Das Wort »RFID« jagt sicher einigen Menschen einen kalten Schauer den Rücken hinunter. Sie denken dabei, an den neuen Personalausweis, die Krankenkarte oder zum Teil an die Karte an ihrer Universität und befürchten, dass diese von der Ferne ausgelesen werden kann.¹ Zumindest bei letzteren kann es dabei um »richtiges« Geld gehen. Denn zumindest hier in Thüringen ist auf vielen der THOSKA-Karten ein Geldbetrag zum Bezahlen in der Mensa gespeichert. Die ec-Karten haben meist noch viel mehr Geld verfügbar. Hier meldete Heise und die Welt, dass die Sparkassen alle ec-Karten bis 2015 auf kontaktlose Technik umstellen wollen. Ab August 2012 sollten die Kunden Kleinbeträge bis 20 Euro per ec-Karte kontaktlos zahlen können. Doch wie ist es um die Sicherheit der Karte bestellt? Sollte der Besitzer einen Aluhut tragen oder die Karte in eine Aluhülle stecken?

Der untenstehende Screenshot sagt alles:

Dies ist eine kleine App auf einem Nexus. Vielen Dank an Christian Kahlo, der die zusammengebastelt hat. Die Anwendung liest die Karten »im Vorbeigehen« aus und zeigt die verfügbaren Informationen an. Was ist dort zu sehen?

Ganz oben steht die ISO-Tag-ID. Das ist eine pro Karte eindeutige Nummer. Das heißt, damit kann ein Angreifer eine ec-Karte gegebenenfalls immer wieder erkennen. Gerade der viel gescholtene nPA macht das eindeutig besser. Dort wird die Tag-ID zufällig ausgelost. Das heißt, der Besitzer des Ausweises ist über das Merkmal eben nicht zu erkennen. Für den Besitzer einer solchen ec-Karte sieht es ganz anders aus. Selbst wenn die ec-Karte zufällige Tag-IDs verwenden würde, so wird nach dem derzeitigen Stand immernoch eine eindeutige Seriennummer ausgegeben.

Die anderen Angaben sind aus meiner Sicht recht selbsterklärend. Die Kartennummer, Gültigkeit etc. finden sich auch auf der Karte. Der Ladebetrag ist mit Sicherheit ein Feld, was einen technisch ausgestatteten Räuber interessieren könnte. Auf die Art muss er nicht mühsam dutzende von Geldbörsen klauen, sondern kann sich um die lukrativen Fälle kümmern.

Ich habe das Gefühl, dass bei der Karte die Kunden zu Recht einen Schauer haben müssen. Der Digital Courage e.V. sollte seine RFID-Schutzhülle schnell wieder ins Programm nehmen. Die Sparkasse bedient immerhin 45 Millionen potenzielle Kunden.

PS: Der Datenkanal hat den neuen Personalausweis in der 14. Sendung ein wenig beleuchtet.

¹: Wobei Ferne bei den Karten wenige Zentimeter heißt. (Auf einen Hinweis von @stephanjauch ergänzt)