Betrug : Mensakarten weisen erhebliche Sicherheitsmängel auf

Die Bezahlkarten eines deutschen Herstellers sind leicht zu manipulieren, sagt ein IT-Experte. Eine Million davon sind im Umlauf, alle mit demselben Sicherheitsschlüssel.

Mensakarten vieler deutscher Unis sind leicht manipulierbar. Das zeigte der IT-Forscher Timo Kasper jüngst auf einem Treffen des Chaos Computer Clubs. Wer Schaden anrichten wolle und über das nötige Fachwissen verfüge, könne dem Experten zufolge problemlos Geld abbuchen.

Kasper hatte an der Ruhr-Universität Bochum die "Mensacard" des Herstellers Intercard untersucht, mit der Studenten und Mitarbeiter das Mensaessen bezahlen und Türen öffnen können. Probleme entdeckte er beim Sicherheitsschlüssel: Statt wie üblich zu variieren, ist die Kombination auf allen Karten dieselbe.

Kasper zufolge handelt es sich nicht allein um ein Bochumer Phänomen: "Mir ist bekannt, dass Intercard auch bei anderen Universitäten, die es mit Karten ausstattet, nur einen einzigen Sicherheitsschlüssel für alle Karten vergeben hat." Nach eigenen Angaben hat die Firma mit mehr als 130 Hochschulen in Deutschland Verträge geschlossen und über eine Million Studierendenausweise und Mensakarten in Umlauf gebracht.

Für seine Untersuchungen lud Kasper die Karten mittels eines gehackten Lesegeräts mit Geld auf – ohne tatsächlich etwas eingezahlt zu haben. Dann ging er in der Bochumer Mensa einkaufen. Die Kassenzettel bewahrte er auf, um die Sicherheitsmängel zu dokumentieren. "Die simple Sicherheitstechnologie auf den Karten ist eine Einladung zum Betrug", sagt Kasper.

Auf Nachfrage von ZEIT ONLINE sagte Intercard-Vorstand Gerson Riesle, die Verwendung eines einzigen Sicherheitsschlüssels habe technische Gründe. "Als wir die Karten in den 1990er Jahren eingeführt haben, mussten wir darauf Anwendungen von verschiedenen Firmen unter einen Hut bringen." Die Programmierung von zufälligen Sicherheitsschlüsseln wäre dafür zu anspruchsvoll gewesen. Außerdem habe der eingesetzte Chip MiFare Classic bereits als sicher genug gegolten.

Das Studentenwerk reagiert gelassen

Auf dem finanziellen Schaden eines Hacks würde die Universität sitzen bleiben. Auch für Studenten können die Sicherheitslücken ein Risiko sein: Hacker könnten ebenso bereits eingezahltes Geld verschwinden lassen. Zudem dienen die Karten an manchen Universitäten als Schlüssel. Weil sich die Karten leicht klonen lassen, könnten Kriminelle in Universitätsräume und Studentenwohnheime einbrechen.

Das Studentenwerk der Ruhr-Universität Bochum, das die Studenten mit den Karten ausstattet, reagiert gelassen: "Für Hacker mag es möglich sein, die Karten zu manipulieren. Weil das aber technisch sehr aufwändig ist, halten wir die Gefahr für gering", sagte ein Sprecher ZEIT ONLINE. Darüber hinaus sei der Betrug nicht lukrativ, da die Karten sich nur mit bis zu 150 Euro aufladen ließen und die Kontostände überwacht würden. "Wenn jemand dauernd hohe Beträge abheben würde, wäre das auffällig."

Trotzdem plant die Ruhr-Universität Bochum, die Karten gegen sicherere Exemplare auszutauschen. Denn schon seit 2008 ist bekannt, dass der eingesetzte Chip MiFare Classic des niederländischen Herstellers NXP geknackt werden kann. Jedoch wusste die Universität nicht, dass Intercard darüber hinaus einen einheitlichen Sicherheitsschlüssel programmiert hatte.

Der Artikel wurde im Nachhinein um eine Stellungnahme der Firma Intercard ergänzt.

Anzeige

Schlau durch das Studium.

Lernen Sie jetzt DIE ZEIT und ZEIT Campus im digitalen Studentenabo kennen.

Hier sichern

Kommentare

22 Kommentare Seite 1 von 3 Kommentieren

Warum solche Karten?

Vor der Zeit der Karten war die Zeit des Barverkaufs.

Mit genügend Kleingeld versehen durfte man an der Kasse anstehen, und zwar, je nachdem zu welcher Uhrzeit, bis das Essen fast kalt war.
Das war auch ein sehr sicheres Verfahren. (Obwohl: Vielleicht haben manche Kriminelle mit Falschgeld bezahlt?)

