Sicherheitsrisiko: Hacker knacken Thüringer Hochschulkarte "Thoska"

Eine Gruppe von Hackern hat die Hochschulkarte "Thoska" geknackt und auf ihrer Internetseite veröffentlicht, wie einfach es für sie war. Ohne sie funktioniert an der Uni fast nichts.

In allen Mensen und Cafeterien des Thüringer Studentenwerkes können Mitarbeiter und Studierende mit der "Thoska" ihr Essen bezahlen. Selbst für sensible Räumen wird die Chip-Karte benutzt. Die Hacker sagen, dass eine Manipulation leicht möglich sei. Foto: Maik Schuck

In allen Mensen und Cafeterien des Thüringer Studentenwerkes können Mitarbeiter und Studierende mit der "Thoska" ihr Essen bezahlen. Selbst für sensible Räumen wird die Chip-Karte benutzt. Die Hacker sagen, dass eine Manipulation leicht möglich sei. Foto: Maik Schuck

Foto: zgt

Weimar/Jena/Erfurt. Mit ihr zahlen die Studenten und Mitarbeiter am Kopierer, ihr Essen in der Mensa und selbst in manche Gebäude kommen nur Menschen, die eine "Thoska" haben.

Die Hacker, die anonym bleiben wollen, fanden heraus, dass es kein Problem ist, die Kartengültigkeit zu verlängern sowie kostenlos zu kopieren und in den Mensen des Studentenwerks zu essen. Besonders brisant: Auch der Zugang zu Gebäuden und Räumen lasse sich manipulieren und der Kartennutzer bekomme Zutritt zu sensiblen Bereichen und teuren Geräten.

Ausgegeben wird die "Thoska" an alle Studenten und Uni-Mitarbeiter des Freistaates Thüringen. Betroffen von der Sicherheitslücke sind jedoch vor allem die Universitäten und Fachhochschulen in Jena und Erfurt sowie die Bauhaus-Universität und die Weimarer Musikhochschule, wo insgesamt mehr als 40.000 Menschen arbeiten und studieren. An den anderen Hochschulen wurden bereits die alten Karten durch neuere ersetzt.

Auf Anfrage unserer Zeitung schreibt die Bauhaus-Uni, dass sie die bestehende Sicherheitslücke sehr ernst nehme und bereits seit 2014 neue "Thoska"-Karten mit dem verbesserten "DESfire-Chip" ausgebe. Dieser Chip soll im Gegensatz zum alten Mifare-Classic nicht mehr so leicht manipulierbar sein.

Schon seit Einführung im Jahr 2006 gab es teilweise massive Sicherheitsbedenken, wie das Jenaer Studentenmagazin "Akrützel" berichtete. Dort sagte ein Hacker im Interview, dass das System sehr anfällig sei, denn sobald ein Kartenlesegerät verschwinde, müssten alle anderen ausgetauscht werden, um die Sicherheit zu garantieren. Die Probleme sind nach Aussage des Studentenwerkes schon "seit Längerem bekannt". Es weist darauf hin, dass jeder Versuch, die Karte zu manipulieren, also aufzuladen, ohne dafür zu bezahlen, die eingetragene Studienzeit zu verlängern, um länger Bus und Bahn in Thüringen zu fahren, und Zugangsberechtigungen für Räume einzutragen, ein Betrug oder sogar eine Straftat darstellen.

Die Chip-Karte, die das Unternehmen "Intercard" vertreibt, wird an mehr als 120 Hochschulen in Deutschland und der Schweiz benutzt. Ob diese auch von der Sicherheitslücke betroffen sind, ist nicht klar. Das Unternehmen wollte sich auf Anfrage unserer Zeitung jedenfalls nicht dazu äußern.

Doch nicht nur die Thüringer Hochschulen sind betroffen. Auch das Uniklinikum Jena und die Bibliotheken haben ein Problem. In der Jenaer Klinik laufe der Austausch der alten Karten zwar, sei aber noch nicht ganz abgeschlossen. Der Sprecher versicherte, dass es für sensible Bereiche ein weiteres Sicherheitssystem gebe. Ob sich Hacker mit einer alten manipulierten Karte einschleichen könnten, konnte er nicht beantworten.

Ein großer Schwachpunkt des Systems ist, dass die Aufladeautomaten nach der Kartenaufladung Bon-Zettel ausdrucken, auf denen die Karten-ID steht. "Damit lassen sich Karten herstellen, welche die Identität von anderen nachahmen. Das alles ohne physikalischen Zugriff auf das Original", erklären die Hacker auf Anfrage unserer Zeitung. Außerdem lasse sich die Bibliotheksnummer auslesen.

"Das ist eigentlich nicht so schlimm, da der Account der Landesbibliothek passwortgeschützt ist. Jedoch entspricht das Standardpasswort dem Geburtsdatum und wird selten geändert." Mit einem kleinen Programm lasse sich aber schnell das Geburtsdatum herausbekommen, versichern sie. Nach erfolgreichem Hack, können der Name des Kartenbenutzers und seine Anschrift eingesehen werden.

Die Hacker hoffen, dass die Sicherheitslücken schnell geschlossen werden.

Hier gehts zur Seite der Hacker

Zu den Kommentaren
Im Moment können keine Kommentare gesichtet werden. Da wir für Leserkommentare in unserem Internetauftritt juristisch verantwortlich sind und eine Moderation nur während unserer Dienstzeiten gewährleisten können, ist die Kommentarfunktion wochentags von 22:00 bis 08:00 Uhr und am Wochenende von 20:00 bis 10:00 Uhr ausgeschaltet.