Andauernden Verstoß gegen Sicherheit der Daten beenden

Zu Berichten über die Unsicherheit der an den Thüringer Universitäten eingesetzten Thoska-Karte auf netzpolitik.org meint Katharina König, Sprecherin für Datenschutz und Netzpolitik der Fraktion DIE LINKE im Thüringer Landtag: „Es wird höchste Zeit, dass bei der Sicherheit der elektronischen Bezahl- und Zugangssysteme der Thüringer Hochschulen und des Studentenwerks nachgebessert wird. Einige Lücken im System sind seit Jahren bekannt, Schmalkalden und Ilmenau haben deshalb wohl bereits begonnen aufzurüsten. Der Rest muss endlich nachziehen.“

Bei der Thoska handelt es sich um eine Karte, die mittels RFID-Chip das bargeldlose Bezahlen ebenso ermöglicht, wie auch den Zugang zu Räumen an Hochschulen und beim Studentenwerk. Die Karten funktionieren dabei kontaktlos im Nahbereich von ca. 10 bis 30 cm und sind auch auf diese Distanz lesbar. Als „geknackt“ gilt bei der Thoska der Verschlüsselungsmechanismus der Datenübertragung. Außerdem ist bekannt, in welcher Form auf der Karte bestimmte Daten gespeichert werden. Die Berichte zeigen eindringlich, dass mittels manipulierter Karten verschiedene Aktionen durchführbar sind. So lässt sich etwa der auf den Karten gespeicherte Geldbetrag ändern, sodass in der Mensa eingekauft werden kann, ohne wirklich Geld bezahlen zu müssen. Außerdem können wahrscheinlich mit dem Zugangssystem gesicherte Bereiche zugänglich gemacht werden, wozu zum Beispiel durchaus sensible Bereiche am Universitätsklinikum gehören. Ebenso sind eventuell Entleihungen aus der Bibliothek auf fremden Namen möglich.

„Auch wenn wohl keine persönlichen Daten aus der Distanz aus den Karten ausgelesen werden können, ist es doch hoch problematisch, wenn Menschen sich mittels gefälschter Schlüsselkarten Zugang zu geschützten Bereichen verschaffen können. Dies trifft umso mehr zu, wenn dabei fremde Identitäten von Zugangsberechtigten angenommen werden können“, betont die Abgeordnete und gibt zu bedenken, dass das auch ganz persönliche Konsequenzen für Betroffene haben kann. König stellt weiter fest: „Offenbar ist diese Lücke nicht nur bereits einige Zeit bekannt, sondern auch schon aktiv ausgenutzt worden. Daher müssen sich die Hochschulen und das Studentenwerk fragen lassen, ob sie sehenden Auges großen Schaden hingenommen haben.“

„Es erscheint mir zumindest sehr fahrlässig, wie hier mit sicherheitsrelevanten Daten umgegangen wird“, meint die Datenschutzpolitikerin. Die Abgeordnete der LINKEN begrüßt, dass der Thüringer Landesbeauftragte für Datenschutz nun auch prüft, ob sogar strafrechtliche Konsequenzen für die Hochschulen und das Studentenwerk möglich sind. „Es ist dem Landesbeauftragten in jedem Fall zuzustimmen, dass diese Sicherheitslücken schnellstmöglich zu schließen sind. Aber auch das Ignorieren bekannter Lücken darf nicht folgenlos bleiben. Einmal mehr zeigt sich, wie wichtig eine gute Verschlüsselung und ihre richtige Implementierung in der Datenverarbeitung für die Sicherheit ist“, meint König abschließend.