BetrugMensakarten weisen erhebliche Sicherheitsmängel auf

Die Bezahlkarten eines deutschen Herstellers sind leicht zu manipulieren, sagt ein IT-Experte. Eine Million davon sind im Umlauf, alle mit demselben Sicherheitsschlüssel. von Benedikt Peters

Mensakarten vieler deutscher Unis sind leicht manipulierbar. Das zeigte der IT-Forscher Timo Kasper jüngst auf einem Treffen des Chaos Computer Clubs. Wer Schaden anrichten wolle und über das nötige Fachwissen verfüge, könne dem Experten zufolge problemlos Geld abbuchen.

Kasper hatte an der Ruhr-Universität Bochum die "Mensacard" des Herstellers Intercard untersucht, mit der Studenten und Mitarbeiter das Mensaessen bezahlen und Türen öffnen können. Probleme entdeckte er beim Sicherheitsschlüssel: Statt wie üblich zu variieren, ist die Kombination auf allen Karten dieselbe.

Anzeige

Kasper zufolge handelt es sich nicht allein um ein Bochumer Phänomen: "Mir ist bekannt, dass Intercard auch bei anderen Universitäten, die es mit Karten ausstattet, nur einen einzigen Sicherheitsschlüssel für alle Karten vergeben hat." Nach eigenen Angaben hat die Firma mit mehr als 130 Hochschulen in Deutschland Verträge geschlossen und über eine Million Studierendenausweise und Mensakarten in Umlauf gebracht.

Für seine Untersuchungen lud Kasper die Karten mittels eines gehackten Lesegeräts mit Geld auf – ohne tatsächlich etwas eingezahlt zu haben. Dann ging er in der Bochumer Mensa einkaufen. Die Kassenzettel bewahrte er auf, um die Sicherheitsmängel zu dokumentieren. "Die simple Sicherheitstechnologie auf den Karten ist eine Einladung zum Betrug", sagt Kasper.

Auf Nachfrage von ZEIT ONLINE sagte Intercard-Vorstand Gerson Riesle, die Verwendung eines einzigen Sicherheitsschlüssels habe technische Gründe. "Als wir die Karten in den 1990er Jahren eingeführt haben, mussten wir darauf Anwendungen von verschiedenen Firmen unter einen Hut bringen." Die Programmierung von zufälligen Sicherheitsschlüsseln wäre dafür zu anspruchsvoll gewesen. Außerdem habe der eingesetzte Chip MiFare Classic bereits als sicher genug gegolten.

Das Studentenwerk reagiert gelassen

Auf dem finanziellen Schaden eines Hacks würde die Universität sitzen bleiben. Auch für Studenten können die Sicherheitslücken ein Risiko sein: Hacker könnten ebenso bereits eingezahltes Geld verschwinden lassen. Zudem dienen die Karten an manchen Universitäten als Schlüssel. Weil sich die Karten leicht klonen lassen, könnten Kriminelle in Universitätsräume und Studentenwohnheime einbrechen.

Das Studentenwerk der Ruhr-Universität Bochum, das die Studenten mit den Karten ausstattet, reagiert gelassen: "Für Hacker mag es möglich sein, die Karten zu manipulieren. Weil das aber technisch sehr aufwändig ist, halten wir die Gefahr für gering", sagte ein Sprecher ZEIT ONLINE. Darüber hinaus sei der Betrug nicht lukrativ, da die Karten sich nur mit bis zu 150 Euro aufladen ließen und die Kontostände überwacht würden. "Wenn jemand dauernd hohe Beträge abheben würde, wäre das auffällig."

Trotzdem plant die Ruhr-Universität Bochum, die Karten gegen sicherere Exemplare auszutauschen. Denn schon seit 2008 ist bekannt, dass der eingesetzte Chip MiFare Classic des niederländischen Herstellers NXP geknackt werden kann. Jedoch wusste die Universität nicht, dass Intercard darüber hinaus einen einheitlichen Sicherheitsschlüssel programmiert hatte.

Der Artikel wurde im Nachhinein um eine Stellungnahme der Firma Intercard ergänzt.

Zur Startseite
 
Leserkommentare
  1. Seit 2008 bekannt ist nur, dass der Chip Schwachstellen hat. Das Thema dieses Artikels ist aber, dass Intercard für alle Karten denselben Sicherheitsschlüssel verwendet hat. Also ein ganz anderes Problem, das von einer anderen Firma verursacht wurde und erst jetzt durch den CCC bekannt gemacht wurde.

