{"id":570,"date":"2010-03-01T22:50:52","date_gmt":"2010-03-01T21:50:52","guid":{"rendered":"http:\/\/blog.benny-baumann.de\/?p=570"},"modified":"2010-03-01T22:50:52","modified_gmt":"2010-03-01T21:50:52","slug":"datenschutz-deluxe","status":"publish","type":"post","link":"https:\/\/blog.benny-baumann.de\/?p=570","title":{"rendered":"Datenschutz deluxe"},"content":{"rendered":"

Seit dem Wintersemester 2009\/2010 gibt es bei uns an der Hochschule eine zentrale „multifunktionale Chipkarte“, mit der zahlreiche Dinge an der Hochschule erledigt werden k\u00f6nnen, was gegen\u00fcber den 3 Ben\u00f6tigten Charkarten (Biblio, Mensa, T\u00fcrkarten) doch bereits eine Verbesserung darstellt. Aber wie so oft, krankt es an der Umsetzung heftigst. Und nicht nur, weil die Karte mit RFID ausgestattet ist.<\/p>\n

Aber gehen wir der Reihe nach. Wer vor dem WS 2009\/2010 angefangen hat, erhielt einen Studentenausweis in Papierform, den er sich als Aufkleber auf eine Stabile Karte anbringen konnte. Dieser beinhaltete als Aufdruck alle n\u00f6tigen Informationen zu Studiengang, Semester Matrikelnummer und eine Reihe anderer wichtiger Informationen.<\/p>\n

Neben diesem Studentenausweis erhielt man f\u00fcr die Nutzung der Bibliothek einen Bibliotheksausweis, der in Form einer Plastikkarte daherkam und die Pers\u00f6nliche Information \u00fcber einen Barcode auslesbar machte. Au\u00dfer dem Namen und einer Unterschrift war auf dieser Karte nichts Personenbeziehbares gespeichert, wenn man von den hinter dem Barcode liegenden Angaben absieht. Jemand der den Bibliotheksausweis zuf\u00e4llig in die H\u00e4nde bekam, konnte mit diesem reichlich wenig anfangen.<\/p>\n

Ferner wird nahezu jeder Student eine Mensa-Karte gehabt haben, da es mit dieser gegen\u00fcber einer Barzahlung 15 Cent g\u00fcnstiger je Bezahlung in der Mensa war. Angepriesen wurde diese mit „geht schneller“, was sich in der Praxis jedoch nie so wirklich best\u00e4tigt hat. Auch bei der Mensa-Karte handelte es sich um eine Plastikkarte, die jedoch einen RFID-Chip beinhaltete. Die auf diesem Chip gespeicherten Informationen waren keinem wirklich klar, d\u00fcrften aber neben dem Kontostand auch eine Verkn\u00fcpfung zum Nutzer beinhaltet haben; also auf den Eigent\u00fcmer zur\u00fcckf\u00fchrbar gewesen sein.<\/p>\n

Zus\u00e4tzlich gab es, wenn man auch Abends in die Geb\u00e4ude der Hochschule gelangen k\u00f6nnen musste (z.B. Zugang f\u00fcr’s Rechenzentrum und Geb\u00e4ude des Fachbereichs) die M\u00f6glichkeit, sich eine Zugangskarte zu organisieren. Auf dieser war lediglich die Kartennummer gespeichert, anhand derer man sich an den T\u00fcr\u00f6ffnern authorisieren konnte.<\/p>\n

Doch warum schreib ich die alte Situation, wenn es doch jetzt die wunderbare „multifunktionale Chipkarte“ gibt? Kurzum: Weil diese ein Disaster ist – und das nicht nur, weil ich RFID ablehne, sondern weil diese alle oben beschriebenen Funktionen in einer Karte kombiniert und einem dabei die Nutzung aufzwingt.<\/p>\n

Konnte man fr\u00fcher in der Bibliothek die Kopierer noch via M\u00fcnzeinwurf benutzen, muss man nun diese Schn\u00fcffelkarte daf\u00fcr heranziehen, da diese jegliche Bezahlfunktionen der Hochschule kombiniert. Sei es nun Mensa, Bibliothek, Kopierer oder sonstwo: Konnte man sich also fr\u00fcher unabh\u00e4ngig anonym in der Hochschule bewegen, ist man nun jederzeit ein Profil. Es ist erfassbar, wieviel man f\u00fcr welche Dienste der Hochschule ausgibt, wann man wieviel einzahlt und wann man es ausgibt. Klassische Zahlung per M\u00fcnzeinwurf wurde abgeschafft.<\/p>\n