Durch die Kartenzahlung ging die Abwicklung schneller, weil auf beiden Seiten keine Münzen mehr abgezählt werden mussten.
Einen zusätzlichen Sinn habe ich in der Einführung der Karten nie gesehen.

Wer meint auf diese Karten mehr Geld aufladen zu müssen als für die nächsten zwei oder drei Tage, hat vermutlich sowieso zu viel davon.

Unterschiedliche Stückelung verändert das Risiko

deshalb ziehe ich persönlich es vor, nicht meinen gesamten Monatslohn und das bisher ersparte in der Hosentasche mit mir herum zu tragen, sondern lieber öfter zum Bankautomaten zu gehen.
Für die Mensakarte gilt sinngemäß dasselbe. Ich hatte z.B. immer Sorge, die Karte könnte eines Tages schlichtweg nicht mehr lesbar sein. Kriege ich in so einem Fall mein Geld zurück?

zu @Tohain:
Ich wäre nie auf die Idee gekommen, ich könnte alle Mahlzeiten des Tages außer Hauses einnehmen. Es scheint mir auch jetzt nicht die kostengünstigste Alternative zu sein.
Aber wenn das Geld bis zum Ende des Monats trotzdem reicht: Warum eigentlich nicht?

Damit die Karte manipuliert werden kann, müsste ich sie erst mal aus der Hand geben. Da lohnt es sich natürlich, sie nur an vertrauenswürdige Personen zu verleihen.

Umfassende Sicherheitsvorkehrungen unverzichtbar

Ok, große Beträge bedeuten größeres Risiko, da haben Sie recht. Das ist ein Nachteil an Prepaid-Lösungen. Umso mehr Grund, die Karten möglichst sicher zu machen, gerade wenn die teilweise auch als Schlüssel für Institute und Wohnheime dienen.

Was das Verleihen angeht: Darf man das überhaupt? Egal, manchmal verliert man Karten auch, oder sie werden gestohlen. Und dann habe ich nichts von der Vertrauenswürdigkeit meiner Bekannten, dann kriegt u.U. ein Spezialist meine Karte in die Finger, der Kopien macht und allerlei Unfug damit treibt. Da würde ich mir wieder wünschen, dass die Karte so sicher wie möglich gestaltet ist, weil das die Chance erhöht, dass sie nicht geknackt wird.

Ging die Frage an mich?

"Schließen Sie Ihre Haustür ab?"

Die Haustür ja. Das fordert die Versicherung. Das Garagentor nie.

Aber wenn Sie unbedingt in krimineller Absicht hinein wollten, würden Sie vermutlich ohnehin die Wege durch das Kellerfenster (nicht abschließbar) oder über die Terasse (nicht gesichertes Glasfenster mit Kunststoffrahmen in 10 bis 15s geknackt, wie schon öfter im Fernsehen gezeigt) vorziehen.

Und für den Fall, dass die Kinder mal wieder ihre Schlüssel vergessen haben, befindet sich auf dem Grundstück noch ein Ersatz.
Sie müssen also nur die Kinder beobachten. Dann wissen Sie auch, wo er ist.

War das ausführlich genug? Oder wollen Sie jetzt noch wissen, wo ich wohne?

manchmal unvermeidbar

Es ist nicht mein primäres Ziel alle Mahlzeiten in der Uni einzunehmen, aber manchmal gehts leider nicht anders. Wenn morgens um 0900 die Uni los geht (was im Vergleich zu anderen Fächern schon spät ist) und man weiß, dass man einen 10-16 std. Tag vor sich hat und morgens beim schnellen Verlassen des Hauses feststellt, dass das Brot leider verschimmelt ist, oder man Tags zuvor nicht zum einkaufen kam gibts ja fast keine andere Möglichkeit. Extra wieder nachhause fahren, zu kochen, essen, abwaschen kostet gut und gerne 2std an Zeit und ist daher wiederum unpraktikabel weshalb man dann in Kauf nimmt in der Mensa im Schnitt mehr auszugeben, statt selbst zu kochen. Es bleibt also die Rechnung: Kochen=erhöhter Zeitfaktor, Mensa=erhöhter Kostenfaktor. Man kann dann immer ausrechnen, wovon man gerade mehr hat und sich dementsprechend entscheiden.

Was das Aufladen der Karte angeht, so kann man das bei uns mit Bargeld (Scheinen) oder der EC Karte machen. Bei der EC Karte muss man jedoch einen Mindestwert von 20€ aufladen.
Ich versuche zwar das von Herrn Wendlandt beschriebe Aufladen in kleinen Etappen, das ist aber leider nicht immer möglich, wenn man z.B. kein Bargeld dabei hat - vor Allem, seit der einzige Bankautomat der Cashgroup in der Innenstadt abgerissen wurde und man jetzt 15 min bis zum nächsten Automaten laufen kann oder bei dem Automaten einer anderen Bank 5€ Gebührt zahlt...