Sicherheit
Sicherheitsmängel bei Karten mit RFID-Chips
von
Thorsten
Eggeling - 03.01.2013
Karten mit RFID-Technik werden an Universitäten oft als bargeldloses Bezahlsystem und als elektronische Schlüssel eingesetzt. Jüngste Forschungen zeigen jedoch schwere Sicherheitsmängel in den Funkkarten auf.
Bundesweit nutzen Studierende und Mitarbeiter von Universitäten kontaktlose Hochschulkarten mit RFID-Technik. Die multifunktionalen Karten dienen als kontaktloses Zahlungsmittel in den Mensen und Cafeterien und auch in Geschäften, die dieses Funkbezahlsystem akzeptieren. Dabei werden Beträge bis etwa 25 Euro von einem vorher einbezahlten Guthaben abgebucht. Außerdem eignen sich die Funkkarten als Bibliotheksausweis, als elektronische Schlüssel für Schließfächer und als bargeldloses Zahlungsmittel an Kopiersystemen.
Die Vorteile dieser Karten liegen auf der Hand. Allerdings stehen gerade die Mifare-Classic-Karten, die auch häufig an deutschen Universitäten eingesetzt werden, seit Jahren im Verruf. Bereits 2008 war es einem Forscherteam um Nicolas T. Courtois vom University College London gelungen, aus abgefangenen, verschlüsselten Daten den geheimen Schlüssel des Chips binnen Sekunden zu errechnen.
Jahre später hat Jan Hoersch gemeinsam mit dem Bürgerrechtsverein Digitalcourage (vormals Foebud) die sogenannten Studikarten, die an deutschen Universitäten verwendet werden, ebenfalls auf ihre Sicherheit getestet. Auf dem 29. Hackerkongress des Chaos Computer Clubs in Hamburg präsentierten die Forscher die ernüchternden Ergebnisse der Studien. Demnach weisen hochgerechnet 70 bis 80 Prozent der Karten mit RFID-Technik immer noch gravierende Sicherheitsmängel auf. Dabei unterscheiden sich die vier Versionen der Mifare-Karten nur in Kleinigkeiten. Allen gemein ist die Tatsache, dass sie mit einfachen Mitteln "geklont" werden können. Wer im Besitz einer gefälschten Karte ist, kann damit auf Kosten des Eigentümers einkaufen, Informationen wie die Matrikel-Nummer auslesen und sogar herausfinden, zu welchen Schließfächern die Original-Karte Zugriff hat.
Basis der Studie waren die Informationen von 115 der 375 deutschen Universitäten. Zwar kommen an vielen Universitäten auch die grundsätzlich sichereren DESfire-Karten zum Einsatz - jedoch aus Kostengründen ohne die 3DES-Option. Damit sind diese Karten ebenso angreifbar.
Angesichts der gravierenden Sicherheitslücken erstaunt die Reaktion einiger Universitäten. Einige Universitäten wollen nicht etwa die Sicherheitsprobleme durch sichere aber teure DESfire-Karten beseitigen, sondern drohen vielmehr, die Erforschung daran strafrechtlich ahnden zu lassen. Will heißen: Wer zu Forschungszwecken Experimente an den Karten-Systemen durchführt, dem drohen die Universitäten künftig mit dem Staatsanwalt.