    2 Leserempfehlungen
    • Tohain
    • 04. Januar 2013 15:10 Uhr

    Lieber Herr Wendlandt,
    ich weiß nicht ob Sie auch Student sind oder waren, aber für uns ist diese Information aus zweierlei Gründen interessant und nicht völlig unwichtig.
    Aus der unehrenhaften Sicht: ich gebe in der Mensa wenn ich satt werden will für ein Mittagessen 4-5€ aus; je nachdem wie lange der Tag ist kommt v.Z.z.Z. noch ein Frühstück für 2-3€ und/oder ein Abendessen für nochmal 4-5€ hinzu, zzgl. Kaffeepause für 2-3€. D.h. man kann an einem 10 - 16std-Tag (wenn man morgens z.B. feststellt, dass das Brot oder der Belag leider verschimmelt ist und man sich somit nichts mitnehmen kann) gut und gerne 10-15€ ausgegen, rechnet man das auf die Woche, sind das gute 50€ - auf den Monat gesehen sogar 200€. Wenn man da mal immer wieder kleine Beträge für 3-5€ auf eine Karte aufläd ohne sie real eingezahlt zu haben, dann fällt das vmtl auch dem Studentenwerk nicht auf, bei der Masse an Studenten. Aber auf lange Sicht rechnet sich das schon, da kann man bestimmt im Monat sein 50-75€ einsparen - und für Studenten ist das viel Geld.
    Aus der unsicheren Sicht: Wenn Sie jetzt sehen, wie viel Geld im Monat über so eine Karte ausgegeben wird, fände ich es gut zu wissen, wenn nicht dritte Zugriff darauf hätten. Wenn umgekehrt permanent 4-5€ von meiner Karte verschwinden, die ich überhaupt nicht ausgegeben habe, dann heißt das nämlich am Ende des Monats mal schön in die Röhre schauen, weil dann das Geld sowohl auf der Karte als auf dem Konto weg ist...

    2 Leserempfehlungen
    • towely
    • 04. Januar 2013 13:22 Uhr

    Schön, dass die Thematik heute auch schon in der Zeit ankommt.

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Seit 2008 bekannt ist nur, dass der Chip Schwachstellen hat. Das Thema dieses Artikels ist aber, dass Intercard für alle Karten denselben Sicherheitsschlüssel verwendet hat. Also ein ganz anderes Problem, das von einer anderen Firma verursacht wurde und erst jetzt durch den CCC bekannt gemacht wurde.

  2. Mensakarten sind nun wirklich nicht die Anwendung, bei der es auf maximale Sicherheit ankäme.

    Noch besser hätte ich deshalb folgende Antwort gefunden:

    "Wir wissen, dass die Karten nicht besonders sicher sind, aber wir vertrauen unseren Studierenden, dass sie das nicht in krimineller Weise ausnutzen."

    Sicherheit ist das Gegenteil von Freiheit.

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Warum dann überhaupt solche Karten und Sicherheitsmaßnahmen? Dann könnte man auch völlige Freiheit leben und Kästen mit Bargeld an die Essensausgabe stellen und darauf vertrauen, dass die (natürlich durchweg ehrlichen) Studenten ihr Essen brav und korrekt bezahlen.

    Außerdem ist es ja auch denkbar, dass Leute von außerhalb der Uni sich solche Karten verschaffen, kopieren und dann absahnen. Da muss nur einer mit dem nötigen Fachwissen drauf kommen, dann kann der sich und sonstwen mit kostenlosem Essen und Kleingeld versorgen. Maximale Sicherheit ist vielleicht nicht erforderlich, aber ich wäre als Student schon daran interessiert, dass mir niemand mein Mensakonto leerräumt.

    Gelassenheit lässt sich leicht fordern, wenn man selbst nicht betroffen ist.

