- Stellen Sie sich einen Gast vor: Max Muster, geboren am 01.01.1970 in Frankfurt. Diese Daten sind zusammen mit seinem Foto auf der Chipkarte eines anderen Zutrittskontrollsystems – nicht playID! – hinterlegt.
- Wenn sich Max am Lesegerät mit seiner Chipkarte anmeldet, werden seine Daten im Hintergrund in der Sperrdatei abgefragt, sein Foto erscheint und die Meldung, dass er nicht gesperrt ist. Sie lassen ihn ein.
- Nun lässt sich Max Muster in einer anderen Spielhalle mit den Daten “Max Muster, geboren am 01.01.1970 in Frankfurt” sperren.
- Anschließend knackt er mit einer Software, die er von derselben Quelle erworben hat wie die, mit denen er Spielautomaten manipuliert, die Verschlüsselung der Chipkarte. Er ändert lediglich das auf der Chipkarte gespeicherte Geburtsdatum von “01.01.1970” in “01.01.1971“.
- Am nächsten Tag kommt er wieder zu Ihnen und meldet sich mit seiner Chipkarte an. Das System führt eine Sperrdateiabfrage mit “Max Muster, geboren am 01.01.1971 in Frankfurt” durch und erkennt ihn nicht als gesperrt, weil Max sich ja mit seinem Geburtsdatum “01.01.1970” hatte sperren lassen. Das angezeigte Foto stimmt allerdings, und unter dem Namen “Max Muster” kennen Sie den Gast. Alles scheint okay zu sein. Sie lassen ihn herein – und haben jetzt einen gesperrten Spieler in Ihrem Betrieb.
- Das allein ist ja schon schlimm genug, und hoffentlich werden Sie nicht von einem Ordnungsbeamten erwischt. Aber es kommt noch dicker.
- Eine Woche später erhalten Sie Post von Max. Er erzählt Ihnen, dass er trotz Spielersperre in Ihre Spielhalle eingelassen wurde und er daraufhin angeblich 3.000 Euro verspielt hat. Er hat Kumpels, die das bezeugen. Die 3.000 Euro will er jetzt von Ihnen wieder haben, ansonsten droht er mit einer Klage und Anzeige beim Ordnungsamt.
- Was machen Sie jetzt? Sie zahlen. Und sollten sich spätestens dann nach einem Zutrittskontrollsystem umschauen, das Personendaten nicht auf einer Chipkarte, sondern verschlüsselt und sicher verwahrt in einem Rechenzentrum speichert. So wie playID.
Gottseidank ist Max Muster nur ein Beispiel. Aber eins, das problemlos Wirklichkeit werden kann. Was, wenn das zu einer bandenmäßig organisierten Abzockmasche wird? Was, wenn sich hunderte Personen sperren lassen mit dem Ziel, genau diese Masche anzuwenden?
Sie glauben nicht, dass das möglich ist? Denken Sie nur an die massiven Geldspielgeräte-Manipulationen der Vergangenheit – auch dort hätte die Software gegen Veränderungen gesichert sein müssen, so wie man das von der Chipkarte ebenfalls erwartet.
In diesem Zusammenhang auch interessant: Lesen Sie diesen Artikel.