RAUBCard.de

Informationen über die RWTH Aachen University BlueCard
(keine offizielle Webseite der RWTH Aachen)

[Klick für Auswahlmenü]

• Neuigkeiten

Allgemeines:
• Was ist die BlueCard?
• Wie kam es dazu?
• Rechtliche Grundlage
• Gespeicherte Daten

Verwendungszwecke:
• Studiausweis
• Elektronische Geldbörse
• Hochschulsport

Probleme:
• Beschreibung des Fehlers
• Der Datenschutz

Sonstiges:
• Presseberichte
• Links
• Kontakt
• Impressum

Beschreibung des Fehlers

Ihr müsst eure BlueCard umtauschen oder habt dies schon gemacht. Aber warum das ganze? Das Problem mit den alten Karten ist, dass jeder, der eine BlueCard in Händen hält oder ihr ziemlich nahe kommt, Daten von dieser auslesen kann. Im folgenden wird dargestellt, wie es dazu kam, welche Daten man auslesen kann und was man damit hätte tun können. Die folgenden Beschreibungen beziehen sich dabei auf die alte Karte, das Auslesen durch beliebige Personen ist mit der neuen Karte in der Art nicht mehr möglich. Auf die genauen technischen Hintergründe wird hier nicht eingegangen, dazu wird es einen separaten Artikel nach Ende der Umtauschaktion geben.

 
(Quelle: WDR, Lokalzeit Aachen, 20. April 2011)

Wie schon in der Lokalzeit Aachen des WDR am 20. April 2011 gezeigt wurde, kann man mit einem einfachen RFID-Reader und dem entsprechenden Wissen bzw. der entsprechenden Software Daten aus einer BlueCard auslesen, obwohl von der RWTH vorher immer betont wurde, dass dies nicht möglich sein wird, da die Daten verschlüsselt würden.

Einzelne Daten lassen sich zwar auch optisch von der Karte lesen, was aber kein Problem ist. Dazu muss man seine Karte aus der Hand geben. Gleiches betrifft auch Chipkarten mit einem kontaktbehafteten Chip (die mit dem sichtbaren, meist goldfarbenen Chip). Die BlueCard (wenn du sie nicht in eine ohne Chip umgetauscht hast und also von der Auslesbarkeit gar nicht betroffen bist) besitzt jedoch einen RFID-Chip, der drahtlos ausgelesen werden kann, ohne dass du dies mitbekommst oder mitwirken musst.

Konkret auslesbar sind dabei folgende Daten:

• Kartenseriennummer (UID)
• RWTH-Kartennummer
• Gruppenzugehörigkeit (Studi)
• CMS-Kartennummer
• Transaktionszähler der elektronischen Geldbörse
• Saldo der elektronischen Geldbörse
• Weitere Daten, bei denen keine Zuordnung möglich war

Damit waren alle Daten auf der Karte abgesehen von der RWTH-ID auslesbar. Diese durfte gemäß der von der RWTH benannten Rechtsgrundlage, der Einschreibungsordnung, zum Ausgabezeitpunkt im März noch nicht auf der Karte gespeichert werden. Dies sieht erst die geänderte Einschreibungsordnung vor, die auf der Sitzung des Senats der RWTH Aachen vom 26. Mai 2011 verabschiedet wurde.

Die weiteren Daten sind auf verschiedenen BlueCards teilweise konstant, teilweise sind sie unterschiedlich. Bei letzteren könnte es sich um Prüfsummen handeln, was jedoch nur eine Vermutung ist.

Was ist daran problematisch?

Potentiell ungefährliche Daten

Die Gruppenzugehörigkeit zeigt zwar an, dass du eine Studi bist, aber die Tatsache, dass man dies direkt aus der Karte ausliest ist kein zusätzliches Problem. Wenn man eine RFID-Karte ausliest kann man anhand bestimmter Charakteristika eh erkennen, ob es sich um eine mit dem Bezahlsystem des Studentenwerks Aachen kompatible Karte handelt. Und bei diesen kann man wiederum erkennen, ob es sich um eine BlueCard oder eine Gästekarte handelt, da letzteren die RWTH-spezifischen fehlen. Aus der Auslesbarkeit der Gruppe ergeben sich folglich keine weiteren preisgegebenen Daten.

Elektronische Geldbörse

Der Saldo und der Transaktionszähler der elektronischen Geldbörse geben weitere Daten heraus, erlauben also festzustellen, ob jemand diese Funktion überhaupt nutzt, wie oft und wieviel Geld er eingezahlt hat. Hieraus können sich theoretische Gefahren ergeben, wie sie z.B. im nächsten Abschnitt beschrieben sind, da man bei häufigerer Beobachtung evtl. Personen anhand dieser Daten wiedererkennen lassen und sich sogar feststellen lässt, was diese Person gekauft hat (wenn der Transaktionszähler gegenüber dem letzten Auslesen um eines erhöht ist, lässt der Kaufpreis solche Schlüssel evtl. zu). Es kann auch dazu dienen, festzustellen, ob es lohnenswert ist, jemandem die BlueCard zu stehlen.

Tracking/Verfolgbarkeit

Die Kartenseriennummer (UID) ist wie auf Was ist die Bluecard? beschrieben, immer auf der Karte vorhanden. Bei fast allen RFID-Karten kann das Auslesen nicht verhindert werden, erst neuere Varianten, wie die RWTH Aachen sie auch verwendet, können dies durch Verwendung einer immer neuen zufällig generierten ID (RID) verhindern.

Die Kartenseriennummer (UID), die RWTH-Kartennummer sowie die CMS-Kartennummer (ID der elektronischen Geldbörse) sind kartenspezifische Nummern, die es erlauben eine Karte wiederzuerkennen. Sie ändern sich nur durch Ausgabe einer neuen Karte, also bei Austausch oder Neuausstellung z.B. bei Verlust. Sie erlauben also theoretisch ein Tracking einer Person, wenn diese dieselbe BlueCard bei sich trägt. Ob dies eine relevante Gefahr ist muss jeder für sich selbst einschätzen. Häufig wird eine Auslesereichweite von 10cm angegeben und wer versucht mit der BlueCard in der Mensa zu bezahlen mag dies auch bereitwillig glauben, wenn man sieht, wie erfolgreich eine BlueCard in einem Portemonnaie ausgelesen werden. Andererseits gibt es auch selbstgebaute bzw. umgebaute Lesegeräte, die eine höhere Reichweite erlauben. Wie hoch die Reichweite mit solchen Geräten im Zusammenspiel mit der BlueCard sind, kann hier jedoch nicht beantwortet werden.

RWTH-Kartennummer

Die RWTH-Kartennummer ist da noch ein spezielleres Problem. Die ist nicht nur elektronisch auf der Karte gespeichert, sondern auch im Klartext und als Barcode auf der Karte aufgedruckt. Und genau dieser Barcode soll für die Nutzung der Bibliothek genutzt werden. Die Bibliothek wird zuerst nur diesen Barcode nutzen, um evtl. später stufenweise auf RFID umzustellen.

Ein mögliches Missbrauchsszenario ist das folgende: A liest die Karte von B aus und erhält die RWTH-Kartennummer von B. A generiert aus dieser Nummer den passenden Barcode (was einfacher ist, als viele denken). A druckt diesen Barcode auf eine weiße Klebefolie auf und klebt diese dann auf seine BlueCard. A kann dann, wenn die Bibliothek sich die BlueCard nicht genau anschaut, Bücher auf das Konto von B ausleihen. A hat dann ein Buch oder mehrere und B hat die Kosten für verspätete Rückgabe oder gar Verlust des oder der Bücher.

Die Bibliothek hat daher und weil man eine erneute Umstellung der Bibliothekskonten von der alten auf die neue BlueCard scheute, die Umstellung erstmal ausfallen lassen. Aus Sicherheitsgründen hat man für die neue BlueCard eine neue RWTH-Kartennummer generiert und nicht die der alten benutzt, was möglich gewesen wäre, da dann weiterhin Missbrauch möglich wäre mit Hilfe bereits in der Vergangenheit ausgelesenen Kartennummern.

Wie wurde das in der neuen Version der BlueCard abgestellt?

Bei der neuen Version der BlueCard hat man sichergestellt, dass auf alle Bereiche der Karte nur noch mit geheimen Schlüsseln zugegriffen werden kann. Zusätzlich wurden weitere Sicherheits- und Verschleierungsmaßnahmen, die die Karte bietet aktiviert. Auch die Kartenseriennummer (UID) ist nicht mehr auslesbar, da die Option der Random ID (RID) aktiviert wurde. Statt der UID erhält man nun nur noch eine zufällige ID, die sich bei jeder neuen Verbindung ändert. Eine Verfolgung einer Person oder eine Karte anhand der auslesbaren ID ist daher nicht mehr möglich.

Eine detailliertere Information zu dieser Sache wird nach Ende der Umtauschaktion folgen, wenn auch die Informationen über die genauen technischen Hintergründe der Probleme der ersten BlueCard auf dieser Seite zur Verfügung gestellt werden.