Uni-Card verspricht viel, hält aber wenig

Kein umständliches Hantieren mit Kleingeld an der Mensa-Kasse, ein Ausweis für alle Bibliotheken der Unis in Dortmund, Bochum, Duisburg und Essen, keinen rosafarbigen Papierausweis mehr. Die Ankündigung, die das IT & Medien Centrum (ITMC) der TU Dortmund Ende Mai an 22.000 Studenten verschickt hat, liest sich gut. Darin wird der Student aufgefordert, sich auf der Internetseite des ITMC zu registrieren, damit ihm zum kommenden Semester die Uni-Card zugestellt werden kann. Der neue Studentenausweis im Scheckkartenformat, der ab dem Wintersemester an der TU-Dortmund Pflicht wird, soll das Leben und Arbeiten an der Uni erleichtern, heißt es vom ITMC.

Trotz Unicard braucht man noch eine Hand voll Ausweise

Trotz Unicard brauchen Studierende noch viele andere Ausweise und verlieren schnell den Überblick. Foto: Michael Klingemann

Fakt ist aber: Das studentische Leben wird mit der Uni-Card nicht leichter. Die Karte kann weder als Fahrausweis für Bus und Bahn genutzt werden, dient nicht als Bibliotheksausweis und auch das Essen in der Mensa kann man mit der Karte nicht bezahlen. Fakt ist auch: Der verwendete Mifare-Chip gilt als „gehackt“ und ist „nicht sicher“. Das räumt das ITMC auf seiner Internetseite auch ein, wenngleich man den Eintrag nur nach intensivem Suchen findet. Aber der Reihe nach:

Eine Karte für alles

2007 war das Projekt Uni-Card ambitioniert gestartet. Die Planungen sahen unter anderem vor, dass Studenten die Chipkarte an allen Unis der “Universitätsallianz Metropole Ruhr“ nutzen können, zum Beispiel als Bibliotheksausweis oder zum Bezahlen in den Mensen. Schon kurz nach dem Start im November 2007 stellte das ITMC in seinem Projektbericht aber fest, dass das Ziel Kompatibilität mit der Ruhr-Universität Bochum (RUB) und der Universität Duisburg-Essen (UDE) nicht erreicht werden kann, weil man sich dann auf die Firma InterCard hätte festlegen müssen. Das aber hätte gegen den Beschluss einer offenen Ausschreibung verstoßen.

Bargeldlos bezahlen

Auch die Bezahlfunktion ist wegen eines Ausschreibungsproblems noch nicht realisiert worden. Eigentlich sollten die Studenten schon zum Wintersemester 08/09 bargeldlos in der Mensa bezahlen können. Die Vergabekammer Arnsberg legte aber Einspruch gegen die Formulierung der Ausschreibung ein. Jetzt wird eine neue Ausschreibung vorbereitet. “Wann die elektronische Geldbörse kommt, ist nicht klar“, sagt Martin Wieschollek, der Projektleiter für die Uni-Card beim ITMC. Ramin Yahyapour, der Leiter des ITMC, hält es für möglich, dass die neue Ausschreibung bis Anfang nächsten Jahres fertig ist.  Da es dann aber wieder Einsprüche geben könnte, kann auch er keinen möglichen Termin für die Bezahlfunktion der Uni-Card nennen.

Die Anleitung zum Hacken des Chips gibt es im Internet

Wieschollek spricht die Probleme, die ihm die Uni-Card bereitet, offen an und bestätigt, dass der Mifare-Chip unsicher ist. Das verbreiten Hacker auch schon im Internet verbreiten. Dort gibt es Anleitungen, die detailliert beschreiben, wie der Mifare-Chip gehackt werden kann. Der Mifare-Chip soll das bargeldlose Bezahlen mit der Uni-Card ermöglichen und befindet sich schon jetzt auf der Karte. Laut Wieschollek könnte ein Hacker zwar den „Geldbetrag von der Karte kopieren, damit aber nichts anfangen.“ Er verspricht auch, dass das ITMC solche Attacken nachvollziehen könnte und den Studenten keine Nachteile entstünden, sondern „gehackte Geldbeträge“ zurückerstattet würden. Dass es soweit kommt glaubt Wieschollek nicht. Er geht davon aus, dass die Uni-Card für Hacker uninteressant ist.

Wie sicher ist die Unicard?

Wie sicher ist die Unicard? Zumindest der Mifare-Chip gilt als "gehackt". Foto: Michael Klingemann

Der Dortmunder Asta sieht das ganz anders und befürchtet, dass nicht nur Geld sondern auch sensible Daten wie der Name und die Login-Daten des Studenten von Hackern gestohlen werden könnten. Er will einem Hacker 1000 Euro zahlen, wenn ihm das gelingt (mehr dazu in der Printausgabe der pflichtlektüre 06/2009). Diese persönlichen Daten sind auf dem laut ITMC als sicher geltenden Krypto-Chip gespeichert. Der Krypto-Chip befindet sich ebenfalls auf der Karte. Er ist aber physikalisch vom Mifare-Chip und damit von der Funkantenne getrennt, erklärt Wieschollek und weist die Befürchtungen des Asta zurück: „Die Daten des Kryptochips können nicht per Funk ausgelesen werden“. Ein Zugriff auf die personenbezogenen Daten des Kryptochips per Mifare-Chip sei nicht möglich.

Die Uni-Card gibt es auch ohne Funkchips

Student Björn Holzapfel ist das Risiko trotzdem zu groß: „Ich möchte nicht, dass jeder Möchtegernhacker per Funk an meine Daten kommt. Außerdem kann die Uni durch einen Funkchip Bewegungsprofile der Studierenden erstellen.“ Holzapfel glaubt nicht, dass die Daten auf dem Kryptochip sicher sind und nicht per Funk ausgelesen werden können. Er ist einer von 20 Studenten, die die Uni-Card ohne Mifare- und Kryptochip bekommen haben. Er hat gezielt beim ITCM nach dieser Version der Uni-Card gefragt. Auf der Plastikkarte werden dann nur Vor- und Nachname, die Matrikelnummer und das Foto des Studenten gedruckt. Das ITMC weist in einem Infoblatt auch auf diese Möglichkeit hin, die von den Studenten allerdings kaum genutzt wird.

Eine andere Möglichkeit sich gegen Hackerattacken zu schützen, ist laut Projektleiter Wieschollek eine Schutzhülle. Diese Hüllen unterdrücken das Funksignal des Mifare-Chip und werden für 15 Euro zum Kauf im Internet angeboten. Der Datenschutzbeauftragte der TU-Dortmund Kai-Uwe Loser schätzt die Gefährdung der Daten „im Vergleich zu Community-Plattformen wie Studi-VZ gering ein“. Der Kryptochip ermögliche sogar ein höheres Datenschutzniveau.

Uni-Card wird oft nicht anerkannt: weiter auf der nächsten Seite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert