BetrugMensakarten weisen erhebliche Sicherheitsmängel auf

Die Bezahlkarten eines deutschen Herstellers sind leicht zu manipulieren, sagt ein IT-Experte. Eine Million davon sind im Umlauf, alle mit demselben Sicherheitsschlüssel. von Benedikt Peters

Mensakarten vieler deutscher Unis sind leicht manipulierbar. Das zeigte der IT-Forscher Timo Kasper jüngst auf einem Treffen des Chaos Computer Clubs. Wer Schaden anrichten wolle und über das nötige Fachwissen verfüge, könne dem Experten zufolge problemlos Geld abbuchen.

Kasper hatte an der Ruhr-Universität Bochum die "Mensacard" des Herstellers Intercard untersucht, mit der Studenten und Mitarbeiter das Mensaessen bezahlen und Türen öffnen können. Probleme entdeckte er beim Sicherheitsschlüssel: Statt wie üblich zu variieren, ist die Kombination auf allen Karten dieselbe.

Anzeige

Kasper zufolge handelt es sich nicht allein um ein Bochumer Phänomen: "Mir ist bekannt, dass Intercard auch bei anderen Universitäten, die es mit Karten ausstattet, nur einen einzigen Sicherheitsschlüssel für alle Karten vergeben hat." Nach eigenen Angaben hat die Firma mit mehr als 130 Hochschulen in Deutschland Verträge geschlossen und über eine Million Studierendenausweise und Mensakarten in Umlauf gebracht.

Für seine Untersuchungen lud Kasper die Karten mittels eines gehackten Lesegeräts mit Geld auf – ohne tatsächlich etwas eingezahlt zu haben. Dann ging er in der Bochumer Mensa einkaufen. Die Kassenzettel bewahrte er auf, um die Sicherheitsmängel zu dokumentieren. "Die simple Sicherheitstechnologie auf den Karten ist eine Einladung zum Betrug", sagt Kasper.

Auf Nachfrage von ZEIT ONLINE sagte Intercard-Vorstand Gerson Riesle, die Verwendung eines einzigen Sicherheitsschlüssels habe technische Gründe. "Als wir die Karten in den 1990er Jahren eingeführt haben, mussten wir darauf Anwendungen von verschiedenen Firmen unter einen Hut bringen." Die Programmierung von zufälligen Sicherheitsschlüsseln wäre dafür zu anspruchsvoll gewesen. Außerdem habe der eingesetzte Chip MiFare Classic bereits als sicher genug gegolten.

Das Studentenwerk reagiert gelassen

Auf dem finanziellen Schaden eines Hacks würde die Universität sitzen bleiben. Auch für Studenten können die Sicherheitslücken ein Risiko sein: Hacker könnten ebenso bereits eingezahltes Geld verschwinden lassen. Zudem dienen die Karten an manchen Universitäten als Schlüssel. Weil sich die Karten leicht klonen lassen, könnten Kriminelle in Universitätsräume und Studentenwohnheime einbrechen.

Das Studentenwerk der Ruhr-Universität Bochum, das die Studenten mit den Karten ausstattet, reagiert gelassen: "Für Hacker mag es möglich sein, die Karten zu manipulieren. Weil das aber technisch sehr aufwändig ist, halten wir die Gefahr für gering", sagte ein Sprecher ZEIT ONLINE. Darüber hinaus sei der Betrug nicht lukrativ, da die Karten sich nur mit bis zu 150 Euro aufladen ließen und die Kontostände überwacht würden. "Wenn jemand dauernd hohe Beträge abheben würde, wäre das auffällig."

Trotzdem plant die Ruhr-Universität Bochum, die Karten gegen sicherere Exemplare auszutauschen. Denn schon seit 2008 ist bekannt, dass der eingesetzte Chip MiFare Classic des niederländischen Herstellers NXP geknackt werden kann. Jedoch wusste die Universität nicht, dass Intercard darüber hinaus einen einheitlichen Sicherheitsschlüssel programmiert hatte.

Der Artikel wurde im Nachhinein um eine Stellungnahme der Firma Intercard ergänzt.

Zur Startseite
 
Leserkommentare
  1. deshalb ziehe ich persönlich es vor, nicht meinen gesamten Monatslohn und das bisher ersparte in der Hosentasche mit mir herum zu tragen, sondern lieber öfter zum Bankautomaten zu gehen.
    Für die Mensakarte gilt sinngemäß dasselbe. Ich hatte z.B. immer Sorge, die Karte könnte eines Tages schlichtweg nicht mehr lesbar sein. Kriege ich in so einem Fall mein Geld zurück?

    zu @Tohain:
    Ich wäre nie auf die Idee gekommen, ich könnte alle Mahlzeiten des Tages außer Hauses einnehmen. Es scheint mir auch jetzt nicht die kostengünstigste Alternative zu sein.
    Aber wenn das Geld bis zum Ende des Monats trotzdem reicht: Warum eigentlich nicht?

    Damit die Karte manipuliert werden kann, müsste ich sie erst mal aus der Hand geben. Da lohnt es sich natürlich, sie nur an vertrauenswürdige Personen zu verleihen.

