Juhu: RFID in meinem Studentenausweis

puck

Als ich vor zweieinhalb Jahren anfing zu studieren, gehörte ich zur ersten Generation Studenten, die die glorreiche „PUCK“ bekamen. Jene Potsdamer UniversitätsChipKarte“ (never trust a Binnenmajuskel) galt seinerzeit „nur“ als Ticket, welches großzügigerweise zur Benutzung des gesamten Berliner und Brandenburger Nahverkehrs berechtigt, mit der man in der Bibliothek ausleihen kann und Studienbescheinigungen an Terminals ausdrucken. Auf der Karte befand sich ein Strichcode und der augedruckte Gültigkeitszeitraum des Nahverkehrtickets. Als Erstsemestler, der arglos in eine völlig unbekannte Welt eintaucht, macht man sich über Sachen wie Datenschutz erst einmal überhaupt keine Gedanken – mal ehrlich, wer könnt’s mir verdenken?

Etwas misstrauisch wurde ich schon, als ich irgendwann zwischen Tür und Angel das Gerücht vernahm, in der Karte sei ein RFID-Chip (sprich: Arfid-Tschip), also eine passive Radiowellen-Sendeeinheit, integriert. Ein solcher erlaubt es, grob gesagt, ein Signal und damit Daten zurückzusenden, wenn sich ein passender Sender in der Nähe des Chips befindet. Dazu, und das ist die eigentliche Revolution, benötigt der Chip keine eigene Stromquelle. Diese Technik hat ohne Frage ein großes Potential – für die Logistik etwa oder für entlaufene Haustiere, denen die Dinger heute schon unter die Haut implantiert werden – aber die Gefahren sollten dabei nicht unterschätzt werden. Man weiß nicht, wann, wo und von wem die Daten ausgelesen werden können, wer diese Daten mitloggt, speichert, etc. Mehr zur RFID-Problematik beim FoeBuD e.V.

Ich war im Stress seinerzeit und verkramte die Sache erstmal wieder in hinteren Hirnregionen. Irgendwann erreichte mich jedoch eine Informationsmail über den Uni-Verteiler, in der die tollen neuen Möglichkeiten des Studierenden- Studentenausweises geschildert wurden: Als Bezahlungsmittel für die Mensa sollte sie demnächst verwendet werden können, als Kopierkarte und „Geldbörse für kleinere Beträge“. Bei Fragen sollte man sich vertrauensvoll an die Website oder gleich per Mail an die zuständige Stelle wenden. Weil in der Mail keinen und auf der Site ausser der leicht zu überlesenden Andeutung einer Andeutung

in den FAQ keinerlei Hinweise zu RFID gab (und übrigens auch heute, ein knappes Jahr später, noch nicht gibt), schrieb ich am 10. Juni 2006 eine kurze Mail:

Hallo,

ein paar ganz kurze Fragen zur PUCK-Karte,

stimmt es, dass sich auf der PUCK-Karte ein RFID-Chip befindet?
Falls ja, zu welchem Zweck? Und: besteht die Möglichkeit, dass ich meinen Studierendenausweis ohne diesen bekomme bzw. umtauschen kann?

Mit freundlichen Grüßen,
[maloXPs Realname]

Eine Antwort bekam ich nie.

Als ich nun vor ein paar Tagen an eines der Uni-Terminals ging, um den üblichen Semesteranfangs-Papierkram zu erledigen, wurde ich – anders als früher – aufgefordert, die Karte auf eine Vorrichtung zu legen. Früher musste ich meine Karte in einen Schlitz stecken. Das Irritierende: Der Schlitz existiert weiterhin und um das Nahverkehrsticket zu „updaten“ (die Gültigkeitsdauer wird draufgedruckt), muss ich die Karte auch hineinschieben. Die Vorrichtung zum „Drauflegen“ der Karte wurde zusätzlich auf den Automaten geschraubt. Jedenfalls: Es dämmerte mir. Zum dritten mal dämmerte es mir – aber jetzt erst wurde ich mir der ganzen Tragweite bewusst. Da ist tatsächlich so ein kleines Mistding in meinem Kärtchen!

