Algorithmus der Mifare-Chips gehackt

Eine Milliarde RFID-Zugangskarten sind nicht mehr sicher

13.03.2008
Die niederländische Regierung schlägt Alarm: Zwei deutsche Forscher und ein Professor aus Nijmegen haben den Verschlüsselungs-Algorithmus der Mifare RFID-Chipkartentechnik von Halbleiterhersteller NXP unabhängig voneinander geknackt. Eine Milliarde Chipkarten, die die Funktechnik einsetzen, sind nun nicht mehr sicher.

Nach den Anfang dieser Woche veröffentlichten Ergebnissen der Forschungen von Karsten Nohl und Henryk Plötz an der Universität Virginia können Kriminelle die Mifare-Chips kopieren und funktionstüchtige Kopien erstellen. Nohl und Plötz hatten bereits im Dezember auf dem Jahreskongress des Chaos Computer Clubs auf ihre Erkenntnisse hingewiesen, auf eine öffentliche Demonstration des Hacks aber bislang verzichtet. Eine praktische Demonstration, wie sich die Mifare RFID-Chips hacken lassen, wollen sie nach eigenen Angaben noch vor Anfang Juni erbringen.

Bart Jacobs, Professor für Informationssicherheit an der Universität im holländischen Nijmegen, führte indes bereits gestern vor, wie sich die kontaktlose Chipkartentechnik missbrauchen lässt. Ein Video der Demonstration ist auf der Website der Universität abrufbar. Jacobs unterrichtete die niederländischen Behörden von seinen Erkenntnissen. Innenminister Guusje ter Horst forderte das Parlament in einem Schreiben offiziell auf, zusätzliche Maßnahmen zu ergreifen, die Sicherheit von RFID-Chips zu gewährleisten. Die Zugangskontrollen von mehr als zwei Millionen Bürogebäuden im Land arbeiten mit der Funktechnik, weltweit sind eine Milliarde Chipkarten mit RFID-Technik von NXP, der 2006 von Philipps ausgegliederten Halbleitersparte, ausgeliefert worden. Unter anderem verwenden auch Verkehrs- und Transportunternehmen die Mifare-Chips, um Ticketkäufe drahtlos abzuwickeln. So nutzen zehn Millionen Fahrgäste im Großraum London die Oyster Card, auf der ein RFID-Chip aus den Niederlanden integriert ist. Der Personennahverkehr in Boston wird zu großen Teilen über die Charlie Card abgewickelt, die nun ebenfalls auf fremde Kosten genutzt werden könnte. Die Regierung der Niederlande will in Kürze die Länder, die die Technik eingekauft haben, über die Gefahr informieren. (sh)