    • Tohain
    • 04. Januar 2013 15:10 Uhr

    Lieber Herr Wendlandt,
    ich weiß nicht ob Sie auch Student sind oder waren, aber für uns ist diese Information aus zweierlei Gründen interessant und nicht völlig unwichtig.
    Aus der unehrenhaften Sicht: ich gebe in der Mensa wenn ich satt werden will für ein Mittagessen 4-5€ aus; je nachdem wie lange der Tag ist kommt v.Z.z.Z. noch ein Frühstück für 2-3€ und/oder ein Abendessen für nochmal 4-5€ hinzu, zzgl. Kaffeepause für 2-3€. D.h. man kann an einem 10 - 16std-Tag (wenn man morgens z.B. feststellt, dass das Brot oder der Belag leider verschimmelt ist und man sich somit nichts mitnehmen kann) gut und gerne 10-15€ ausgegen, rechnet man das auf die Woche, sind das gute 50€ - auf den Monat gesehen sogar 200€. Wenn man da mal immer wieder kleine Beträge für 3-5€ auf eine Karte aufläd ohne sie real eingezahlt zu haben, dann fällt das vmtl auch dem Studentenwerk nicht auf, bei der Masse an Studenten. Aber auf lange Sicht rechnet sich das schon, da kann man bestimmt im Monat sein 50-75€ einsparen - und für Studenten ist das viel Geld.
    Aus der unsicheren Sicht: Wenn Sie jetzt sehen, wie viel Geld im Monat über so eine Karte ausgegeben wird, fände ich es gut zu wissen, wenn nicht dritte Zugriff darauf hätten. Wenn umgekehrt permanent 4-5€ von meiner Karte verschwinden, die ich überhaupt nicht ausgegeben habe, dann heißt das nämlich am Ende des Monats mal schön in die Röhre schauen, weil dann das Geld sowohl auf der Karte als auf dem Konto weg ist...

    Das heißt also, dass für Sie das Vergeben verschiedener Schlüssel schon "maximale Sicherheit" ist, und als solche automatisch das Gegenteil von Freiheit?

    Schließen Sie Ihre Haustür ab?

  3. Warum dann überhaupt solche Karten und Sicherheitsmaßnahmen? Dann könnte man auch völlige Freiheit leben und Kästen mit Bargeld an die Essensausgabe stellen und darauf vertrauen, dass die (natürlich durchweg ehrlichen) Studenten ihr Essen brav und korrekt bezahlen.

    Außerdem ist es ja auch denkbar, dass Leute von außerhalb der Uni sich solche Karten verschaffen, kopieren und dann absahnen. Da muss nur einer mit dem nötigen Fachwissen drauf kommen, dann kann der sich und sonstwen mit kostenlosem Essen und Kleingeld versorgen. Maximale Sicherheit ist vielleicht nicht erforderlich, aber ich wäre als Student schon daran interessiert, dass mir niemand mein Mensakonto leerräumt.

    Gelassenheit lässt sich leicht fordern, wenn man selbst nicht betroffen ist.

    Eine Leserempfehlung
  4. Natürlich war Barzahlung vergleichsweise sicher, und über den Nutzen der Kartenzahlung kann man sich streiten. Aber das ist kalter Kaffee. Die Karten sind da, und viele Leute müssen damit leben.

    Wenn jemand praktisch täglich in die Mensa geht und - wie Tohain schreibt - dort zwischen 4 und 15 Euro pro Tag ausgibt, ist es doch sinnvoll, die Karte monatlich zu laden und nicht alle paar Tage. Ich weiß nicht, wie umständlich das Aufladen ist, aber warum sollte man sich die Arbeit öfter machen als nötig? Und wenn jemand im Monat z.B. 150 Euro in der Mensa ausgibt, macht es keinen Unterschied, ob man die Karte einmal im Monat auflädt oder alle drei Tage - man hat so oder so nicht mehr Geld.

    Ihr Argument mit den Ladebeträgen zieht also nicht. Nach Ihrer Logik dürfte man auch keine 50-Euro-Scheine mit sich herumtragen, wenn man an dem Tag nur 10 oder 15 Euro ausgeben will. Nur geben die meisten Geldautomaten nur 50er-Scheine aus. Und nun?

    Eine Leserempfehlung
    Antwort auf "Warum solche Karten?"
    • pekka
    • 04. Januar 2013 16:20 Uhr

    ist doch bekannt, seitdem es diese Karten gibt…

    achja: zu den Karten: als ich mit dem Studium angefangen hatte, konnte man die Karten noch mit Bargeld aufladen, Schein in nen Automaten, Karte ranhalten und fertig, dann haben die Deppen das System umgestellt: nur noch EC-Kartenzahlung und das dauert entsprechend lange. Besonders nett, wenn es ein paar mehr Studenten gibt, die ihre Karte aufladen wollen…

    Eine Leserempfehlung
    • jillian
    • 05. Januar 2013 13:47 Uhr
    20. Wuerg

    Zumindest die Mensa meiner Universitaet muss sich vor solchen gehackten Karten nicht fuerchten. Da werden selbst Umwege von mehreren Kilometern zum naechsten Restaurant auf sich genommen, um den 'Delikatessen' zu entgehen :)

    Eine Leserempfehlung

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE
  • Schlagworte Betrug | Hochschule | Hacker | Mensa | Student | Universität
Service