Die vorschnelle Schändung der Legi – ou l’optimisme?

„Die Dinge können nicht anders sein, als sie sind, denn da alles zu einem Zweck geschaffen worden ist, muss es natürlich zum besten Zweck sein.“
Pangloss, in Voltaires Candide

„Hast du deine neue Legi schon validiert?“, fragte mich ein Freund in der letzten Semesterferienwoche im Februar. Damals war meine Legi noch unvalidiert, sie war noch invalide. Ich wusste nicht recht, was antworten.

Ganz unschuldig sah sie eigentlich aus, als die Studierenden der Uni und ETH die „UZH Card“ bzw. „ETH-Karte“ zu Beginn des Frühjahrssemesters 2008 zugeschickt erhielten. Neben einem Passbild und spärlichen Informationen über die Person zierte nur eine türkis eingefärbte Fotografie die neue Legi. Die Fotografie bildet schwach erkennbar ein Modell der Hauptgebäude der beiden universitären Hochschulen aus der Vogelperspektive ab. Das untere Drittel der Vorderseite der meisten Karten füllte ein leerer weisser Thermodruckstreifen, den es vor dem ersten Einsatz der Karte an einer so genannten Validierstation mit persönlichen Daten zu beschreiben galt. Lediglich jene ETH-Karten-Inhaber, die die Semestergebühren früh genug eingezahlt hatten, konnten sich dieses Validieren ersparen.

Gleich am ersten Tag des neuen Semesters eilte ich zu einer der dreizehn Validierstationen an der Uni. Nach kurzem Anstehen führte ich meine jungfräuliche UZH Card sanft in die Station ein, worauf diese menschengrosse High-Tech-Maschine die Karte vollständig verschluckte. Ein zarter Knopfdruck auf dem Touchscreen genügte, um das Weiss meiner Karte mit meinen individuellen Studieninformationen zu beflecken. Nach wenigen Sekunden schaute die Legi kurz aus dem Einschiebeschlitz der Station heraus, wurde dann aber nochmals schnell hineingezogen, bevor der Computer sie schliesslich endgültig ausspuckte und mir zum ungehemmten Gebrauch übergab.

Das dicke „S“ auf dem Thermodruckstreifen zeichnet mich seither nicht nur als Student aus, es zeigt auch allen klar erkenntlich: Ich habe es getan, ich habe meine UZH Card validiert.

Die UZH Card aus Plastik ersetzt die alte Papp-Legi, die die Uni-Studierenden bisher jedes Semester zugesandt bekamen. Die alte Butterfly-Card galt es damals jeweils zu Hause zusammenzukleben. Die neue Legi muss man nun zweimal pro Jahr auf ein Neues an der Uni validieren. Dies kann gemäss dem Hersteller der Karte, der polyright SA aus Sion, bis zu 1'000 Mal wiederholt werden. Dieses Potential werden wohl auch die ewigsten Studierenden kaum erschöpfen. Tatsächlich sehen die UZH und die ETH aber vor, dass die neue Legi während der gesamten Studiendauer erhalten bleibt und weder bei Fach- und Studiengangwechseln sowie Wiederimmatrikulationen, noch während und nach Praktika, Urlaubssemestern und Mobilitätsaufenthalten eine neue Karte nötig wird.

Wer seine Karriere nach dem Studium gleich an seiner Alma Mater fortführt, wird des Weiteren neuerdings seine Legi auch behalten und als Personalausweis weiterverwenden können. Das bestehende Personal der beiden universitären Hochschulen wurde bereits mit der UZH Card bzw. der ETH-Karte ausgestattet.

Damit sind aber auch schon alle Neuerungen genannt, welche die neue Legi für gewöhnliche Studierende derzeit mit sich bringt. Die eigens für die Einführung des neuen Systems eingerichtete Website zählt als Anwendungsgebiete die Identifikation in Mensen, an Prüfungen, in Bibliotheken und bei den ASVZ-Anlagen sowie an ausseruniversitären Orten mit Studierendenvergünstigungen auf – alles bekannte Funktionen, welche bereits die alte Legi gemeistert hatte.

„Wir wollen ein Zeichen setzen“, fasst Claudia Hiestand, die Leiterin der Abteilung Studierende an der UZH die Beweggründe für die Umstellung auf das neue Kartenformat zusammen. Sie weist darauf hin, dass nun jede Person an der Uni dieselbe Karte habe, vom Mitarbeitenden und Studierenden bis zum Professor. Dass die UZH und die ETH denselben Kartentyp verwenden, sei ausserdem ein Symbol, dass die Zürcher „Hochschulmeile“ immer stärker zusammenwachse.

Dieses Zeichensetzen, dieser Symbolcharakter ist der Uni die Kosten für die Umstellung von 1,2 Millionen Franken wert. Produktion und Versand der alten Legis hatten pro Semester ein Fünfzehntel davon gekostet. Ausserdem wurde eigens für die Betreuung der neuen Karte ein Arbeitsplatz mit einem Pensum von 60% eingerichtet. Zumindest für einen neuen Angestellten an der Uni lohnt sich die Sache also bereits; und für die polyright SA natürlich auch.