Das Verhalten meiner Alma Mater war/ist nun gleich aus zwei Gründen unter aller Kanone:

  1. Mit diesem Overkill an technophiler „Aufrüstung“ wird Kohle verjuckelt, die man auch anders hätte verwenden können. Geradezu sinnbildlich kann man den Automaten sehen, dessen Kartenschlitz weiter funktioniert, der aber unbedingt mit einem RFID-Leser ausgerüstet werden muss. Warum? Hat es vorher nicht funktioniert? Die Tatsache, dass man Studentenausweis und Kopierkarte vorher dezentral, also in doppelter Ausführung bei sich führen musste, ist meines Erachtens ein Luxusproblem. Das E-Payment-System in der Mensa müsste schon „gewaltsam“ eingeführt werden, damit sich die Massen dran gewöhnen. Warum? Na, vorher ging’s doch auch. Never change a running System, denkt sich die konservative Masse, hat damit ausnahmsweise mal recht und wird weiterhin fröhlich Bargeld blechen. Und wenn irgendwann Kartenzahlungszwang herrscht, spart der Caterer (welch Wort…) damit vielleicht einen oder zwei Kantinen-Arbeitsplätze ein? Cool ey. Danke, RFID, für deinen Beitrag zur „Rationalisierung“.
  2. Dann wäre noch die miserable Informationspolitik der Uni Potsdam zu nennen. Fast gewinnt man den Eindruck, bei der Einführung und Dokumentation sollte um jeden Fall die Verwendung des datenschutzrechtlichen Reizworts „RFID“ vermieden werden. Und genau das hat geklappt: Zweieinhalb Jahre lang liefen mehr als zehntausend Studenten, Dozenten und Uni-Mitarbeiter ahnungslos mit einem Chip an ihrem Körper herum, auf dem jeder, der mit den technischen Möglichkeiten ausgerüstet ist, persönliche Daten auslesen kann. Und welche Daten sind das?
    rfid datenschutz
    (Quelle: PUCK Projektbeschreibung)
    Richtig. Nur der Name plus Geburtsdatum plus Matrikelnummer. Als ob ich anhand dieser Daten nicht eindeutig identifizierbar wäre. Als ob es das normalste der Welt wäre, dass jeder Popanz, der meinem Porte… Portmo… meinem Geldbeutel zu nahe kommt, meinen Namen erfährt, wie alt ich bin, dass und wo ich studiere. Und wie schön auch, dass einem gleich versichert wird, man müsse sich keine Sorgen machen, nach dem Gusto: Keine Panik, du Berufsparanoiker, wir denken für dich. Meiner Meinung nach wäre als vertrauensbildende Maßnahme die Angabe solcher Daten wie Sendeleistung des Chips oder Angaben zur Verschlüsselung angebrachter. Aber: nix.

Und nun? Ich werde mir jetzt erstmal eine lustige Hülle aus Alufolie basteln, dann sehe ich weiter. Dauerhaft praktikabel ist das natürlich nicht, weil man die Karte ja ständig braucht. Verständnis für die RFID-Problematik bei meinen Kommilitonen erwarte ich ehrlich gesagt nicht. Und unser AStA wird dem Ruf eines studentischen Kontrollgremiums nicht gerecht – das einzige was man von dem momentan wahrnimmt, sind die Schlammschlachten zwischen den Fraktionen. Sieht so aus, als ob es in der Behausung des Frosches wieder ein Grad wärmer geworden wäre.

[Update] Bitte auch lesen: Den Kommentar von hs.

13 Kommentare

  1. Na Hut ab, da habt ihr ja nette Leute an eurer Uni, die euch so praktischerweise auch ohne euer Zutun an die Speerspitze der technologischen Entwicklung hieven – super!

    Aber mal im Ernst: dass die guten Verwaltungsjungs und Hobbytechniker, die da scheinbar an manchen Unis die Entscheidungsfäden in der Hand halten, – wie soll ich sagen – manchmal kluge Einfälle haben, kann ich auch bestätigen: Als es bei uns um die Verteilung der Studiengebühren ging und jeder mal unter Benutzung von Fantasiezahlen ein paar möglichst innovative Vorschläge einbringen sollte, entblödeten sich die Herren des Rechenzentrums doch nicht, eine Umrüstung des Identifizierungssystems vorzuschlagen: Alle Unirechner sollten dabei mit Fingerabdruckscannern ausgestattet werden, bei denen sich dann der jeweilige Student dann per Daumendruck anmeldet (statt Bibliothekskennung + Passwort, RZKennung + Passwort etc.). Kostenpunkt, soweit ich mich korrekt errinnere, irgendwo im 5 stelligen Bereich. „Die Technik ist zwar noch nicht so erprobt, aber wir sollten doch bitte die Speerspitze der Entwicklung bilden.“ Schöne Scheiße. Glücklicherweise hat unser Konvent nicht gepennt, wir haben jetzt immer noch einfache Papierfetzen als Ausweise und müssen Kennwörter nach wie vor per Hand eintippen. Was nicht heißt, dass sich unsere Uni an sonsten mit herausragenden Leistungen in Punkto Informationspolitik hervortut 🙂

