Die Unicard hat massive Sicherheitslücken - und die sind seit Jahren bekannt - Freiburg

Die Unicard fungiert als Geldbörse, sie öffnet Türen oder Schließfächer. Dabei lässt sie sich leicht hacken. Mehr als 37000 Karten sind in Freiburg im Umlauf. Sie umzutauschen, würde eine halbe Million Euro kosten:

Alle Studierenden und Beschäftigten der Albert-Ludwigs-Universität haben eine Unicard. Mehr als 37000 der blauen Karten sind aktuell im Umlauf. Die mit einem Funk-Chip versehene Karte ist Studierenden- und Bibliotheksausweis, öffnet Türen und Schließfächer und funktioniert als Geldbörse für Mensa und Kopierer. Und sie ist unsicher. Die Unicard kann mit überschaubarem technischen Aufwand manipuliert oder kopiert werden.

Mit diesem Problem ist die Uni Freiburg nicht allein – mindestens 70 Universitäten und Hochschulen in Deutschland verwenden ebenfalls eine Karte des Anbieters Intercard, in der ein Chip mit dem Namen "Mifare Classic" steckt.

Im Februar 2015 veröffentlichten Hacker die Schlüssel der wenige Monate zuvor eingeführten und zu Freiburg baugleichen Thüringischen Hochschulkarte "Thoska" im Internet. Mit manipulierten Karten, so gaben die thüringischen Studierenden an, hätten sie kostenlos in der Mensa essen, kopieren und ungehindert beliebige Türen an Hochschule und Uniklinik öffnen können.

Dass Karten des Typs "Mifare Classic" unsicher sind, ist seit Jahren bekannt. Schon 2007 zeigten deutsche und US-amerikanische Computerfachleute, dass die Verschlüsselung des Systems leicht geknackt werden kann. Bisher sind Hacks der Unicard in Freiburg nur vereinzelt vorgekommen – unter anderem initiiert vom Uni-Rechenzentrum.

Die Unicard auszutauschen, kostet eine halbe Million Euro

Dass die Unicard ausgetauscht werden muss, darin sind sich Uni, Universitätsbibliothek und Studierendenwerk einig – diese drei Freiburger Institutionen nutzen die Funktionen der Karte. Einen sofortigen Austausch scheuten sie aus Kostengründen. Stattdessen behelfen sie sich mit zusätzlichen Sicherungsmethoden.

In der UB können Studierende seit zwei Jahren nur noch mit Unicard und PIN-Eingabe Bücher ausleihen, die Daten der Türsysteme werden nicht mehr auf der Karte, sondern in einer Datenbank gespeichert. Bezahlt ein Student mit der Karte, wird der neue Ladebetrag der Karte innerhalb von 15 Minuten online vom Studierendenwerk abgeglichen.

Bisher sei man um eine sanfte Umstellung bemüht, sagt Gerhard Schneider, Direktor des Rechenzentrums der Uni Freiburg. "Sollte irgendwer den großen Hack ausrufen, dann brauchen wir 500000 Euro und jeder bekommt sofort eine neue Karte". Das Risiko sei bekannt: "Wir stellen uns auf den Tag X ein."

Vor drei Jahren begann die Uni, Kartenleser an Türen gegen solche auszutauschen, die sowohl die unsicheren "Classic"-Karten als auch neuere – und wohl auch sicherere – Mifare-Karten vom Typ "Desfire" auslesen können. Das Studierendenwerk hat seine rund 350 Kartenleser an den Kassen von Mensen und Cafés erneuert; auch die UB hat umgestellt. "Alle Lesegeräte sind bereits mit den alten und den neuen Karten kompatibel", sagt Ato Ruppert, stellvertretender Leiter der UB. Doch ein Restrisiko bleibt – so lange die Mifare-Classic-Karten im Umlauf sind.

Mehr dazu:

fudder: Wie leicht es ist, die Unicard an einem Nachmittag zu hacken (Juni 2015)

fudder: Digitale Protestaktion: Hacker griffen Uni Freiburg an (Oktober 2012)

fudder: Datenschutz: Warum plötzlich die halbe Uni Tinas Handynummer hatte (April 2011)

[Foto: Ingo Schneider]