Sicherheitslücke: 30.000 Karten an der RWTH ohne Verschlüsselung

Von: Thorsten Karbach
Letzte Aktualisierung:
Kein Super.C, diese Blue Card:
Kein Super.C, diese Blue Card: Alexander Buchheister, Vorsitzender des AStA, erlebte wie die RWTH-Verantwortlichen sein blaues Wunder mit dem neuen Ausweis. Die Datenverschlüsselung Foto: Andreas Herrmann

Aachen. Mit Sicherheit hat es so eine Aktion an der RWTH Aachen noch nie gegeben. Weil es eine massive Sicherheitslücke gibt, müssen 30.000 sogenannte Blue Cards, die neuen Studierendenausweise, in den nächsten Wochen ausgetauscht werden.

Denn der Hersteller der kleinen blauen Karten hat eine Verschlüsselung der gespeicherten Daten der Studierenden vergessen. „Damit entspricht die Blue Card in ihrer ausgelieferten Form nicht dem, was wir bestellt haben”, erklärt Werner Möller, Dezernent für Inneren Dienstbetrieb an der RWTH. „Da hat es wohl ein Kommunikationsproblem bei unserem Vertragspartner gegeben”, fügt er an. Der müsse nun für exzellenten Ersatz sorgen und dafür die Kosten tragen. Laut Möller im sechsstelligen Bereich.

Entdeckt wurde die vergessene Verschlüsselung der Daten dabei von einem neugierigen Studenten - und das nicht einmal von einem Informatiker, also Fachmann. Ein angehender Physiker hatte die kleine Karte studiert und den Mangel aufgedeckt. Der Allgemeine Studierendenausschuss (AStA) wurde informiert, Vorsitzender Alexander Buchheister spricht nun von einem „Hersteller-Versagen”. Die Sicherheit sei ein entscheidendes Kriterium in der Ausschreibung gewesen. „Wir Studierenden haben immer auf den Aspekt Datensicherheit hingewiesen”, sagt er.

Der AStA war Teil einer Projektgruppe, die die kleine Karte mit dem großen Können auf den Weg gebracht hat. Auf dem sprichwörtlichen Papier kann eine funktionstüchtige und sicher verschlüsselte Plastikkarte zunächst einmal in der Mensa eingesetzt werden. Bargeldloses Zahlen soll dann mittels einer Geldkartenfunktion möglich sein und die Schlangen an den Kassen verkürzen. Sie dient als Bibliotheksausweis wie auch als Eintrittskarte zum Hochschulsport. Zudem seien, so Möller, Erweiterungen möglich. Etwa bei der Bedienung der Hochschulkopierer.

Doch zunächst einmal verschwindet die erste Generation der Blue Card wieder aus den Studententaschen. „Eine neue Nachverschlüsselung erscheint uns nicht machbar, wir erwarten nun möglichst schnell sichere Karten und werden sie wahrscheinlich in einer Gewaltaktion austauschen”, erklärt Möller. Es werden wohl alle etwa 30.000 Karteninhaber persönlich zum Tausch erscheinen müssen. Bislang wurden sie nur schriftlich informiert, dass die neue Karte - eigentlich hätte sie für vier Jahre gültig sein sollen - unsicher und damit unbrauchbar ist.

„Wir werden nun diskutieren, wie wir bei einem Austausch lange Schlangen vermeiden können”, sagt der Dezernent und ärgert sich über die missglückte Einführung der Blue Card.

„Es ist klar, dass wir diese Geschichte nicht verschuldet haben, aber wenn 30.000 Karten ausgetauscht werden müssen, dann fällt das auch auf uns zurück. Und das ist ärgerlich”, erläutert Möller. Die RWTH habe sich schlichtweg auf die Sicherheit der bestellten Ware verlassen. „Wir sind davon ausgegangen, dass wie bestellt geliefert wurde, haben das dann nicht mehr kontrolliert. Das werden wir beim nächsten Mal sicher besser machen.”
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert