Datenschutz

FoeBuD braucht Studentenausweise und Mensakarten für Forschungsprojekt

An den meisten Universitäten bekommt man mittlerweile kleine Plastikkarten mit integriertem RFID-Chip als Studentenausweis oder Mensakarte. Die Unis nennen die Technik aber nur ungerne beim Namen und versuchen den Chips andere Bezeichnungen zu geben (z.B. Mifare-Chip) oder die Vorteile der kontaktlos verwendbaren Karten herauszustellen. An der kontaktlosen Verwendbarkeit kann man den Einsatz von RFID-Chips erkennen.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Wie weit es dabei mit dem Datenschutz her ist, möchte der FoeBuD in einem Forschungsprojekt herausfinden. Dazu braucht er Studentenausweise und Mensakarten von möglichst vielen Universitäten. Also schickt eure Karten – ausreichend frankiert – an den FoeBuD:

Wir freuen uns über alle Einsendungen. Schreibt bitte die Hochschule dazu und welche Funktionen mit der Karte genutzt werden können. Auch wer seine Karte nur für ein, zwei Wochen entbehren kann, kann sie uns schicken. Die Karten werden nicht verändert oder beschädigt und wir senden sie hinterher natürlich zurück. Die Aktion läuft bis Ende Oktober 2012.

Die Adresse zum Einsenden der Karten ist:
FoeBuD e.V., RFID-Forschungsprojekt, Marktstraße 18, 33602 Bielefeld

Weitersagen und Unterstützen. Danke!
13 Kommentare
    1. Das verstehe ich auch nicht, wieso der Foebud nicht einfach die Nutzer selbst per Handy die Karten auslesen lässt und sich nur die Ergebnisse schicken lässt, das könnte man ja beispielsweise mit einer speziellen App automatisieren. Mehr als damit kann der Foebud ohne die Karte zu beschädigen doch dann auch nicht mehr machen.

      1. Nur weil manche Handys manche NFCs auslesen können, heisst das nicht, dass das alle Handys können – geschweige denn RFIDs.

        Und möglicherweise kann man mit speziellen Lesegeräten mehr sicherheitsrelevante Informationen herausbekommen.

        Welches Handy kann denn welche NFCs auslesen? (Kenne keins.) Und wie sieht es mit RFIDs aus, die keine NFCs sind?

      2. @matze: ja der Gedanke ist gut, doch sollte man den Sicherheitstechnischen Aspekt nicht unterschaetzen: Wenn eine App mit Schluesseln zu den einzelnen Sektoren rausgegeben wird, sind nunmal die Schluessel an der Oeffentlichkeit, was dann kein „knacken“ der Karte mehr braucht, weil es jeder ohne weiteres lesen und schreiben koennte.
        Wenn Schluessel nicht bekannt, muesste die Karte vom Handy rausgefunden werden, was nicht ohne weiteres moeglich ist. Ich bin mir nicht sicher, ob die Felder so exakt angesteuert werden koennen…

        Zudem, was Weirdo schon sagte, gibt es erst eine Handvoll von NFC faehigen Handys. Moechte aber noch dazu sagen, dass die NFC unterstuetzenden Handys alle auf der 13.56MHz Frequenz liegen ;)

        Wenn die Karte wirklich mit dem Handy einfach so ausgelesen werden kann, wuerde ich mir als Mensa Sorgen machen, das bedeutet naemlich, dass sie nur mit den Standardschluesseln belegt ist.

  1. Die Unis nennen die Technik aber nur ungerne beim Namen und versuchen den Chips andere Bezeichnungen zu geben (z.B. Mifare-Chip)

    Was gar nicht mal so unsinnig ist, da Mifare ein konkreter Typ dieser Chips ist und man so wenigstens weiß, was man vor sich hat (und wie man ihn eventuell hacken kann…).

    Ich habe vor einiger Zeit schon festgestellt, dass sich solche Chips übrigens sehr einfach vor dem Auslesen (zumindest durch die Geräte in unserer Mensa) schützen lassen, indem man einfach außen zwei Kondome ins Portemonnaie packt (sodass die Karte dazwischen liegt). Die metallhaltige Verpackung versaut das Signal anscheinend gut genug, dass der Leser streikt.

  2. Wir haben auch nur Mifare-Chips, aber dummerweise sind die Karten heutzutage gleichzeitig das Semesterticket und daher unentbehrlich – wenn ich schon fertig wäre, hätte ich aber mitgemacht.

    Konkret sind die Karten-IDs aber erst mal nicht zu bestimmten Personen zugeordnet, zumindest die Zuordnung Karte Benutzeraccount im Hochschulnetz muss man bei uns selbst vornehmen (hauptsächlich für die Drucker). Andererseits… mmhh.. für Zugangsberechtigungen scheint ne Zuordnung zu existieren. Also wohl doch irgendwo ne Liste vorhanden, die aber nicht jeder bekommt.

  3. Sorry, FoeBud, aber bei einer solchen Aktion und der eigenen Agenda hier nicht mal einen Halbsatz zum Thema Datenschutz zu verlieren, nenne ich mal einen kapitalen Bock geschossen.

      1. Antwort vom FoeBuD:

        Zum Thema Datensicherheit und Datenschutz: Die Karten werden an einem separaten Laptop ausgelesen, der physikalisch vom Internet getrennt ist. Der Rechner selbst besitzt eine verschlüsselte LVM, wobei das „Archiv“ auf dem Rechner nochmal in einem verschlüsselten Container liegt. Der Zugriff vom Internet ist vollkommen ausgeschlossen. Es wird keine Veröffentlichung des Archivs geben, da dies extrem fahrlässig wäre und wir Datenschutz bekanntermaßen wichtig finden.

        Es werden die direkten Payloads der Karten gespeichert, wobei diese
        natürlich anonymisiert sind, soweit es möglich ist. D.h. bei Studiausweisen sind die erkennbaren Teile (wie Name, Nummern, die der Person zugeordnet werden können) herausgelöscht. Lediglich der Ort und welche Universität / Fachhochschule, ist abgespeichert, da wir ja genau dies untersuchen wollen. Wir können also im Nachhinein keine Aussage treffen, wem eine bestimmte Karte gehört.

        Zur Dauer können wir im Moment nur sagen, dass es auf jeden Fall bis Ende der Aktion (Ende Oktober) bzw. bis wir die finale Auswertung gemacht haben, gespeichert sein wird.

        Der Schutz der einzelnen Personen, die ihre Karte bereitstellen, ist uns sehr wichtig und genießt höchste Priorität.

  4. Spannendes Projekt.
    Und sicher auch sehr Medienwirksam, da damit wahrscheinlich wieder demonstriert werden kann, wie sehr wir von Technologie umgeben sind deren Implikationen Viele nicht verstehen.

    Als Angestellter kann ich meine Karte aber natürlich nicht senden, weil sie auch als Schlüssel fungiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.