen. Probleme sind erstens die hohen Kosten (rund 25 Euro pro Stück) und zweitens, dass das AirTag einen Akku mit eingeschränkter Lebensdauer verwendet.

Neben der Entscheidung für eine Arbeitsfrequenz ist es von Bedeutung, das korrekte Darbietungsformat zu wählen. Das Verwenden eines falschen Transponders führt im besten Fall zu Problemen mit der Reichweite; im schlimmsten Fall handeln Sie sich Sicherheitsprobleme ein. Am weitesten verbreitet ist der "Tag-Sticker". Er wird von seinem Anbieter normalerweise mit einer am Rücken befindlichen Klebefolie ausgeliefert und lässt sich auf das Objekt kleben. Bild 1 zeigt ein Beispiel – die Sticker sind sowohl in Fernost als auch in Europa von verschiedensten Anbietern erhältlich.

Insbesondere im Fall preiswerter Etiketten gilt, dass das Ankleben auf metallischen Oberflächen wie dem Gehäuse einer Workstation nicht sinnvoll ist. Es kommt zu frequenzbereichsabhängigen Abschwächungen, im schlimmsten Fall wird die Reichweite auf wenige Zentimeter reduziert. Ein gutes Beispiel sind RFID-Blocker, die in höherpreisigen Geldbörsen enthalten sind. Mittlerweile gibt es aber auch Etiketten, die sich auf einer robusteren Oberfläche anbringen lassen und beim Ankleben auf metallische Unterlagen unempfindlich reagieren.

Zu beachten ist, dass viele RFID-Tags bedruckbar sind. Anbieter von RFID-Chipkarten lassen sich dies gut bezahlen: Hier liegen die Margen gerne mal im Bereich mehrerer 100 Prozent. Insbesondere in größeren Unternehmen lohnt sich die Anschaffung eines eigenen Labeldruckers, der Karten mit Informationen wie beispielsweise dem Systemtyp bedruckt.

Im CNC-Bereich ist derweil der Industriestandard DIN/ISO 69873 von Bedeutung: Er spezifiziert tonnenförmige RFID-Chips, die intern mit einem Isolator ausgestattet sind. Der Vorteil dieser Architektur liegt darin, dass derartige Systeme einfach in metallischen Geräten unterkommen – es reicht aus, den Sensor in die (vorgefertigte) Nut zu platzieren. Leider treffen Administratoren diese Slots nur sehr selten an. Computerhersteller sind, anders als Anbieter von CNC-Werkzeugen, nicht auf RFID-Tracking vorbereitet.

Andererseits spricht – insbesondere bei Verfügbarkeit eines 3D-Druckers und etwas doppelseitigen Klebebands – nichts dagegen, ein Gehäuse zu fertigen und dieses (gut versteckt) in den Systemen unterzubringen. Eine derartige Vorgehensweise erschwert Angreifern das Entfernen der Tags und erstickt eine häufige Schwachstelle von RFID-Systemen quasi im Keim. Insbesondere beim Tracken von Workstations sind die in Bild 2 gezeigten Key Fobs hilfreich. Sie lassen sich per Kabelbinder im Gehäuse aufhängen und ermöglichen von außen nur schwer erkennbares Tracken der Geräte.

Neben technischen Faktoren spielt die Auswahl des zur Assetverwaltung vorgesehenen Programms eine wichtige Rolle bei den Überlegungen in Bezug RFID-basierter Systeme. Der wichtigste Hinweis ist, dass die Entscheidung für und wider RFID nur Teil der Gesamtentscheidung sein darf: Verwendet ein Unternehmen bereits ein Asset-Tracking-System, führt der Umstieg nur zwecks RFID meist nicht zu einer Erhöhung der Benutzerzufriedenheit. In einem Unternehmen mit Asset-Management-System sollte im ersten Schritt nachgefragt werden, ob der vorhandene Anbieter ein Interface für RFID-Technik verwendet und welche Kosten zu erwarten sind.

Ein zweiter Weg ist die Nutzung eines Handscanners, der die RFID-Tagdaten durch Emulation eines USB-HID-Geräts überträgt. Derartige Reader simulieren das Tippen auf der Tastatur – zum Einscannen müssen Anwender im ersten Schritt in die Eingabebox des jeweiligen Programms klicken und das Tag danach mit dem Leser berühren. Diese Vorgehensweise mag nicht uneingeschränkt komfortabel sein (Wechsel des Bediengeräts), funktioniert in der Praxis aber problemlos.

Im Allgemeinen gilt, dass die Anbieter ihren Kunden Hardware vorschreiben. Das Nutzen von Drittanbieter-Produkten ist wenig empfehlenswert, weil es sonst bei Problemen zum berühmten Verantwortungs-Pingpong kommt. Im Fall von EzOfficeInventory [1] beispielsweise handelt es sich um eine iPhone-Applikation, die zu einem Scanner Kontakt aufnimmt. Die "en bloq" erfassten Assets lassen sich gruppenweise verwalten und beispielsweise ein- oder umbuchen. Aus der Ausrichtung auf den US-Markt folgt, dass Unterstützung für Android als "Future Feature" bezeichnet wird und zum Zeitpunkt der Drucklegung nicht zur Verfügung steht. Dass das Anschaffen von iPhones und deren Wartung mit erheblichen Kosten einhergeht, dürfte kein Geheimnis sein.

