Wie leicht es ist, die Unicard an einem Nachmittag zu hacken

Carolin Buchheim & Konstantin Görlich

Die Freiburger Unicard kann manipuliert werden – ein IT-Experte aus Freiburg hat ausprobiert, wie leicht das geht. Eigentlich müsste die Uni alle Karten sofort austauschen - sie reagiert jedoch besonnen:



Mal gucken, ob’s geht. Das wollte Leopold Schabel im Herbst 2012. Er ging als Gast häufig in der Mensa der Musikhochschule essen und hatte eine Gästekarte, um sein Essen zu bezahlen. „Ich habe einfach mal ausprobiert, ob ich die Karte hacken kann.“ Und er konnte.

Schabel veränderte den Geldbetrag auf seiner Karte, setzte ihn auf einen Wert, den die Auflade-Terminals nicht zulassen und bezahlte sein Mensaessen. Dann meldete er sich beim Studierendenwerk – Hackerehre.

Das Studierendenwerk habe sich interessiert für das offensichtliche Sicherheitsproblem gezeigt und ließ sich von Schabel demonstrieren, wie er seine eigene Karte manipulierte. Und auch, wie er mit Hilfe einer kleinen Antenne eine fremde Unicard  hätte auslesen können, um diese zu kopieren. Das funktioniert aus einigen Zentimetern Entfernung, zum Beispiel in der Mensaschlange – oder während man neben einem mittels Unicard verriegelten Schrank in der UB steht. Das Auslesen dauert nur wenige Millisekunden und wird vom Besitzer der Karte nicht bemerkt.  Kartenleser, Antennen, Kartennachbauten und Anleitungen zum Hack gibt es – wo sonst? – im Internet.

Ein Nachmittag reicht aus

Leopold Schabel arbeitet als Experte für IT-Sicherheit. „Für die Manipulation der Mifare-Classic-Karten  benötigt man nur einen 50 Euro teuren USB-Stick für die Kommunikation mit der Karte, die Software ist kostenlos im Internet verfügbar“, sagt er. „Ein Informatik-Student, der es will und Google bedienen kann, kriegt das an einem Nachmittag hin“, schätzt er die Herausforderung ein.

Grundsätzlich genüge aber auch ein Smartphone mit Kartenschreib und -lesefunktion und eine entsprechende App, wenn die Schlüssel bekannt sind – so wie bei der thüringischen Thoska-Karte. „Die Karten sind so alt, dass es schon lange Nachbauten aus China gibt, darunter auch solche, bei denen man die eindeutige Identifikationsnummer (UID) der Karte verändern kann, was beim Original nicht geht“, sagt Schabel. „Damit kann man Kopien von Karten erstellen, die technisch nicht vom Original zu unterscheiden sind.“ Auch nicht für das Schließsystem, das die UID mit einer Datenbank abgleicht, in der verzeichnet ist, welche Karte welche Türen öffnet. Das Missbrauchspotenzial einer Kopie einer für das Schließsystem autorisierten Karte ist offensichtlich.

Die Uni müsste alle Karten austauschen

Im Frühjahr 2015 – zweieinhalb Jahre später –  machen wir den Test. Was hat sich getan? An Mensakassen stehen zwar neue Lesegeräte, aber die Karten sind noch vom Typ „Classic“, wie Schabel anhand einer im März 2015 ausgegebenen Unicard binnen Sekunden feststellt. Er könnte sie samt UID kopieren. Aus seiner Sicht gibt es nur eine Lösung: „Die Uni muss alle Karten, alle Lesegeräte und schlimmstenfalls auch noch Teile der zentralen Steuerung austauschen.“

Das sehen auch die Verantwortlichen von Uni, Studierendenwerk und UB so. Wenn der Hack so einfach ist – warum gab es bisher keinen größeren Schaden?  „Was für ein Interesse sollte jemand haben, das zu machen?“, fragt Dieter Roß, Abteilungsleiter Finanzen & IT beim Studierendenwerk zurück. „Dafür muss man Geräte kaufen und einen Haufen Zeit reinstecken.“ Die Kosten-Nutzen-Rechnung stimme einfach nicht, weil man gerade bei Manipulationen der Geldbörse schnell erwischt werde. Würden auf einer Karte auffällige Buchungen bemerkt, würde sie beobachtet.

„Ein einziges Mal haben wir eine Karte gesperrt. Da hat sich niemand gemeldet.“ Gerhard Schneider, Direktor des Rechenzentrums, sieht noch einen anderen Grund: „Die Schnittmenge von Studierenden, die diesen Hack zustande bringen können und auch ein Interesse daran haben, banalen Vandalismus zu betreiben oder sich finanzielle Vorteile zu verschaffen, ist verschwindend klein.“
Wäre es das Ende der 60er Jahre, so der Informatiker, würde er sich mehr sorgen. „Es braucht jemanden, der eine andere Motivation hat – vielleicht eine politische.“

Die Unicard

Mitte der 90er Jahre wurde die Technik der „Mifare Classic“-Karten entwickelt. Seit Ende der Nullerjahre ist bekannt, wie die Schlüssel, mit denen die Daten auf der Karte geschützt werden, ermittelt werden können. Mifare-Classic-Karten werden nicht nur als Bezahl- und Zugangskarten, sondern auch als Tank- oder Kundenkarten sowie als Tickets im ÖPNV verwendet.

Mehr dazu:

[Foto: Ingo Schneider]