Presse-Informationen
c't

  1. heise group
  2. Presse-Informationen
  3. c't

Millionen Bezahlkarten sind unsicher
Verschlüsselung von RFID-Chips geknackt

Hannover, 28. März 2008 - Die RFID-Chips eines weit verbreiteten Kartensystems lassen sich auslesen und kopieren: Betroffen sind hunderttausende Studierende, die mit ihren Ausweisen in der Mensa bezahlen. Auch Zugangskontrollsysteme für Firmen und die Bundeswehr sowie Bezahlkarten für Bahntickets in den Niederlanden und London haben ein gravierendes Sicherheitsproblem, so das Computermagazin c't in der aktuellen Ausgabe 8/08.

Eigentlich geht es nur um ein Produkt eines einzigen Herstellers. Doch die funkenden RFID-Chips "Mifare Classic" sind die weltweit wohl meistverbreiteten ihrer Art und nach Herstellerangaben milliardenfach im Einsatz. Das Problem: Die Chips sind auf dem technischen Stand von 1995.

Mitglieder des Chaos Computer Clubs haben jetzt in Zusammenarbeit mit der University of Virginia gezeigt, wie sich die Chips unbefugt auslesen lassen. Als Hilfsmittel verwendeten sie Nagellackentferner, eine Poliermaschine, ein Mikroskop mit Digitalkamera und einige Computerprogramme. Schicht für Schicht haben sie den Chip abgetragen, aus den Bildern den Schaltplan ausgelesen und daraus den Verschlüsselungs-Algorithmus hergeleitet. "Dabei hat sich gezeigt, dass der Verschlüsselungs-Algorithmus sehr schwach ist", berichtet c't-Redakteurin Christiane Rütten. "Damit lassen sich leicht die Zugangsschlüssel herausfinden, und dem Missbrauch der Karten sind Tür und Tor geöffnet."

Je nach Anwendungsgebiet enthält die Karte vertrauliche Daten wie Kundennummer, Name und Anschrift des Inhabers oder auch eine Liste von Orten, an denen die Karte benutzt wurde. Als Teil eines Bezahlsystems ist es unter Umständen nicht nur möglich, auf Kosten anderer Bahn zu fahren oder in einer Mensa zu speisen, sondern auch, ein beliebiges Guthaben auf die Karte zu buchen.

RFID-Systeme mit einer besseren Verschlüsselung gibt es durchaus, doch sind sie deutlich teurer. Unternehmen, die das System einsetzen, winken daher ab: Umstellen wollen sie erst, wenn nachweisbare Betrugsversuche bekannt sind.

Hinweis für Hörfunkredaktionen:
Ein Radiobeitrag zu diesem Thema sowie O-Töne von c’t-Redakteurin Christiane Rütten sind unter 05 11/2 79 15 60 beim c’t-Hörfunk-Service abrufbar. Unter www.radioservice.de steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.

Copyright 2024 Heise Gruppe GmbH & Co. KG