Emeal und die Detektive

Vor einiger Zeit hatte ich mal aus Interesse eine Anfrage an das Studentenwerk gestellt, bezüglich der Sicherheit des Emeals. Der Emeal ist ein kleiner Chip, der zum Kauf einer Mahlzeit in den Dresdner Mensen verwendet wird.

Eigentlich wollte ich die Email nicht einfach zitieren, weil ich dachte das sei ohne Einwilligung des Kommunikationspartners verboten (die ich leider versäumt hatte gleich zu erfragen), was schließlich dazu führte, dass ich bis dato gar nichts dazu geschrieben habe. Nun habe ich neulich aber irgendwo einen langen Beitrag mit einer ganzen Menge Links zu Gerichtsurteilen gelesen, die diese Ansicht wiederlegen. Insbesondere, da es sich hier ja nicht um private Informationen handelt, sondern sogar ganz im Gegenteil öffentliches Interesse vorhanden ist.

Hier also meine Mail an Herrn Lehmann vom Studentenwerk:

Sehr geehrter Herr Lehmann,

ich interessiere mich angesichts der aktuellen Debatten rund um den Datenschutz und die Datensicherheit sehr dafür, wie an unserer Universität mit diesem heiklen Thema umgegangen wird. Darunter fällt auch der hier genutzte Emeal.

An anderen Universitäten werden Chips und Karten mit der sehr unsicheren Mifare-Technologie genutzt, die immer wieder in die Kritik gerät, vor allem, weil teilweise sehr umfangreich persönliche und sensible Daten auf den Chips gespeichert werden.

Leider konnte ich auf ihrer Webseite und insbesondere unter http://www.studentenwerk-dresden.de/mensen/emeal.html keine technischen Details zum Emeal finden.

Daher würde ich mich sehr freuen, wenn Sie mir mitteilen könnten, wie das Bezahlsystem genau funktioniert, welche Technologien und welcher Chip hier zur Anwendung kommen und vor allem, welche Daten auf dem Chip gespeichert werden.

Sollten Sie mir dazu keine Auskunft geben können, würde ich mich auch sehr freuen, wenn Sie mir den richtigen Ansprechpartner für diese Fragen nennen könnten.

Mit freundlichen Grüßen
Danny Leonhardt

Hier die Antwort von Herrn Gebler, dem Sachgebietsleiter EDV vom Studentenwerk Dresden, dem meine Mail zugeleitet wurde:

Guten Tag Herr Leonhardt,

Herr Lehmann hat mir Ihre Mail zur Beantwortung übergeben.

Unser in den Verpflegungsbetrieben eingesetztes Bezahlsystem wurde zusammen mit dem Euro per 01. 01. 2002 eingeführt. Sowohl der Name EMEAL als auch die Form des Schlüsselanhängers wurden maßgeblich von unserer Hauptclientel, den Studenten, mitbestimmt.

Der EMEAL enthält als Kernstück einen Mifare-Classic-Chip. Einzige darauf implementierte Anwendung ist die Bezahlfunktion, die zusammen mit der von uns verwendeten Hard- und Software eine Einheit bildet. Auf dem EMEAL werden nur die für einen Aufwerte- oder Bezahlvorgang notwendigen Daten in verschlüsselter Form gespeichert. Er enthält keinerlei personenbezogene Daten und erfüllt damit alle datenschutzrechtlichen Vorgaben. Er wird nach Vorlage der Berechtigungsbescheinigung gegen Kaution ohne Erfassung von Daten des Nutzers ausgegeben. Die sog. Verbrauchergruppe (Student/Bediensteter/Gast) entscheidet über den zu zahlenden Essenspreis. Mit einer Identifikationsnummer wird sichergestellt, dass nur unserem System bekannte EMEALS als Zahlmedium verwendet werden können. Bei jeglichem Missbrauchsverdacht (Diebstahl, Nutzung ohne Legitimation, Manipulationsversuche u.a.) oder Rücklastbuchungen nach EC-Aufwertungen wird der entsprechende EMEAL gesperrt und eingezogen.

Sollten Sie mit Ihrer Bemerkung zur Unsicherheit der Mifare-Technologie auf den Artikel in der c\’t im April anspielen, so verweise ich Sie auf die Website unseres Herstellers und Lieferanten der EMEALs www.intercard.org. Dort finden Sie eine entsprechende Pressemitteilung. Das Studentenwerk plant in diesem Zusammenhang, den EMEAL in überschaubarer Zeit durch eine noch sichere Prozessorchipkarte abzulösen.

Ich hoffe, dass ich Ihre Bedenken hinsichtlich Datenschutz und Datensicherheit, zumindest was den im Studentenwerk verwendeten EMEAL angeht, zerstreuen konnte.

Mit freundlichen Grüßen

Wolfgang Gebler

Bleibt die Frage, wie lange „in überschaubarer Zeit“ exakt ist.

Dieser Beitrag wurde unter Software, Technik veröffentlicht. Setze ein Lesezeichen auf den Permalink.

3 Antworten auf Emeal und die Detektive

  1. > noch sichere Prozessorchipkarte

    Als ob Mifare Classic irgendeine Form von Sicherheit bieten würde 😀

    Du hast es bestimmt schon konsumiert. Ich empfehle die folgenden Vorträge in der angegebenen Reihenfolge zu verdauen:
    (Wer Zeit sparen will lässt den ersten weg.)

    1. 24C3 Video / Audio vom Vortrag über den Mifare-Chip:
    http://chaosradio.ccc.de/24c3_m4v_2378.html (Video, ca 1h)
    http://chaosradio.ccc.de/24c3_mp3_2378.html (Audio)

    2. Chaosradio Express „Der Mifare-Hack”:
    http://chaosradio.ccc.de/cre098.html (Audio, ca. 2h)

    Hier erfährt man (zumindest ungefähr), wie man den Chip hacken muss, damit man ihn zu Hause auch ohne Bargeld aufladen kann. Es handelt sich dabei um Mifare-Classic. Mittlerweile gibt es auch neuere Mifare-Chips, die AES (ein standardisiertes Verschlüsselungsverfahren) beherrschen.

  2. Manueller Trackback 😉
    „Was das Mikron-Fahrgeld-System so interessant macht – Die Verschlüsselung von Mifare-Classic basiert auf einer vom Hersteller geheimgehaltenen Chiffre. Wie sich herausstellte war die Geheimhaltung auch von fundamentaler Bedeutung für die Sicherheit des gesamten Systems. Damit verstießen die Konstrukteure gegen eine bereits seit über hundert Jahren etablierte Grundregel der Kryptografie…”

  3. onkelerika sagt:

    An den Käfer: Sehr schön.
    An den Leser: Lesen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.