    Reaktionen auf diesen Kommentar anzeigen

    Ok, große Beträge bedeuten größeres Risiko, da haben Sie recht. Das ist ein Nachteil an Prepaid-Lösungen. Umso mehr Grund, die Karten möglichst sicher zu machen, gerade wenn die teilweise auch als Schlüssel für Institute und Wohnheime dienen.

    Was das Verleihen angeht: Darf man das überhaupt? Egal, manchmal verliert man Karten auch, oder sie werden gestohlen. Und dann habe ich nichts von der Vertrauenswürdigkeit meiner Bekannten, dann kriegt u.U. ein Spezialist meine Karte in die Finger, der Kopien macht und allerlei Unfug damit treibt. Da würde ich mir wieder wünschen, dass die Karte so sicher wie möglich gestaltet ist, weil das die Chance erhöht, dass sie nicht geknackt wird.

    • Tohain
    • 04. Januar 2013 17:43 Uhr

    Es ist nicht mein primäres Ziel alle Mahlzeiten in der Uni einzunehmen, aber manchmal gehts leider nicht anders. Wenn morgens um 0900 die Uni los geht (was im Vergleich zu anderen Fächern schon spät ist) und man weiß, dass man einen 10-16 std. Tag vor sich hat und morgens beim schnellen Verlassen des Hauses feststellt, dass das Brot leider verschimmelt ist, oder man Tags zuvor nicht zum einkaufen kam gibts ja fast keine andere Möglichkeit. Extra wieder nachhause fahren, zu kochen, essen, abwaschen kostet gut und gerne 2std an Zeit und ist daher wiederum unpraktikabel weshalb man dann in Kauf nimmt in der Mensa im Schnitt mehr auszugeben, statt selbst zu kochen. Es bleibt also die Rechnung: Kochen=erhöhter Zeitfaktor, Mensa=erhöhter Kostenfaktor. Man kann dann immer ausrechnen, wovon man gerade mehr hat und sich dementsprechend entscheiden.

    Was das Aufladen der Karte angeht, so kann man das bei uns mit Bargeld (Scheinen) oder der EC Karte machen. Bei der EC Karte muss man jedoch einen Mindestwert von 20€ aufladen.
    Ich versuche zwar das von Herrn Wendlandt beschriebe Aufladen in kleinen Etappen, das ist aber leider nicht immer möglich, wenn man z.B. kein Bargeld dabei hat - vor Allem, seit der einzige Bankautomat der Cashgroup in der Innenstadt abgerissen wurde und man jetzt 15 min bis zum nächsten Automaten laufen kann oder bei dem Automaten einer anderen Bank 5€ Gebührt zahlt...

  2. Das heißt also, dass für Sie das Vergeben verschiedener Schlüssel schon "maximale Sicherheit" ist, und als solche automatisch das Gegenteil von Freiheit?

    Schließen Sie Ihre Haustür ab?

    Reaktionen auf diesen Kommentar anzeigen

    "Schließen Sie Ihre Haustür ab?"

    Die Haustür ja. Das fordert die Versicherung. Das Garagentor nie.

    Aber wenn Sie unbedingt in krimineller Absicht hinein wollten, würden Sie vermutlich ohnehin die Wege durch das Kellerfenster (nicht abschließbar) oder über die Terasse (nicht gesichertes Glasfenster mit Kunststoffrahmen in 10 bis 15s geknackt, wie schon öfter im Fernsehen gezeigt) vorziehen.

    Und für den Fall, dass die Kinder mal wieder ihre Schlüssel vergessen haben, befindet sich auf dem Grundstück noch ein Ersatz.
    Sie müssen also nur die Kinder beobachten. Dann wissen Sie auch, wo er ist.

    War das ausführlich genug? Oder wollen Sie jetzt noch wissen, wo ich wohne?

    • pekka
    • 04. Januar 2013 16:20 Uhr

    ist doch bekannt, seitdem es diese Karten gibt…

    achja: zu den Karten: als ich mit dem Studium angefangen hatte, konnte man die Karten noch mit Bargeld aufladen, Schein in nen Automaten, Karte ranhalten und fertig, dann haben die Deppen das System umgestellt: nur noch EC-Kartenzahlung und das dauert entsprechend lange. Besonders nett, wenn es ein paar mehr Studenten gibt, die ihre Karte aufladen wollen…

    Eine Leserempfehlung
  3. Ok, große Beträge bedeuten größeres Risiko, da haben Sie recht. Das ist ein Nachteil an Prepaid-Lösungen. Umso mehr Grund, die Karten möglichst sicher zu machen, gerade wenn die teilweise auch als Schlüssel für Institute und Wohnheime dienen.

    Was das Verleihen angeht: Darf man das überhaupt? Egal, manchmal verliert man Karten auch, oder sie werden gestohlen. Und dann habe ich nichts von der Vertrauenswürdigkeit meiner Bekannten, dann kriegt u.U. ein Spezialist meine Karte in die Finger, der Kopien macht und allerlei Unfug damit treibt. Da würde ich mir wieder wünschen, dass die Karte so sicher wie möglich gestaltet ist, weil das die Chance erhöht, dass sie nicht geknackt wird.

