Mensakarten

In vielen Mensa- und Studikarten sind RFID-Chips vorhanden, zum Bezahlen und zum Ausweisen. Wir wollen diese Chips einmal genauer analysieren und auf Datensicherheit prüfen.

Wer hat Mensa- oder Studikarten für uns?

Wir brauchen Ihre und Eure Mithilfe für ein Forschungsprojekt. In vielen Mensa- und Studikarten sind nämlich RFID-Chips vorhanden, zum Bezahlen und zum Ausweisen. Wir wollen diese Chips einmal genauer analysieren und auf Datensicherheit prüfen – und dabei die Karten von möglichst vielen verschiedenen Hochschulen vergleichen. Die meisten Hochschulen verwenden übrigens nicht den Begriff "RFID", sondern sprechen von einem "Mifare-Chip" – aus Angst vor Protesten. Klar ist: Wenn der Ausweis kontaktlos funktioniert, dann ist auch ein RFID-Chip drin!

Forschungsprojekt

Wir freuen uns über alle Einsendungen. Schreibt bitte die Hochschule dazu und welche Funktionen mit der Karte genutzt werden können. Auch wer seine Karte nur für ein, zwei Wochen entbehren kann, kann sie uns schicken. Die Karten werden nicht verändert oder beschädigt und wir senden sie hinterher natürlich zurück. Die Aktion läuft bis Ende Oktober 2012.

Die Adresse zum Einsenden der Karten ist:
digitalcourage
RFID-Forschungsprojekt
Marktstraße 18
33602 Bielefeld

[Update]: Kaum ist der Newsletter mit der Anfrage verschickt, erreichen uns zahlreiche Ankündigungen und Angebote. Das ist großartig. Aber bitte denkt daran, die Briefe ausreichend zu frankieren, damit unsere Portoausgaben nicht ins Unermessliche steigen.

[Update2]: Zum Thema Datensicherheit und Datenschutz: Die Karten werden an einem separaten Laptop ausgelesen, der physikalisch vom Internet getrennt ist. Der Rechner selbst besitzt eine verschlüsselte LVM, wobei das "Archiv" auf dem Rechner nochmal in einem verschlüsselten Container liegt. Der Zugriff vom Internet ist vollkommen ausgeschlossen. Es wird keine Veröffentlichung des Archivs geben, da dies extrem fahrlässig wäre und wir Datenschutz bekanntermaßen wichtig finden. Es werden die direkten Payloads der Karten gespeichert, wobei diese natürlich anonymisiert sind, soweit es möglich ist. D.h. bei Studiausweisen sind die erkennbaren Teile (wie Name, Nummern, die der Person zugeordnet werden können) herausgelöscht. Lediglich der Ort und welche Universität / Fachhochschule, ist abgespeichert, da wir ja genau dies untersuchen wollen. Wir können also im Nachhinein keine Aussage treffen, wem eine bestimmte Karte gehört. Zur Dauer können wir im Moment nur sagen, dass es auf jeden Fall bis Ende der Aktion (Ende Oktober) bzw. bis wir die finale Auswertung gemacht haben, gespeichert sein wird. Der Schutz der einzelnen Personen, die ihre Karte bereitstellen, ist uns sehr wichtig und genießt höchste Priorität.