    Viel Erfolg dir auf jeden Fall, mit ein bisschen (mehr) Glück bekommst du ja noch entsprechende Auskünfte bzw. ein paar „prominentere“ Fürsprecher. Wenns auch unwahrscheinlich ist, denn „RFID ist ja eh überall“…

  2. […] Dass das Thema präsenter ist, als mancher vermutet, darauf macht Citronengras aufmerksam. Der Blogger maloXP hat sich mit RFID im Studentenausweis der Potsdamer Uni beschäftigt und kritisiert […]

    //edit: Name in Nickname geändert. –maloXP 😉

  3. Pingback: /teuchtlurm/blog

  4. Damals bei der Einführung hat der AStA schon auf die RFID-Probleme aufmerksam gemacht — aber das wurde nicht gehört und größtes Zugeständnis war ein Vertrag.

    Zur Zeit beschäftigen sich übrigens noch einige Informatiker mit dem Chip.

  5. Hatte nicht der CCC oder irgendwer sonst mal eine Anleitung veröffentlicht, wie man die ollen RFID-Chips zuverlässig braten kann?

  6. Es stimmt nicht, dass der AStA bei der Einführung der Unichipkarte untätig gewesen sein soll. Ich war dabei, als 2001 sehr lang und breit über die Einführung diskutiert wurde (nur als interessierter Student). Selbstverständlich wurden die Argumente, dass einerseits die Einführung als solche unsinnig ist und Geld kostet, und selbst wenn ein Chip (egal ob jetzt über Funk oder klassisch) nicht notwendig wäre vorgebracht. Letztendlich hat der AStA keinerlei Einflussmöglichkeiten, außer mit den Verantwortlichen zu reden (oder halt extremer Demos/Boykotte/… anzuleiern, wofür aber Interesse bei den Studierenden fehlte). So hat sich die Verwaltung über die Bedenken hinweggesetzt und das Ding wie geplant eingeführt.

    Die zweite verpasste Chance etwas gegen den RFID-Chip zu unternehmen war, als von allen Immatrikulierten die elektronischen Fotos eingesammelt wurden. Es gab einige Aufregung, weil das Foto dauerhaft gespeichert werden sollte, angeblich „um im Falle des Verlustes unkompliziert“ eine Ersatzkarte ausstellen zu können. Im Zuge dieser allgemeinen Aufregung wurde über das Thema RFID leider nicht aufgeklärt. Die Speicherung wurde nach Protest allerdings fallen gelassen. Von der Möglichkeit, die Abgabe eines Fotos zu verweigern, und so einen Ausweis ohne Foto zu bekommen (der dann nur zusammen mit Perso gültig ist), haben letztendlich 10 von 15.000 Gebrauch gemacht.

    Die Daten auf dem Chip können nicht einfach so ausgelesen werden. Es handelt sich um einen sog. Mifare-Chip, genauer Mifare Classic 1K, bei dem der Zugriff über einen Schlüssel abgesichert werden kann. Dort wird zwar ein proprietäres, geheim gehaltenes Verschlüselungsverfahren (Stichwort „Security through obscurity“) mit theoretisch kurzen Schlüssellängen eingesetzt, es ist aber bisher kein einfacher Angriff darauf bekannt geworden – was nicht heißt, dass es den nicht gibt. Die Sicherheit hängt am geheim gehaltenen Schlüssel, der für alle Karten identisch ist und nicht leicht ausgetauscht werden kann. Wenn den jemand errät, irgendwie aus den Chips ausgelesen bekommt oder der Lesegerätehersteller sich verplappert, ist die Sicherheit dahin. Mit normal käuflichen Lesegeräten ist die Reichweite auf 1cm beschränkt. In Versuchen ist Leuten das passive Mitlesen von – hier allerdings verschlüsselter – Kommunikation in 2-3m Entfernung gelungen. Allein von den funktechnischen Notwendigkeiten her hat allerdings jede Karte eine weltweit eindeutige Kennung, die die Karte bei jedem Funkkontakt nennen muss. Damit bist Du in jedem Fall wiederzuerkennen, auch wenn die Daten auf der Karte nicht ausgelesen werden können.