  4. "Schließen Sie Ihre Haustür ab?"

    Die Haustür ja. Das fordert die Versicherung. Das Garagentor nie.

    Aber wenn Sie unbedingt in krimineller Absicht hinein wollten, würden Sie vermutlich ohnehin die Wege durch das Kellerfenster (nicht abschließbar) oder über die Terasse (nicht gesichertes Glasfenster mit Kunststoffrahmen in 10 bis 15s geknackt, wie schon öfter im Fernsehen gezeigt) vorziehen.

    Und für den Fall, dass die Kinder mal wieder ihre Schlüssel vergessen haben, befindet sich auf dem Grundstück noch ein Ersatz.
    Sie müssen also nur die Kinder beobachten. Dann wissen Sie auch, wo er ist.

    War das ausführlich genug? Oder wollen Sie jetzt noch wissen, wo ich wohne?

    Reaktionen auf diesen Kommentar anzeigen
    • 15thMD
    • 05. Januar 2013 0:06 Uhr

    [...]

    Zum Thema: Wenn den Betrug ein privates Unternehmen bezahlen müsste und nicht reagiert, würde ich das okay finden. Aber da es nunmal am Ende Student und Steuerzahler bezahlen müssen, würde ich es echt super finden, wenn die Karten richtig verschlüsselt werden.

    Gekürzt. Die Redaktion/mak

    • Tohain
    • 04. Januar 2013 17:43 Uhr

    Es ist nicht mein primäres Ziel alle Mahlzeiten in der Uni einzunehmen, aber manchmal gehts leider nicht anders. Wenn morgens um 0900 die Uni los geht (was im Vergleich zu anderen Fächern schon spät ist) und man weiß, dass man einen 10-16 std. Tag vor sich hat und morgens beim schnellen Verlassen des Hauses feststellt, dass das Brot leider verschimmelt ist, oder man Tags zuvor nicht zum einkaufen kam gibts ja fast keine andere Möglichkeit. Extra wieder nachhause fahren, zu kochen, essen, abwaschen kostet gut und gerne 2std an Zeit und ist daher wiederum unpraktikabel weshalb man dann in Kauf nimmt in der Mensa im Schnitt mehr auszugeben, statt selbst zu kochen. Es bleibt also die Rechnung: Kochen=erhöhter Zeitfaktor, Mensa=erhöhter Kostenfaktor. Man kann dann immer ausrechnen, wovon man gerade mehr hat und sich dementsprechend entscheiden.

    Was das Aufladen der Karte angeht, so kann man das bei uns mit Bargeld (Scheinen) oder der EC Karte machen. Bei der EC Karte muss man jedoch einen Mindestwert von 20€ aufladen.
    Ich versuche zwar das von Herrn Wendlandt beschriebe Aufladen in kleinen Etappen, das ist aber leider nicht immer möglich, wenn man z.B. kein Bargeld dabei hat - vor Allem, seit der einzige Bankautomat der Cashgroup in der Innenstadt abgerissen wurde und man jetzt 15 min bis zum nächsten Automaten laufen kann oder bei dem Automaten einer anderen Bank 5€ Gebührt zahlt...

    • conda
    • 04. Januar 2013 20:57 Uhr

    Ja der Hack ist lange bekannt und die Tatsache das Kassensysteme nicht viele Schlüssel speichern können, ist es auch.

    Wichtig zu bemerken ist noch, dass nicht einem Studierenden Geld gestohlen wurde! Das gestohlene Guthaben ist von keiner Karte verschwunden! Geschädigt wird das Studentenwerk und damit letztlich alle.

    Offenbar arbeitet man mit offline Kassen und verwendet keinen Transaktionszähler. Sonst sollten Kartendubletten auffliegen. Hoffentlich weiß man wenigstens intern wie hoch der Schaden ist.

  5. 16. Risiko

    Das Risiko ist mit den Bezahlkarten ja eher gering, da diese nur innerhalb des Studentenwerks eingesetzt werden. Über Auf- und Abbuchungen exisitiert wahrscheinlich in den jeweiligen Geräten ein Logfile, das auch die Karten-Seriennummer enthält. Führt man die ganzen Logfiles in einer Datenbank zusammen, findet man sofort die verdächtigen Karten-Seriennummern, auf denen mehr Ab- als Aufbuchungen erfolgt sind. Die kann man dann nach Bedarf sperren, mit einem stillen Alarm versehen usw. usf. Am Ende dürften die Kosten für einen Systemwechsel höher liegen als die Kosten für gelegentlichen Betrug. Im Vergleich zu Bargeld oder Essens-Chips sind die Kartensysteme wiederum viel schneller, sparen also mehr Personalkosten, als ihre Anschaffung und Pflege kostet.

    Jag

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE
  • Schlagworte Betrug | Hochschule | Hacker | Mensa | Student | Universität
Service