VeriSign und das EPC Network

Da hat sich ja VeriSign wieder einen dicken Fisch ins Boot geholt. Von der EPCglobal Organisation wurde VeriSign ausgewählt, um das Wurzelverzeichnis und die Rootserver des kommenden Object Name Service (ONS) des Electronic Product Code Netzwerkes (EPCnetwork) zu stellen [siehe RFID-Journal: VeriSign to Run EPC Directory]. Laut VeriSign steht die nötige Infrastruktur bereits an sechs Stellen. EPCglobal ist der Nachfolger des Auto-ID Centers des Massachusetts Institute of Technology (M.I.T.) - das auch den EPC und ONS Standard entworfen hatte - und entwickelt die Standards für eine auf RFID basierte, globale Infrastruktur zur Identifikation von Produkten. Und das funktioniert so:

Am Herstellungsort wird jedes Produkt mit dem Electronic Product Code (EPC) versehen, der ähnlich wie früher die Barcodes Informationen zum Hersteller, zum Produkt, der Seriennummer enthält. Zusätzlich können Informationen gespeichert werden, die einzigartig für jeden Artikel sind. Dieser EPC wird in RFID-Chips oder RFIF-SmartLabels gespeichert und während des Herstellungsprozesses im oder am Produkt angebracht und kann dann später an jedem Punkt der Distributionskette von RFID-Lesegeräten (Handscanner, Scanstationen, Scan-Gates) wieder ausgelesen werden - beim Transportunternehmen, bei den Groß- und Zwischenhändlern, in den Lagern, im Geschäftsraum, an der Kasse, am Kunden. Der EPC ist wiederum mit einem Datensatz innerhalb der Datenbanken des Object Name Services (ONS), also eines "Objektverzeichnisses" verbunden, in dem weitere Eigenschaften und Informationen zum Produkt mit der eigens entwickelten Sprache der Physical Markup Language (PML), die auf der Extensible Markup Language (XML) beruht, beschrieben und gespeichert wurden. Die Unternehmen haben ihrerseits eigene ONS-Server, die über das internetbasierte EPC Netzwerk mit den ONS-Rootservern von VeriSign verbunden sind und können darüber und mit Hilfe von Managementapplikationen zur Abfrage und Organisation der Daten z. B. aus dem EPC Netzwerk jederzeit abfragen, wo sich welches Produkt gerade befindet oder ob ein bestimmtes Produkt existiert - weltweit.

Interessant wird die Sache, wenn Kunden mit Kundekarten oder Kreditkarten (mit denen man am besten auch per RFID bargeldlos bezahlt) diese Produkte kaufen und der EPC zusammen mit Informationen des Kunden im ONS, aber auch bei der Bank des Kunden abgespeichert würde, wodurch sich jedes Produkt einem Kunden zuordnen ließe, bzw. in einer Datenbank für einen Kunden alle Datensätze der Produkte befinden würde, die er jemals erstanden hat. Werden die RFID-Chips/-Smartlabels in den Waren nach dem Kauf nicht zerstört oder deaktiviert und so angebracht, dass sie ohne weiteres nicht entfernt werden können, könnte der EPC in den Waren, die der Käufer bei sich trägt, beim nächsten Einkauf im nächsten Geschäft wieder von den RFID-Scannern ausgelesen und die Daten in das EPC Netzwerk übermittelt, bzw. im ONS aktualisiert oder über das ONS mit anderen Daten verglichen werden.
D. h. Hersteller, Händler und Banken hätten zu jeder Zeit die vollen Informationen über die Kaufinteressen zur Verfügung.
Das sich auch Sicherheits- und Geheimdienstbehörden für das Konsumverhalten einzelner Personen interessieren, zeigt z. B. die Telepolis Story Umgebucht, in der die Geschichte einer Deutschen erzählt wird, der die Einreise in die USA verweigert wurde, weil sie sich bei Amazon das falsche Buch gekauft hatte und die Infoseite der amerikanischen Bürgerrechtsorganisation ACLU, die erklärt, wie das FBI aufgrund des Patriot Act und des Foreign Intelligence Surveillance Act die Daten zu Buchverkäufen und Buchausleihen in Buchhandlungen und Büchereien Artikel in die Hände bekommt.
Ein wenig Spekulation: Über geographische Standortdaten im ONS und den "Wiedererkennungseffekt" beim erneuten Einkauf wäre sogar jederzeit die geographische Bestimmung des Käufers möglich, d. h. über das EPCnetwork bekäme man auch gleichzeitig eine Personen-Tracking Infrastruktur geliefert.

Und das soll alles zentral von VeriSign verwaltet werden. Einem Unternehmen, dass auch schon mal eigenmächtige Manipulationen am Domain Name Service vornimmt oder in Schwierigkeiten gerät, wenn Zertifikate ablaufen? Als wäre das Überwachungspotential, das im EPCnetwork/ONS steckt, nicht schon schlimm genug.