Uni Hannover. 13.30 Uhr. Die meisten Studierenden, die in die Hauptmensa kommen, bezahlen ihr Essen mit der "MensaKarte". Bis zu 75 Euro kann der Chip speichern. Dass solche Beträge völlig unbemerkt - berührungslos und auf Distanz zum Beispiel in der Kassenschlange - ausspioniert werden können, ist für viele Studierenden neu.
"Nein, schon eher gruselig.
Also schön ist die Vorstellung nicht, das stimmt schon. Ansonsten bar zahlen!
Ich habe eh' nicht genug Geld. Insofern habe ich nichts zu verstecken. "
Die schnelle und reibungslose Auslesetechnik ist ein großer Vorteil des Bezahlkartensystems mit RFID-Chips. Hervorragend geeignet für Situationen wie zum Beispiel in einer Mensa, wenn alles schnell gehen muss. Bezahlt wird in Bruchteilen von Sekunden. Lange Warteschlangen gibt es nicht mehr. Doch die neue Technologie birgt auch Risiken, so Christiane Rütten von der Computerzeitschrift c't.
"Also die häufigste Angriffsmöglichkeit ist das Klonen von diesen Karten. Also dass man ein einfache Kopie davon erstellt. Das kann sehr schnell passieren, also zum Beispiel indem man nahe an die Person vor mir in der Mensa heranrückt, um dann mit einem Lesegerät die Karte zu kopieren. Moderne Lesegeräte mit einer modernen Antennenkonstruktion sind da in der Lage aus bis zu einem Meter Entfernung die Übertragung zwischen einem Lesegerät und einem Chip abzuhören."
Vorausgesetzt allerdings, dass der Code für die Entschlüsselung der gespeicherten Daten geknackt ist. Genau das ist allerdings jetzt passiert. Mitglieder des Chaos Computer Club in Berlin und Wissenschaftler der University of Virginia ist es gelungen, mit geringem Aufwand den Verschlüsselungsalgorithmus aus den Mikrochips des meist verwendeten Systems, der Mifare-Classic-Karten zu extrahieren. Ist der Algorithmus erst einmal bekannt, können alle anderen Karten aus der Ferne ausspioniert und kopiert werden.
" Mit diesen geklonten Karten ist es dann zum Beispiel möglich, dass fremde Leute auf meine Kosten oder auf Kosten des Anbieters Bahn fahren oder in der Mensa halt essen gehen."
Da heißt es für die Studierenden: Aufpassen! Viele Universitäten und Fachhochschulen in Deutschland geben mittlerweile Studentenausweise auf der Basis von Mifare-Classic-Karten heraus. 25.000 Mensakarten hat allein das Studentenwerk Hannover im Umlauf, sagt Burghardt Dierker-Ochs.
"Bisher sind uns Manipulationen nicht bekannt geworden. Wir haben gewisse Revisionsmöglichkeiten, die wir auch ständig einsetzen, so dass wir feststellen können, wenn es Fremdaufwertungen auf unseren Karten gegeben hat. Das können wir aus dem System auslesen. Und wir haben dann die Möglichkeit, diese MensaCard zu sperren. Also dass derjenige, der sie widrig eingesetzt hat, dann letztendlich sie nicht mehr verwenden kann. "
Auf ein neues Kartensystem will das Studentenwerk vorerst nicht umsteigen. Denn noch gibt es keine Meldungen über einen Missbrauch dieser Karten. Ein Wechsel des Systems wäre zudem sehr teuer. Mit den Karten müssten nämlich auch sämtliche Lesegeräte ausgewechselt werden. Und das ginge in die Hunderttausende. Die Technik wird also bleiben, zu viele Karten sind schon im Umlauf. Was also tun? Noch einmal Christiane Rütten:
"Da gibt es zum Beispiel spezielle Geldbörsen, die mit einer Metallbeschichtung versehen sind, so dass da keine elektromagnetischen Wellen in das Portemonnaie eindringen können. Ansonsten liegt die Verantwortung aber ganz klar bei den Ausgabestellen dieser Karten, die ein sicheres System umsetzen müssen oder zum Beispiel durch eine doppelte Buchführung das System vor Missbrauch schützen würden, so wie sie es schützen würden, als würde es gar keine Verschlüsselung geben. "
"Nein, schon eher gruselig.
