Studentenwerk Berlin und FH Bielefeld wehren sich

Schon im Vorfeld der Experimente hatten sich Ausgabestellen gewehrt. Das Studentenwerk Berlin fordete den Foebud, der jetzt Digitalcourage heißt, auf, das Titelbild des Forschungsprojekts mit seiner Karte zu entfernen. Auch andere Studentenwerke übten Kritik. Die FH Bielefeld ging noch weiter. Sie wollte, dass der Aufruf verschwindet. In einem Brief an den Foebud warnte die FH Bielefeld: "Eine Weitergabe von Schlüsseln an unbefugte Dritte würde zu Sicherheitslücken im Sicherheitssystem der Hochschule führen."

Aktiv im Interesse der Sicherheit zeigte sich die Ruhruniversität Bochum. Sie beschwerte sich nicht, sondern bot für das Projekt zwei Demokarten an, was die Hacker mit einem Applaus honorierten.

Aus dem Publikum gab es nach dem Vortrag einige Meldungen zu den Karten. So ist es einigen Hackern bereits bekannt, dass Datenbanken für den Abgleich im Hintergrund bei Transaktionen zwar existieren, doch die Karten und Manipulationen auf den Karten haben mitunter Vorrang. Außerdem müssen die Karten häufig auch ohne Netzwerkverbindung des Lesegeräts, wie etwa einem Kopierer, funktionieren können. Im Übrigen gehen die Hacker davon aus, dass auch SQL-Befehle über die Karten an die Server geschickt werden können. Ausprobiert wurde das noch nicht.

Lösungen gibt es. Die DESFire-Karten können durchaus sicher eingestellt werden. Doch die Universitäten scheuten die Kosten zur effektiven Absicherung, so Tangens. Die Studenten haben damit ein Problem. Durch die offenen Sicherheitssysteme können ihnen mitunter wichtige Dinge, zum Beispiel ihr Notebook, aus ihrem Schließfach gestohlen werden.

Der Vortrag zeigte, dass die Verantwortlichen immer noch kein Interesse an einer Absicherung ihrer Systeme haben. Tangens und Hoersch hoffen nun, dass sich das langsam ändert. In Zukunft soll ein RFID-Wiki aufgebaut werden, mit dem dann beispielsweise auch die restlichen 260 Universitäten mit Kartensystemen besser eingeordnet werden können.