Ebenso die Security. War fr\u00fcher das Login in der Bibliothek lediglich \u00fcber die Matrikenummer der Hochschule zuzuordnen, ist nun ein gesamtes Nutzerprofil an den Studenten gebunden. Dieses war nach der alten Regelung \u00fcber die Kartennummer (stand auf dem Bibliotheksausweis) oder die Matrikelnummer erreichbar und besa\u00df ein eigenst\u00e4ndiges, frei w\u00e4hlbares Passwort.<\/p>\n

Dieser Schutz wurde im Zuge der Einf\u00fchrung der Schn\u00fcffelkarte aus technischer Unf\u00e4higkeit praktisch abgeschafft, da wegen der Synchronisierung mehrerer Datenbanken das Geburtsdatum des Studenten als Login f\u00fcr die Bibliothek erzwungen wird und regelm\u00e4\u00dfig automatisch resettet wird. Praktischer Weise stehen alle Ben\u00f6tigten Informationen f\u00fcr ein Login auf der Schn\u00fcffelkarte im Klartext: Wer also den Studentenausweis eines Kommolitonen zuf\u00e4llig zu Gesicht bekommt und es schafft, Matrikelnummer und Geburtsdatum zu lesen, hat einen Freibrief, um mit dem Account des Opfers seinen Spa\u00df zu haben. Vorausgesetzt, er erf\u00e4hrt das Geburtsdatum nicht sowieso (Ey, Passw\u00f6rter sollten NICHT erratbar sein!) und scheitert auch nicht daran, die Matrikelnummer zu ermitteln (auch das stellt mit etwas Recherche kein Hindernis dar).<\/p>\n

Zus\u00e4tzlich zu Geburtsdatum und Matrikelnummer steht auf der Karte der Name und ein G\u00fcltigkeitsdatum. Wobei das mit dem G\u00fcltigkeitsdatum so ein Lacher f\u00fcr sich ist: Denn dieses ist elektronisch auf der Karte gespeichert und kann vom Studenten selber nach ordnungsgem\u00e4\u00dfer Immatrikulation selbstst\u00e4ndig aktualisiert werden. Nur schade, dass dann das aufgedruckte Datum und der gespeicherte Wert durchaus 3 Jahre divergieren k\u00f6nnen. Aber was soll’s, bei so viel Technikgl\u00e4ubigkeit wird es sicherlich witzig, sobald jemand mal Schreibzugriff auf der Karte erh\u00e4lt und das dann gleich vollst\u00e4ndig anpasst.<\/p>\n

Ich jedenfalls verweiger mich dieser Schn\u00fcffelkarte und habe lieber f\u00fcr jeden Zweck meine spezifische Karte in der Tasche, statt jederzeit \u00fcber eine zentrale Datensammelstelle erfassbar zu sein. Und dann nehm ich es auch in Kauf, mir schiefe Blicke von den Bibliotheksangestellten einzufangen, weil ich nicht \u00fcber eine RFID-Karte am Kopierer bezahlen m\u00f6chte, und erkl\u00e4re ihnen auch gerne die zahlreichen Nachteile. Mal ganz davon abgesehen, dass mit etwas Social Engineering man auch ohne die Karte mit zu haben man problemlos B\u00fccher ausgeliehen bekommt, wenn man die Angaben auf seiner Schl\u00fcsselkarte auswendig kennt.<\/p>\n

P.S.: Anhand der auf der Karte stehenden Informationen kann man jemandem (in Kombination mit paar anderen mehr oder weniger \u00f6ffentlichen Datenquellen der Hochschule) einen vollst\u00e4ndig ausgef\u00fcllten Exmat-Antrag schreiben, der nur noch unterschrieben werden muss. Mit dem alten System bedurfte es hierf\u00fcr zwar auch einem Blick auf den Studentenausweis, dieser war einem jedoch – da nur f\u00fcr die Verwaltung ben\u00f6tigt – wesentlich schwerer zug\u00e4nglich.<\/p>\n

\"Flattr<\/a><\/p>","protected":false},"excerpt":{"rendered":"

Seit dem Wintersemester 2009\/2010 gibt es bei uns an der Hochschule eine zentrale „multifunktionale Chipkarte“, mit der zahlreiche Dinge an der Hochschule erledigt werden k\u00f6nnen, was gegen\u00fcber den 3 Ben\u00f6tigten Charkarten (Biblio, Mensa, T\u00fcrkarten) doch bereits eine Verbesserung darstellt. Aber wie so oft, krankt es an der Umsetzung heftigst. Und nicht nur, weil die Karte […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[1],"tags":[39,14,38,128,67],"class_list":["post-570","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-big-brother-award","tag-bugs","tag-datenschutz","tag-meinung","tag-uberwachung"],"_links":{"self":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/570","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=570"}],"version-history":[{"count":1,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/570\/revisions"}],"predecessor-version":[{"id":571,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/570\/revisions\/571"}],"wp:attachment":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=570"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=570"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=570"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}