Bibliotheksquittungen rausnehmen!

Wenn man in der Bibliothek der Uni Bonn ein Buch ausleiht, bekommt man dazu eine Quittung:

../../_images/quittung.jpg

Auf der steht (hier natürlich entfernt) die Benutzernummer. Wenn man sich mal den Bibliotheksausweis genauer anschaut, sind die einzigen Informationen dort Name und Benutzernummer. Auf dem Zettel stehen also alle Informationen, die man braucht, um sich so einen Ausweis zu bauen.

Hinten auf dem Ausweis ist die Nummer noch in einem Strichcode kodiert. Ich kann schlecht ein Foto zeigen, weil ich das ganze wieder schwarz überdecken müsste, damit meine Nummer geheim bleibt.

Jedenfalls kann man mit Linux Tools locker diesen Strichcode erzeugen, wenn man die Nummer hat. Dann baut man sich noch eine Vorlage aus Uni- und Bibliothekslogo zusammen, schreibt per Hand seinen Namen auf die Vorderseite und hat schon fast einen sehr gut gefälschten Ausweis. Man muss sein Werk jetzt nur noch einlaminieren und schon reicht es wahrscheinlich aus.

Leiht man in der Bibliothek ein Buch aus, wird eh nur die Rückseite eingescannt. Niemand schaut vorne auf den Namen drauf. Im Computersystem erscheint vielleicht der Name. Wenn ein Kommilitone gerade Bibliotheksdienst macht, muss man vielleicht sagen, dass man für einen Freund ein Buch ausleiht.

Der Geschädigte dieses Angriffs hat plötzlich ein Buch auf seiner Liste stehen, das er gar nicht ausgeliehen hat. Und weil nicht wirklich klar ist, wer das Buch ausgeliehen hat, kann die Bibliothek auch schlecht nachvollziehen, wo es wirklich ist.

Das einzige, was etwas hergeben könnte, wäre eine Videoaufnahme zu dem exakten Zeitpunkt der Ausleihe. Dafür müssen natürlich die Uhren auf 20 Sekunden genau sein. Ich würde das ganze natürlich nur dann machen, wenn gerade ordentlich Betrieb ist. Außerdem fällt das ganze erst nach ungefähr einem Monat auf, wenn das Buch wieder zurückgegeben werden muss. Ob die Videoaufnahmen bis dahin behalten werden?

Das ganze habe ich mal in ungefähr dieser Form an die Bibliothek geschrieben. Dort antwortete man mir letztlich, dass man mit seinen personenbezogenen Daten sorgfältig und verantwortungsvoll umgehen soll. Dies sollte jeder in seinem eigenen Interesse tun.

Ich verstehe natürlich, dass so eine Quittung schon beide Parteien identifizieren soll. Und natürlich soll der Ausweis auch identifizieren. Allerdings reicht das, wie man hier ja sieht, nicht aus. Der Ausweis muss auch authentifizieren. Es zum Beispiel möglich, den Strichcode ein paar Ziffern länger zu machen und dies als PIN zu nutzen. So enthält die Quittung zwar alle sinnvollen Informationen, der Ausweis ließe sich dann allerdings nicht direkt nachbauen. Schade, dass beim Entwerfen des Ausleihprozesses nicht an Sicherheit für die Studenten gedacht worden ist.

Von daher: Es ist sehr sinnvoll, wenn man seine Quittungen nicht in den Büchern lässt. Denn eine einzige Quittung lässt einen Identiätsdiebstahl in der Bibliothek zu. Und wie es so schön auf der Rückseite der Bibliotheksausweise so schön heißt: „Für Ausweismissbrauch haftet der Benutzer.“