Also schön ist die Vorstellung nicht, das stimmt schon. Ansonsten bar zahlen!
Ich habe eh' nicht genug Geld. Insofern habe ich nichts zu verstecken. "
Die schnelle und reibungslose Auslesetechnik ist ein großer Vorteil des Bezahlkartensystems mit RFID-Chips. Hervorragend geeignet für Situationen wie zum Beispiel in einer Mensa, wenn alles schnell gehen muss. Bezahlt wird in Bruchteilen von Sekunden. Lange Warteschlangen gibt es nicht mehr. Doch die neue Technologie birgt auch Risiken, so Christiane Rütten von der Computerzeitschrift c't.
"Also die häufigste Angriffsmöglichkeit ist das Klonen von diesen Karten. Also dass man ein einfache Kopie davon erstellt. Das kann sehr schnell passieren, also zum Beispiel indem man nahe an die Person vor mir in der Mensa heranrückt, um dann mit einem Lesegerät die Karte zu kopieren. Moderne Lesegeräte mit einer modernen Antennenkonstruktion sind da in der Lage aus bis zu einem Meter Entfernung die Übertragung zwischen einem Lesegerät und einem Chip abzuhören."
Vorausgesetzt allerdings, dass der Code für die Entschlüsselung der gespeicherten Daten geknackt ist. Genau das ist allerdings jetzt passiert. Mitglieder des Chaos Computer Club in Berlin und Wissenschaftler der University of Virginia ist es gelungen, mit geringem Aufwand den Verschlüsselungsalgorithmus aus den Mikrochips des meist verwendeten Systems, der Mifare-Classic-Karten zu extrahieren. Ist der Algorithmus erst einmal bekannt, können alle anderen Karten aus der Ferne ausspioniert und kopiert werden.
" Mit diesen geklonten Karten ist es dann zum Beispiel möglich, dass fremde Leute auf meine Kosten oder auf Kosten des Anbieters Bahn fahren oder in der Mensa halt essen gehen."
Da heißt es für die Studierenden: Aufpassen! Viele Universitäten und Fachhochschulen in Deutschland geben mittlerweile Studentenausweise auf der Basis von Mifare-Classic-Karten heraus. 25.000 Mensakarten hat allein das Studentenwerk Hannover im Umlauf, sagt Burghardt Dierker-Ochs.
"Bisher sind uns Manipulationen nicht bekannt geworden. Wir haben gewisse Revisionsmöglichkeiten, die wir auch ständig einsetzen, so dass wir feststellen können, wenn es Fremdaufwertungen auf unseren Karten gegeben hat. Das können wir aus dem System auslesen. Und wir haben dann die Möglichkeit, diese MensaCard zu sperren. Also dass derjenige, der sie widrig eingesetzt hat, dann letztendlich sie nicht mehr verwenden kann. "
Auf ein neues Kartensystem will das Studentenwerk vorerst nicht umsteigen. Denn noch gibt es keine Meldungen über einen Missbrauch dieser Karten. Ein Wechsel des Systems wäre zudem sehr teuer. Mit den Karten müssten nämlich auch sämtliche Lesegeräte ausgewechselt werden. Und das ginge in die Hunderttausende. Die Technik wird also bleiben, zu viele Karten sind schon im Umlauf. Was also tun? Noch einmal Christiane Rütten:
"Da gibt es zum Beispiel spezielle Geldbörsen, die mit einer Metallbeschichtung versehen sind, so dass da keine elektromagnetischen Wellen in das Portemonnaie eindringen können. Ansonsten liegt die Verantwortung aber ganz klar bei den Ausgabestellen dieser Karten, die ein sicheres System umsetzen müssen oder zum Beispiel durch eine doppelte Buchführung das System vor Missbrauch schützen würden, so wie sie es schützen würden, als würde es gar keine Verschlüsselung geben. "