Sicherheitssysteme im Umfeld von NFC: Wie kann NFC als Gesamtsystem sicherer gestaltet werden?

Bachelor Studiengang IT Security

Stefan Payer, BSc

Betreuer: FH-Prof. Univ.-Doz. Dipl.-Ing. Dr. Ernst Piller

Ausgangslage

Der Trend der letzten Jahre zeigt, dass NFC (Near Field Communication) aufgrund des flächendeckenden Einsatzes bei Smartphones ein immer häufiger genutztes Instrument für den kontaktlosen Datentransfer ist. NFC wird im Zahlungsverkehr unter anderem als elektronisches Ticket, Zutrittssystem oder Übertragungsmedium genutzt. Der Sicherheitsaspekt im Umgang mit NFC wurde wegen der geringen Kommunikationsdistanz lange in den Hintergrund gerückt. Da auch der Business-Sektor NFC beispielsweise für die Speicherung von sensiblen Daten oder für den Firmenzutritt zunehmend nutzt, tritt die Thematik der Sicherheit vermehrt in den Vordergrund. NFC stellt für eine sichere Kommunikation und Speicherung einen Baustein namens Secure Element zur Verfügung. Mit diesem soll es möglich sein, eine sichere Anwendung zu erstellen.

Ziel

Das Ziel der Arbeit ist es, die Wichtigkeit von IT Security bei der Verwendung von NFC darzulegen. Anhand von Beispielen soll die Forschungsfrage, welche Möglichkeiten es für eine sicherere Gestaltung von NFC als Gesamtsystem gibt, beantwortet werden. Dabei sollen zum einen Systeme mit dem Secure Element erläutert als auch Systeme beschrieben werden, die NFC als Teil einer Sicherheitsumgebung beinhalten und verwenden.

Ergebnis

Im Zuge dieser Arbeit konnte dargelegt werden, welche Sicherheitslücken NFC aufweist und wie diese ausgenutzt und behoben werden können. Aufgrund dieser Sicherheitslücken wird in einem Anforderungskatalog definiert, welche Kriterien ein NFC-Sicherheitssystem erfüllen soll. Anhand dieser Kriterien werden Systeme vorgestellt, deren Überlegungen zunächst theoretischer Natur sind. Es werden allerdings auch Systeme beschrieben, die bereits kommerziell als Sicherheitslösungen vertrieben werden. Den bereitgestellten Sicherheitsbaustein, das Secure Element, zu nutzen, ist für unabhängige SoftwareentwicklerInnen eine große Hürde. Theoretisch ist die Nutzung möglich, allerdings unterliegt sie in der Praxis sehr vielen Rahmenbedingungen, die aus aktueller Sicht die Umsetzung schwierig gestalten.

Ausblick

Für die Zukunft ist interessant, wie und ob sich der Zugriff auf das Secure Element ändert. Wird ein standardisierter Zugriff zur Verfügung gestellt und von den Herstellerfirmen unterstützt, so kann das Secure Element als Sicherheitsbaustein flächendeckend eingesetzt werden.