Feb 2013 hastuINTERESSE Nr. 46 0

Bargeldlos = Bargeld los?

Bestehen Sicherheitslücken im Bezahlsystem der Mensa? hastuzeit hakt nach.

Viele Studenten nutzen ihre Studentenausweise auch zum bargeldlosen Bezahlen in der Mensa. Die Vorteile liegen auf der Hand: kein lästiges Gesuche nach dem passenden Kleingeld, kürzere Warteschlangen und damit ein Zeitgewinn für die Studenten. Doch ist dieses System wirklich sicher, oder kann es gehackt werden?

Fakt ist, dass es in der Vergangenheit erhebliche Sicherheitslücken im Bezahlsystem mittels Karten des Herstellers Intercard gab. Dieses von 130 Hochschulen in Deutschland verwendete System wurde auch an der Universität Halle genutzt. Dem Studentenwerk Halle waren diese Sicherheitslücken bereits seit 2008 bekannt, dies räumt das Studentenwerk in einer Mitteilung vom 8. Januar 2013 ein. Allerdings stellten der Aufwand und das notwendige Fachwissen eine »große Hürde« für eine Manipulation dar.

Der IT-Experte Timo Kasper von der Ruhr-Universität Bochum wies jedoch nach, dass eine Manipulation und Betrug schon mit Equipment im Wert von 40 Euro möglich wäre. Dennoch schätzt auch er die Gefahr als gering ein. Zwar sei es laut seiner Aussage »super einfach« zu betrügen, er schätze jedoch Studenten als clever genug ein, für ein paar Euro nicht kriminell zu werden und ihre eigene Institution zu schädigen. Denn »das hat ja nur zur Folge, dass der Schaden auf den Kunden umgelegt wird«, so der Wissenschaftler weiter.

Organisierte Kriminelle könnten bei Bezahlsystemen des Systems MIFARE Classic jedoch die vorhandenen Sicherheitslücken ausnutzen. Sie könnten sowohl die jeweilige Einrichtung betrügen als auch einzelne Kartenbesitzer »bestehlen«. In einem Versuch gelang es einem Team rund um Kasper, den Sicherheitsschlüssel des Kartensystems zu knacken, woraufhin sie feststellten, dass alle Karten den gleichen Sicherheitsschlüssel besaßen. Nun konnten sie nach Belieben die Beträge auf einer Karte manipulieren oder sogar neue Karten erstellen, indem sie sich Blankokarten für weniger als 50 Cent im Internet bestellten. Das potentielle Opfer hätte von all dem nichts mitbekommen, da nicht einmal direkter physischer Kontakt zu der Karte hergestellt hätte werden müssen. Der ganze Vorgang wäre in sehr viel weniger als einer Sekunde erledigt gewesen. Auch das System selber bemerkte in mehreren Versuchen nichts von dem Betrug.

Das Studentenwerk Halle betont, dass es im Verband der 58 deutschen Studentenwerke bisher zu keinem Vorfall gekommen sei. Dennoch wurde im Jahr 2012 auf das neuere System DESFire umgestellt, das nach Ansicht von Sicherheitsexperten bis auf weiteres schwer zu knacken sei. Auch Kasper meint, dies sei die langfristig beste Möglichkeit zur Behebung des Problems gewesen. Dazu erklärt das Studentenwerk, dass es nicht in erster Linie auf die Sicherheitslücken reagiert, sondern einen Vorteil in den erweiterten Anwendungsbereichen des neuen Kartensystems sieht.

Euer Geld auf den Karten bleibt also vorerst sicher und wird, wenn überhaupt, nur auf ganz klassische Weise durch Verlust der Karte oder Diebstahl gefährdet.

Foto: Christian Schoen

Über Tobias Schulz

, ,

Erstellt: 06.02. 2013 | Bearbeitet: 01.02. 2013 23:32