Da wir hier eigentlich alle einen recht technischen Hintergrund haben, fragen wir uns natürlich gelegentlich: „Wie funktioniert das eigentlich?“. So auch bei den Studentcards der TUM. Ich selbst spezialisiere mich im Bereich der IT-Sicherheit und habe aus dieser Perspektive schon seit mehreren Jahren ein ganz besonderes Interesse daran, mal einen näheren Blick auf unsere Mensakarten zu werfen. Praktisch scheiterte dies jedoch an einem Mangel an Informationen und verfügbarer Hardware, jedoch kam in die Sache neuer Schwung, als auf dem Berliner Chaos Communication Congress im Dezember 2009 ein paar Leute mit der richtigen Motivation und technischen Ausstattung sich diese nach dem Namen des Herstellers benannten Legic-Karten mal angesehen haben, feststellten, dass die „Verschlüsselung“ eigentlich nur ein schlechter Witz ist, und Hardware und Software veröffentlichten, um die auf solchen Karten gespeicherten Daten auszulesen.
Mit fünf anderen Studenten und eben jener Ausstattung haben wir innerhalb weniger Wochen die Inhalte vieler TUM-Cards, Mensa- und FH-Karten analysiert, den kryptografischen Schutz umgangen und die Software so weiterentwickelt, dass Daten nicht nur gelesen, sondern auch auf die Karten geschrieben werden können, es uns also theoretisch möglich wäre, beliebige Geldbeträge auf die Karte zu schreiben.
Die Hersteller waren sich natürlich der Problematik prinzipiell bewusst und informierten bereits im Februar recht objektiv über diese Geschichte, kamen aber zu dem Schluss, dass es doch sehr unwahrscheinlich wäre, dass es jemandem tatsächlich gelänge Manipulationen von Karten vorzunehmen. Kurioserweise waren wir ziemlich genau zum Zeitpunkt der Pressemitteilung soweit, eben genau das zu tun.
Ein paar mehr Details (auch technische) habe ich in meinem Privatblog bereits vor ein paar Wochen geschrieben: Mensakarte entschlüsselt. Für die Technikinteressierten finden sich dort auch weitere Details zu den nun tatsächlich auf der Karte gespeicherten Daten.
Nun ist es ja nicht unser erklärtes Ziel, die Studentcards kaputt zu machen, aber wenn wir das so schnell geschafft haben, schaffen das sicherlich auch Leute mit krimineller Energie und daher sind sich alle Parteien bewusst, dass die momentane unsichere Lösung keine Zukunft haben kann. Das Studentenwerk hat sich bereits entschieden in den nächsten 1–2 Jahren auf die Nachfolgetechnologie (Legic Advant) des selben Herstellers zu setzen. Wir halten das aus mehreren Gründen für die falsche Entscheidung: Zum einen hat der Hersteller ja bereits einen hohen Grad an Inkompetenz bei der Konzeption eines sicheren Systems gezeigt (Details gibt’s im Vortrag des 26C3), daher ist auch beim Nachfolgesystem keineswegs sichergestellt, dass es langfristig sicher bleiben wird. Und zum anderen handelt es sich wieder um ein geschlossenes System, mit Lesegeräten, deren Preis weit über dem marktüblichen Durchschnitt liegt. Bei dem System spielt weiterhin die Zwischenfirma Automaten Seitz eine wichtige Rolle und die Beteiligten haben kaum Möglichkeiten, die Karten unabhängig von dieser Firma zu nutzen. Dies allerdings ist momentan eines der Hauptanliegen der TUM, die auf den Studentcards gerne eigene Applikationen installieren würde, ohne extra draufzahlen zu müssen.
Das Studentenwerk ist natürlich auch in einer schwierigen Situation, denn Legic Advant bietet zumindest den Vorteil nahtlos migrieren zu können, da die neuen Lesegeräte im Unterschied zu neuen Technologien abwärtskompatibel sind und somit über einen längeren Zeitraum erst die Lesegeräte und anschließend die Karten ausgetauscht werden können, ohne gezwungen zu sein, alles auf einen Schlag zu erledigen, was wohl zu vielen Problemen und auch punktuell hohen Kosten führen würde.
Die TUM wiederum möchte natürlich die Studentwerkskarte weiterhin in der Studentcard integriert sehen und ist daher gezwungen selbst auch das Konzept des Studentwerks zu übernehmen, möchte aber auch aus anderen Gründen, die ihr sicherlich zumindest passiv schon mitbekommen habt, das Card-Konzept überarbeiten, denn die Karten verschließen momentan schneller als erwartet und die Validierungsautomaten sind immer wieder defekt. Letztendlich will man auch eigene Anwendungen mit der Karte realisieren, wie z.B. die automatische Ausleihe in der Bibliothek, vielleicht kommt ja irgendwann auch noch ein Semesterticket mit dazu und nicht zuletzt haben auch manche Fachschaften Interesse die Karte z.B. zum Bezahlen beim Skriptenverkauf zu nutzen. Wie das alles jedoch realisiert werden soll, steht noch in den Sternen und wird wohl auch noch eine Weile diskutiert werden.