Qbi's Weblog

Nachdem ich kürzlich schrieb, dass ec-Karten auch per RFID auszulesen sind, fragt der eine oder andere, wie sich das verhindern lässt.

Der Digital Courage e.V. schrieb in einem Kommentar, dass die RFID-Schutzhüllen doch erhältlich sind. Wenn die Karte in der Hülle steckt, ist sie gut geschützt.

Weiterhin könnt ihr einfach eine handelsübliche Alufolie verwenden. Die Karte wird damit umwickelt und die Übertragung ist gestoppt. Weiterhin sollten auch Münzen einen Schutz bieten. Das heißt, wenn eure Münzen rings um die ec-Karte liegen, ist die ebenfalls geschützt.

Auf Twitter wies @beeblebrax darauf hin, die Funktion nicht zu nutzen. Die Seite »Wie und wo kann ich laden?« schreibt, dass die Karte geladen werden muss. Das kann entweder per Abo oder mit PIN passieren. Ist kein Guthaben drauf oder die Funktion nicht aktiv, so ist alles gut.

Wie ihr in den Kommentaren zum Beitrag gelesen habt, überlegt der eine oder andere, den Chip oder die Antenne zu zerstören. Das Bild auf der linken Seite zeigt den Verlauf der Antenne. Die Methoden reichen vom Einschneiden über Lochen bis zum Bohren mit einem 1mm-Bohrer. Überlegt euch, ob ihr das wirklich wollt. Denn wie Engywuck schrieb, haftet ihr unter Umständen für die Schäden, die dadurch entstehen.

Der @i8br brachte noch RFID-Zapper ins Gespräch. Hier muss ich mal testen, ob das bei den Karten funktioniert.

Das Wort »RFID« jagt sicher einigen Menschen einen kalten Schauer den Rücken hinunter. Sie denken dabei, an den neuen Personalausweis, die Krankenkarte oder zum Teil an die Karte an ihrer Universität und befürchten, dass diese von der Ferne ausgelesen werden kann.¹ Zumindest bei letzteren kann es dabei um »richtiges« Geld gehen. Denn zumindest hier in Thüringen ist auf vielen der THOSKA-Karten ein Geldbetrag zum Bezahlen in der Mensa gespeichert. Die ec-Karten haben meist noch viel mehr Geld verfügbar. Hier meldete Heise und die Welt, dass die Sparkassen alle ec-Karten bis 2015 auf kontaktlose Technik umstellen wollen. Ab August 2012 sollten die Kunden Kleinbeträge bis 20 Euro per ec-Karte kontaktlos zahlen können. Doch wie ist es um die Sicherheit der Karte bestellt? Sollte der Besitzer einen Aluhut tragen oder die Karte in eine Aluhülle stecken?

Der untenstehende Screenshot sagt alles:

Dies ist eine kleine App auf einem Nexus. Vielen Dank an Christian Kahlo, der die zusammengebastelt hat. Die Anwendung liest die Karten »im Vorbeigehen« aus und zeigt die verfügbaren Informationen an. Was ist dort zu sehen?

Ganz oben steht die ISO-Tag-ID. Das ist eine pro Karte eindeutige Nummer. Das heißt, damit kann ein Angreifer eine ec-Karte gegebenenfalls immer wieder erkennen. Gerade der viel gescholtene nPA macht das eindeutig besser. Dort wird die Tag-ID zufällig ausgelost. Das heißt, der Besitzer des Ausweises ist über das Merkmal eben nicht zu erkennen. Für den Besitzer einer solchen ec-Karte sieht es ganz anders aus. Selbst wenn die ec-Karte zufällige Tag-IDs verwenden würde, so wird nach dem derzeitigen Stand immernoch eine eindeutige Seriennummer ausgegeben. 

Die anderen Angaben sind aus meiner Sicht recht selbsterklärend. Die Kartennummer, Gültigkeit etc. finden sich auch auf der Karte. Der Ladebetrag ist mit Sicherheit ein Feld, was einen technisch ausgestatteten Räuber interessieren könnte. Auf die Art muss er nicht mühsam dutzende von Geldbörsen klauen, sondern kann sich um die lukrativen Fälle kümmern.

Ich habe das Gefühl, dass bei der Karte die Kunden zu Recht einen Schauer haben müssen. Der Digital Courage e.V. sollte seine RFID-Schutzhülle schnell wieder ins Programm nehmen. Die Sparkasse bedient immerhin 45 Millionen potenzielle Kunden.

PS: Der Datenkanal hat den neuen Personalausweis in der 14. Sendung ein wenig beleuchtet.

¹: Wobei Ferne bei den Karten wenige Zentimeter heißt. (Auf einen Hinweis von @stephanjauch ergänzt)