WiseTrack [2] beschäftigt sich mit der Verwaltung von Werkzeugen oder den in Feuerwehrstützpunkten befindlichen Geräten. Hieraus folgt eine breite Herangehensweise – auf der Webseite wirbt das Unternehmen damit, Drittanbieter-RFID-Tags aktiv zu unterstützen und den Administrator so nicht zum Erwerb hauseigener Tags zu nötigen. Außerdem bietet das Unternehmen verschiedene RFID-Scanner mit sehr hohen Reichweiten an, um eine "permanente Ortsfixierung" von Assets zu ermöglichen. Die damit einhergehenden Probleme in Bezug auf BYOD und Home Office betrachten wir noch.

Vor einer endgültigen Entscheidung ist noch ein sorgfältiger Feldtest gefragt. Anhand des Verhaltens der Berater lässt sich feststellen, wie gut das System in die Unternehmenskultur passt. Achten Sie darauf, dass die Nutzung von Asset-Tracking eine tiefe Beziehung zum Anbieter erzeugt, weshalb Differenzen in Sachen Unternehmenskultur relevant sind und die Entscheidung nicht ausschließlich anhand technischer Parameter erfolgen sollte. Lästig ist außerdem, dass manche Anbieter nur Cloudsoftware offerieren, während der Betrieb vor Ort aus datenschutzrechtlicher Sicht vorteilhafter ist.

Wer die Festsetzung eines Ladendiebs durch ein RFID-System beobachtet hat, ist dazu motiviert, derartige Systeme zum Diebstahlschutz einzusetzen. Doch ist diese Vorgehensweise aus zwei Gründen wenig zielführend. Erstens sind Angreifer auf IT-Systeme ausgebildeter als ihre nach Parfüm, Kaffee und sonstiger Hehlerware suchenden Kollegen – das Vorhandensein technischer Kenntnisse seitens der Angreifer führt dazu, dass mit Abwehrmaßnahmen zu rechnen ist.

Spätestens mit der Coronavirus-Pandemie ist zudem das Phänomen BYOD beziehungsweise Home Office nicht zu vernachlässigen. RFID-Scanner lösen bei jedem Etikett aus, das in ihre Reichweite kommt. Wenn ein Entwickler sein Oszilloskop oder seine Workstation nach Hause mitnimmt, gibt es Kontakt mit der Werkssicherheit. In der Theorie bietet sich die Nutzung eines selbstgebauten "smarten Scanners" an, der Tag-Informationen vor der Auslösung eines Alarms mit einer Datenbank vergleicht und portable Produkte von der Erfassung ausnimmt.

RFID-Systeme sind über verschiedene Angriffsvektoren wie die Hardware oder die Funkschnittstelle verwundbar. Der häufigste Angriff auf einen Transponder ist dessen Zerstörung. Problematisch ist, dass dies von Seiten der Hersteller vorgesehen ist – schlecht geschultem Kassenpersonal wäre es nicht zuzumuten, jedes Etikett von Hand zu entfernen. Die elektronische Zerstörung ist in den Industrienormen ISO/IEC 14443 und ISO/IEC 15693 spezifiziert. Sie basiert darauf, dass ein starkes Feld den für die Stromversorgung vorgesehenen Regler – vereinfacht ausgedrückt – durch Überlastung grillt. Der RFID-Transponder ist danach nicht in der Lage, Energie vom Lesegerät aufzunehmen und verstummt. Aufgrund diverser Industrienormen gilt, dass andere elektronische Komponenten wie Computer und Co. den spezifizierten Feldstärken problemlos widerstehen.

Das zweite Problem betrifft das Klonen von RFID-Tags. Stupide ROM-Tags, die auf Anfragen des Lesegeräts mit einer (programmierten) Seriennummer reagieren, lassen sich leicht nachbilden. Bei der Nutzung eines mehrfach beschreibbaren Tags gilt, dass der Angreifer die im Tag befindlichen Informationen direkt verändern darf. Eine Gegenmaßnahme ist die Nutzung intelligenter Transponder, die eingehende oder ausgehende Informationen in einem Challenge-Response-Verfahren kryptographisch signieren.

Dies erschwert Angriffe auf das Transpondersystem, andererseits geht das Deployment mit einer wesentlichen Steigerung der Kosten für Tags und Lesegeräte einher. Daraus folgt, dass der Grad an Resilienzmaßnahmen vom Einsatzzweck des RFID-Systems abhängt. Wer seine Etiketten zum Auflisten der in einem Raum befindlichen Server verwendet, sollte im Interesse geringerer Kosten und einfacher Systemverwaltung nicht auf kryptographische Tricksereien zurückgreifen.

Diesem Trend trägt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Rechnung. Es gibt eine unter [3] beheimatete Normenfamilie heraus, die auf unterschiedliche Situationen optimierte Sicherheitskriterien umfasst. Zu guter Letzt sei erwähnt, dass RFID-Systeme mitunter Tracking-Informationen generieren, die gemäß DSGVO oder personalrechtlicher Vereinbarungen (Stichwort Überwachung) problematisch sind. In Großunternehmen ist es Administratoren unbedingt angeraten, vor dem Deployment mit der Rechtsabteilung Rücksprache zu halten.

Beim Ausrollen eines RFID-basierten Asset-Tracking-System gilt es, die Besonderheiten der eigenen Umgebung zu berücksichtigen. Die Entscheidung für und wider RFID darf nie nur anhand technischer Parameter erfolgen. Der Willen seitens der Mitarbeiter und des Managements, die Nutzung von RFID-Tags mitzutragen, ist für ein erfolgreiches Deployment von grundlegender Bedeutung. Schon aus Platzgründen gewährt dieser Artikel keine Komplettdarstellung der Technologie. Das beim Hanser-Verlag seit 25 Jahren aufgelegte RFID-Handbuch von Klaus Finkenzellner ist idealer Begleiter für Personen mit Elektronikvorwissen.