Doch auch für die Studierenden soll die UZH Card eines Tages von Vorteil sein. Geplant sind die Nutzung der Legi als Mobility-Card und eine einfachere Zutrittskontrolle zu Uni-Gebäuden. Für ersteres soll den Studierenden das günstigste Tarif-Modell des Car-Sharing-Systems angeboten werden. Wie viele Studierende davon aber tatsächlich Gebrauch machen werden, ist derzeit noch offen.

Jedenfalls beabsichtigt die Uni noch für 2008, eine Testtüre einzurichten, die man dann mit der UZH Card betreten kann. Dazu soll kein traditioneller Schlüssel mehr benötigt werden, die neue Legi wird die Türe kontaktlos öffnen. Ermöglicht wird dies über einen Funkchip, der in jeder UZH Card eingebaut ist.

Die Technik, die in diesem Funkchip steckt, nennt sich „radio-frequency identification“, oder RFID. Dessen Vorgängertechnologien wurden in Grossbritannien und in der Sowjetunion zu Kriegs- und Spionagezwecken entwickelt, heute findet die RFID-Technik aber vermehrt bei Reisepässen, in Skigebieten und bei Roadpricing-Systemen ihre Anwendung. Der RFID-Chip erlaubt die eindeutige Identifikation des Passinhabers, Wintersportlers oder Autos und das Auslesen weiterer Informationen mittels eines speziellen Lesegeräts. Auf der neuen Legi sind jedoch nur die jeweilige Kartennummer und einige technische Daten gespeichert. Ausgelesen werden diese Daten von der Uni derzeit nur beim Validieren.

Trotz der weiten Verbreitung der RFID-Technik werden immer wieder Bedenken über die Sicherheitsrisiken einer solchen kontaktlosen Identifizierung laut. Forscher von der Radboud-Universität im niederländischen Nimwegen haben herausgefunden, dass sich die verschlüsselten Daten auf einem bestimmten Typ von RFID-Chips, der weltweit in vielen öffentlichen Verkehrssystemen zum Einsatz kommt, leicht auslesen und kopieren lassen. Da auf der UZH Card jedoch keine persönlichen Daten gespeichert sind und ein anderer Chip zum Einsatz kommt, besteht hier kein Risiko.

Andere Sicherheitsbedenken könnten die neue Legi aber betreffen: Die eindeutige Identifizierbarkeit von RFID-Chips ermöglicht das Erstellen von Bewegungsprofilen der Karteninhaber. Mit einem Netzwerk von Lesegeräten könnte man eine Standortüberwachung der Studierenden durchführen, ohne dass diese bemerken, wenn ihre Legis ausgelesen werden.

Solche Bedenken zerschlägt Claudia Hiestand in der Luft: „Erstens hat die Uni kein Interesse an einer Überwachung der Studierenden und zweitens wäre dies technisch gar nicht möglich.“ Hiestand weist darauf hin, dass sich derzeit weder in den Mensen noch in den Bibliotheken Lesegeräte befänden.

Ausserdem betonen sowohl Hiestand wie auch der Hersteller des RFID-Chips, die LEGIC Identsystems AG, dass sich die Daten auf dem Chip nur aus einer Distanz von 5-10cm auslesen liessen. Diese offiziellen Angaben sind aber mit Vorsicht zu geniessen. Die Herstellerangaben über die maximale Lesedistanz der Karten beziehen sich auf die offiziellen Lesegeräte. Gerhard P. Hancke von der University of Cambridge berichtet in einem Artikel darüber, wie mit stärkeren Lesegeräten bestimmte RFID-Chips aus über 20cm Entfernung ausgelesen werden konnten. Andere Forscher halten sogar noch höhere Lesedistanzen für machbar. Bis Redaktionsschluss blieb ein Kommentar von der polyright SA auf die Frage aus, ob diese Sicherheitsrisiken auch die UZH Card betreffen.

Dass die RFID-Technik von der UZH oder der ETH missbraucht wird, scheint unabhängig davon aber unwahrscheinlich. Der Leiter der ID-Betriebsinformatik an der ETH Giorgio Broggi gibt zwar zu, dass zumindest an der ETH die technischen Möglichkeiten zur Überwachung der Studierenden gegeben seien. Er schliesst aber aus, dass eine solche Überwachung je stattfinden wird: „Da wir Gott sei Dank nie Attacken wie z.B. am Virginia Tech erleiden mussten, besteht kein Bedarf, ein so kostspieliges System zu implementieren.“

Trotzdem bedeutet die Umstellung auf die neue Legi an den beiden Zürcher Hochschulen, dass nun im Gebiet Zürich über 37'000 Studierende und 14'000 Mitarbeitende der UZH und ETH eine Karte mit sich tragen, die sich möglicherweise ohne das Wissen der Karteninhaber identifizieren lässt. Während Flugreisende und Wintersportler dem Risiko, die die RFID-Technik mit sich bringt, jeweils nur vorübergehend ausgesetzt sind, haben die meisten Studierenden und das Personal ihre Karte wohl im Alltag ständig bei sich.

Gleichwohl sind weder Paranoia noch Panik angesagt. Das unschuldige Antlitz der neuen Karte verblasst jedoch in diesem Licht und vor dem Hintergrund der hohen Kosten ein wenig. Das Zeichensetzen hat den Anschein eines Schnellschusses.

Und trotzdem, auch ich eilte ja damals zu Beginn des Semesters an die Uni, um meine neue Legi der Validierstation zu verfüttern. Auch ich konnte nicht warten.