    Warum bei den PUCK-Automaten Lesegeräte nachgerüstet wurden weiß ich nicht. Die Kartendaten wurden auch schon beim Schlitz über Funk gelesen.

    Ich vermute, dass für die Bezahlfunktion ein Schattenkonto verwendet wird. D.h. der Geldbetrag, der „auf der Karte ist“, wird nicht auf dem Chip gespeichert, sondern nur auf einem virtuellen Konto. Wenn man dann z.B. kopiert, wird nur in der Buchhaltung der Uni von „Chipkartenguthaben“ zum AVZ umgebucht. Ich entnehme das einigen Bemerkungen, die beim sog. Rektorgespräch am 10.05.2006 gemacht wurden und dem Umstand, dass die Aufladeautomaten einen Netzwerkanschluss haben. Falls das so ist, bedeutet das, dass Deine Bezahlvorgänge nachverfolgbar sind, so sie denn gespeichert werden. Auf dem Chip sollen die Daten so getrennt sein, dass Nutzer der Bezahlfunktion, z.B. das Studentenwerk, nicht auf die anderen Stammdaten zugreifen können

    Welche Daten auf der Karte gespeichert werden, kann man sich ja am PUCK-Automaten anzeigen lassen. Interessant ist z.B. dass Felder für ein Zugangssystem vorhanden sind, die bisher ungenutzt sind. Damit sind interessante Horrorszenarien denkbar: Du kommst nur ins Labor, wenn Du einen entsprechenden Kurs belegt hast, etc.

    Ich finde es insgesamt sehr bedenklich, dass hier in blindem Technikvertrauen ein System eingekauft wurde, das weder von den Nutzern noch von der Univerwaltung durchschaut und kontrolliert werden kann.

  7. Danke, hs, für dein ausführliches Statement. Ich bin zur Zeit dieser Diskussion noch nicht immatrikuliert gewesen und habe deswegen obigen Beitrag auch nur aus der Perspektive eines Studenten verfasst, der eben vor vollendete Tatsachen gestellt wird. Die Möglichkeit, die PUCK ohne Foto zu bekommen, kannte ich z.B. gar nicht.
    Ich werd mal in einer Woche (wenn die Vorlesungszeit beginnt) schauen, welche Daten gespeichert werden. Interessiert mich auch.
    Insgesamt kann man also festhalten, auch wenn hier datenschutzrechtlich kein Super-GAU verursacht wurde, der Umgang mit Personendaten sowie die Entscheidungs- und Informationspolitik der Uni durchaus fragwürdig sind.

  8. „Insgesamt kann man also festhalten, auch wenn hier datenschutzrechtlich kein Super-GAU verursacht wurde, der Umgang mit Personendaten sowie die Entscheidungs- und Informationspolitik der Uni durchaus fragwürdig sind.“

    Eben diese Leichtfertigkeit ist doch die eigentliche Gefahr – wenn es ein datenschutzrechtlicher Super-GAU (Super-GAU ist ein ******-Wort!) wäre, hätte sich wahrscheinlich auch eine nennenswerte Opposition dazu gefunden. Aber eben die schleichende Invention macht es schwierig, sich zu wehren…

    Ansonsten ist die Idee mit der Aluhülle auf jeden Fall originell – pass nur auf, dass du dir die Karte nicht verkratzt…

  9. Pingback: 24stunden.de

  10. Ihr braucht keine Angst haben. RFID ist was Gutes. Damit das Bauernvolk aufgeklärt wird: Luxus ist auch was Gutes und Entwicklung ist auch was Gutes und Schnelligkeit, etc.

    Der Hut „Bewegungsprofile erstellen“ ist längst veraltet. Kommt mir ja nicht mit Datenschutz.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.