BetrugMensakarten weisen erhebliche Sicherheitsmängel auf

Die Bezahlkarten eines deutschen Herstellers sind leicht zu manipulieren, sagt ein IT-Experte. Eine Million davon sind im Umlauf, alle mit demselben Sicherheitsschlüssel. von Benedikt Peters

Mensakarten vieler deutscher Unis sind leicht manipulierbar. Das zeigte der IT-Forscher Timo Kasper jüngst auf einem Treffen des Chaos Computer Clubs. Wer Schaden anrichten wolle und über das nötige Fachwissen verfüge, könne dem Experten zufolge problemlos Geld abbuchen.

Kasper hatte an der Ruhr-Universität Bochum die "Mensacard" des Herstellers Intercard untersucht, mit der Studenten und Mitarbeiter das Mensaessen bezahlen und Türen öffnen können. Probleme entdeckte er beim Sicherheitsschlüssel: Statt wie üblich zu variieren, ist die Kombination auf allen Karten dieselbe.

Anzeige

Kasper zufolge handelt es sich nicht allein um ein Bochumer Phänomen: "Mir ist bekannt, dass Intercard auch bei anderen Universitäten, die es mit Karten ausstattet, nur einen einzigen Sicherheitsschlüssel für alle Karten vergeben hat." Nach eigenen Angaben hat die Firma mit mehr als 130 Hochschulen in Deutschland Verträge geschlossen und über eine Million Studierendenausweise und Mensakarten in Umlauf gebracht.

Für seine Untersuchungen lud Kasper die Karten mittels eines gehackten Lesegeräts mit Geld auf – ohne tatsächlich etwas eingezahlt zu haben. Dann ging er in der Bochumer Mensa einkaufen. Die Kassenzettel bewahrte er auf, um die Sicherheitsmängel zu dokumentieren. "Die simple Sicherheitstechnologie auf den Karten ist eine Einladung zum Betrug", sagt Kasper.

Auf Nachfrage von ZEIT ONLINE sagte Intercard-Vorstand Gerson Riesle, die Verwendung eines einzigen Sicherheitsschlüssels habe technische Gründe. "Als wir die Karten in den 1990er Jahren eingeführt haben, mussten wir darauf Anwendungen von verschiedenen Firmen unter einen Hut bringen." Die Programmierung von zufälligen Sicherheitsschlüsseln wäre dafür zu anspruchsvoll gewesen. Außerdem habe der eingesetzte Chip MiFare Classic bereits als sicher genug gegolten.

Das Studentenwerk reagiert gelassen

Auf dem finanziellen Schaden eines Hacks würde die Universität sitzen bleiben. Auch für Studenten können die Sicherheitslücken ein Risiko sein: Hacker könnten ebenso bereits eingezahltes Geld verschwinden lassen. Zudem dienen die Karten an manchen Universitäten als Schlüssel. Weil sich die Karten leicht klonen lassen, könnten Kriminelle in Universitätsräume und Studentenwohnheime einbrechen.

Das Studentenwerk der Ruhr-Universität Bochum, das die Studenten mit den Karten ausstattet, reagiert gelassen: "Für Hacker mag es möglich sein, die Karten zu manipulieren. Weil das aber technisch sehr aufwändig ist, halten wir die Gefahr für gering", sagte ein Sprecher ZEIT ONLINE. Darüber hinaus sei der Betrug nicht lukrativ, da die Karten sich nur mit bis zu 150 Euro aufladen ließen und die Kontostände überwacht würden. "Wenn jemand dauernd hohe Beträge abheben würde, wäre das auffällig."

Trotzdem plant die Ruhr-Universität Bochum, die Karten gegen sicherere Exemplare auszutauschen. Denn schon seit 2008 ist bekannt, dass der eingesetzte Chip MiFare Classic des niederländischen Herstellers NXP geknackt werden kann. Jedoch wusste die Universität nicht, dass Intercard darüber hinaus einen einheitlichen Sicherheitsschlüssel programmiert hatte.

Der Artikel wurde im Nachhinein um eine Stellungnahme der Firma Intercard ergänzt.

Zur Startseite
 
Leserkommentare

Wegen des Relaunches steht die Kommentarfunktion gegenwärtig einigen Nutzern nicht zur Verfügung.

  • Quelle ZEIT ONLINE
  • Schlagworte Betrug | Hochschule | Hacker | Mensa | Student | Universität
  • Neu im Ressort
    1. Neu auf ZEIT ONLINE
      1. Anzeige
      2. Anzeige
      3. Junge Wissenschaftler
        Doktoranden, warum tut Ihr Euch das an?

        Ausbeutung! Beklagen junge Wissenschaftler. Leidenschaftslosigkeit! Antworten Professoren. Postdocs, Hiwis, Doktoranden, Juniorprofessoren: Wir sammeln Ihre Erfahrungen.

        • ZEIT Campus 5/2015
        • Anzeige
        • ARTIKEL ZUM THEMA Hochschule IM RÜCKBLICK
          April | März | Februar | Januar | Dezember
        Service